为ISE SCEP集成配置HTTPS支持

下载选项

  • PDF     (1.4 MB)
    在各种设备上使用 Adobe Reader 查看
  • ePub     (1.4 MB)
    在 iPhone、iPad、Android、Sony Reader 或 Windows Phone 上使用各种应用查看
  • Mobi (Kindle)     (757.1 KB)
    在 Kindle 设备上查看或在多个设备上使用 Kindle 应用查看
已更新: 2013 年 7 月 31 日
文档 ID:116238

非歧视性语言

此产品的文档集力求使用非歧视性语言。在本文档集中,非歧视性语言是指不隐含针对年龄、残障、性别、种族身份、族群身份、性取向、社会经济地位和交叉性的歧视的语言。由于产品软件的用户界面中使用的硬编码语言、基于 RFP 文档使用的语言或引用的第三方产品使用的语言,文档中可能无法确保完全使用非歧视性语言。 深入了解思科如何使用包容性语言。

关于此翻译

思科采用人工翻译与机器翻译相结合的方式将此文档翻译成不同语言,希望全球的用户都能通过各自的语言得到支持性的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 Cisco Systems, Inc. 对于翻译的准确性不承担任何责任,并建议您总是参考英文原始文档(已提供链接)。

简介

本文档介绍为安全证书注册协议(SCEP)与身份服务引擎(ISE)集成配置超文本传输协议安全(HTTPS)支持所需的步骤。

先决条件

要求

Cisco 建议您了解以下主题:

  • Microsoft Internet Information Services (IIS) Web服务器的基础知识
  • 在ISE上配置SCEP和证书的经验

使用的组件

本文档中的信息基于以下软件和硬件版本:

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您使用的是真实网络,请确保您已经了解所有命令的潜在影响。

与Microsoft证书服务相关的信息是专门针对思科自带设备(BYOD)提供的。请参阅Microsoft的TechNet作为Microsoft证书颁发机构、网络设备注册服务(NDES)和SCEP相关服务器配置的最终数据源。

 

背景信息

在BYOD部署中,核心组件之一是安装了NDES角色的Microsoft 2008 R2企业服务器。  此服务器是Active Directory (AD)林的成员。  在初始安装NDES期间,会自动安装Microsoft的IIS Web服务器并将其配置为支持SCEP的HTTP终止。在某些BYOD部署中,客户可能希望使用HTTPS进一步保护ISE和NDES之间的通信。此过程详细说明了为SCEP网站请求和安装安全套接字层(SSL)证书所需的步骤。

配置

NDES服务器证书配置

注意:您必须为IIS配置新证书(仅当IIS与第三方PKI(例如Verisign)集成时,或者当证书颁发机构(CA)和NDES服务器角色分离到单独的服务器上时,才需要此证书)。在安装中,如果NDES角色位于当前Microsoft CA服务器上,则IIS使用在CA设置过程中创建的服务器身份证书。  对于独立配置(如此类配置),请直接跳至本文档中的NDES服务器IIS绑定配置部分。

  1. 通过控制台或RDP连接到NDES服务器。
  2. 单击开始->管理工具-> Internet信息服务(IIS)管理器
  3. 突出显示IIS服务器名称,然后单击服务器证书图标。

  4. 单击Create Certificate Request,并填写字段。

  5. 使用文本编辑器打开上一步中创建的.cer文件,并将内容复制到剪贴板。

  6. 访问Microsoft CA Web Enrollment网站并单击Request a Certificate

    示例URL:http://yourCAIP/certsrv


  7. 单击Submit a certificate request by using...。从剪贴板粘贴证书内容,然后选择Web Server模板。

  8. 单击Submit,然后将证书文件保存到桌面。
  9. 返回NDES服务器并打开IIS管理器实用程序。单击服务器名称,然后单击Complete Certificate Request以导入新创建的服务器证书。

NDES服务器IIS绑定配置

  1. 展开服务器名称,然后展开站点,再单击默认网站
  2. 单击右上角的Bindings
  3. 单击Add,将Typeto HTTPS更改,然后从下拉列表中选择证书。
  4. Click OK.

 

ISE服务器配置

  1. 连接到CA服务器的Web注册界面并下载CA证书链。

  2. 从ISE GUI中,导航到管理->证书->证书存储,然后将CA证书链导入ISE存储。

  3. 导航到管理->证书-> SCEP CA配置文件,然后配置HTTPS的URL。单击Test Connectivity,然后单击Save

验证

使用本部分可确认配置能否正常运行。

  • 导航到管理->证书->证书库,验证CA证书链和NDES服务器注册机构(RA)证书是否存在。
  • 使用Wireshark或TCP转储来监控ISE管理节点与NDES服务器之间的初始SSL交换。

命令输出解释程序工具(仅限注册用户)支持某些 show 命令。使用输出解释器工具来查看 show 命令输出的分析。

故障排除

本部分提供的信息可用于对配置进行故障排除。

  • 将BYOD网络拓扑细分为逻辑路径点,以便帮助识别这些终端(ISE、NDES和CA)之间路径的调试和捕获点。
  • 确保在ISE和NDES服务器之间双向允许TCP 443。
  • 监控CA和NDES服务器应用程序日志中的注册错误,并使用Google或TechNet研究这些错误。
  • 使用ISE PSN上的TCP转储实用程序并监控进出NDES服务器的流量。其位于操作 > 诊断工具 > 常规工具下。
  • 在NDES服务器上安装Wireshark或在中间交换机上使用SPAN,以捕获进出ISE PSN的SCEP流量。

命令输出解释程序工具(仅限注册用户)支持某些 show 命令。使用输出解释器工具来查看 show 命令输出的分析。

注意:使用debug命令之前,请参阅有关Debug命令的重要信息

相关信息

修订历史记录

版本 发布日期 备注
1.0
27-May-2013
初始版本
TAC Authored

由思科工程师提供

  • Todd Pula and Sylvain Levesque
    Cisco TAC Engineers.

此文档是否有帮助?

Feedback反馈

联系我们

本文档适用于以下产品