在Microsoft CA服务器上发布ISE的证书撤销列表配置示例
目录
简介
本文档介绍如何配置运行Internet Information Services (IIS)以发布证书吊销列表(CRL)更新的Microsoft证书颁发机构(CA)服务器。它还说明如何配置思科身份服务引擎(ISE)(版本1.1及更高版本)以检索用于证书验证的更新。可以将ISE配置为检索它在证书验证中使用的各种CA根证书的CRL。
先决条件
要求
本文档没有任何特定的要求。
使用的组件
本文档中的信息基于以下软件和硬件版本:
-
思科身份服务引擎版本1.1.2.145
-
Microsoft Windows® Server® 2008 R2
本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您使用的是真实网络,请确保您已经了解所有命令的潜在影响。
规则
有关文档约定的更多信息,请参考 Cisco 技术提示约定。
配置
本部分提供有关如何配置本文档所述功能的信息。
注意:要获取此部分中所用命令的更多信息,可使用命令查找工具(仅限已注册客户)。
配置
本文档使用以下配置:
-
1 节.在CA上创建并配置用于存放CRL文件的文件夹
-
2 节.在IIS中创建站点以显示新的CRL分发点
-
3 节.配置Microsoft CA服务器以将CRL文件发布到分发点
-
4 节.验证CRL文件是否存在并可通过IIS访问
-
5 节.配置ISE以使用新的CRL分发点
1 节.在CA上创建并配置用于存放CRL文件的文件夹
第一项任务是配置CA服务器上的位置以存储CRL文件。默认情况下,Microsoft CA服务器将文件发布到C:\Windows\system32\CertSrv\CertEnroll\。不要使用此系统文件夹,而是为文件创建一个新文件夹。
-
在IIS服务器上,选择文件系统上的位置并创建新文件夹。在本示例中,创建了文件夹C:\CRLDistribution。
-
要使CA将CRL文件写入新文件夹,必须启用共享。右键单击新文件夹,选择属性,单击共享选项卡,然后单击高级共享。
-
要共享文件夹,请选中共享此文件夹复选框,然后在“共享名称”字段的共享名称末尾添加美元符号($)以隐藏共享。
-
依次单击权限(1)、添加(2)、对象类型(3),然后选中计算机复选框(4)。
-
要返回Select Users、Computers、Service Accounts或Groups窗口,请单击OK。在“输入要选择的对象名称”字段中,输入CA服务器的计算机名称,然后单击检查名称。如果输入的名称有效,名称将刷新并显示下划线。Click OK.
-
在Group or user names字段中,选择CA计算机。选中Allow for Full Control以授予对CA的完全访问权限。Click OK.再次单击确定,关闭“高级共享”窗口并返回到“属性”窗口。
-
要允许CA将CRL文件写入新文件夹,请配置相应的安全权限。依次点击“安全”(Security)选项卡(1)、编辑(Edit)(2)、添加(Add)(3)、对象类型(Object Types)(4),然后选中计算机复选框(5)。
-
在“输入要选择的对象名称”字段中,输入CA服务器的计算机名称,然后单击检查名称。如果输入的名称有效,名称将刷新并显示下划线。Click OK.
-
在“Group or user names”字段中选择CA计算机,然后选中Allow for Full control以授予对CA的完全访问权限。单击OK,然后单击Close完成任务。
2 节.在IIS中创建站点以显示新的CRL分发点
要使ISE能够访问CRL文件,请通过IIS使包含CRL文件的目录可访问。
-
在IIS服务器任务栏上,单击启动。选择管理工具> Internet信息服务(IIS)管理器。
-
在左窗格(称为控制台树)中,展开IIS服务器名称,然后展开站点。
-
右键单击默认网站并选择添加虚拟目录。
-
在“别名”字段中,输入CRL分发点的站点名称。在本示例中,输入CRLD。
-
点击省略号(. ..)在Physical path(物理路径)字段的右侧并浏览到第1部分中创建的文件夹。选择文件夹,然后单击OK。单击OK关闭Add Virtual Directory窗口。
-
在步骤4中输入的站点名称应在左窗格中突出显示。如果不是,请立即选择。在中心窗格中,双击Directory Browsing。
-
在右侧窗格中,单击Enable以启用目录浏览。
-
在左侧窗格中,再次选择站点名称。在中心窗格中,双击配置编辑器。
-
在Section下拉列表中,选择system.webServer/security/requestFiltering。在allowDoubleEscaping下拉列表中,选择True。在右侧窗格中,单击Apply。
现在应可通过IIS访问该文件夹。
3 节.配置Microsoft CA服务器以将CRL文件发布到分发点
既然已经配置了一个新文件夹来存放CRL文件,而且该文件夹已经在IIS中公开,请配置Microsoft CA服务器以将CRL文件发布到新位置。
-
在CA服务器任务栏上,单击Start。选择Administrative Tools > Certificate Authority。
-
在左窗格中,右键单击CA名称。选择Properties,然后单击Extensions选项卡。要添加新的CRL分发点,请单击Add。
-
在Location字段中,输入在第1部分创建和共享的文件夹的路径。在第1部分的示例中,路径为:
\\RTPAAA-DC1\CRLDistribution$\
-
填充Location字段后,从Variable下拉列表中选择<CaName>,然后点击Insert。
-
从Variable下拉列表中选择<CRLNameSuffix>,然后单击Insert。
-
在Location字段中,将.crl附加到路径的末尾。在本示例中,位置是:
\\RTPAAA-DC1\CRLDistribution$\<CaName><CRLNameSuffix>.crl
-
单击OK返回Extensions选项卡。选中Publish CRLs to this location复选框(1),然后单击OK(2)关闭“Properties”窗口。系统将显示一个提示符,要求获得重新启动Active Directory证书服务的权限。单击Yes(3)。
-
在左窗格中,右键单击吊销的证书。选择所有任务>发布。确保选中“New CRL(新建CRL)” ,然后单击“OK(确定)”。
Microsoft CA服务器应在第1节中创建的文件夹中创建新的.crl文件。如果成功创建了新的CRL文件,则单击“确定”后不会出现对话框。如果返回有关新分发点文件夹的错误,请仔细重复本部分中的每个步骤。
4 节.验证CRL文件是否存在并可通过IIS访问
在开始本部分之前,请验证新的CRL文件是否存在,以及是否可以通过其他工作站的IIS访问这些文件。
-
在IIS服务器上,打开第1部分中创建的文件夹。应存在格式为<CANAME>.crl的单个.crl文件,其中<CANAME>是CA服务器的名称。在本示例中,文件名是:
rtpaaa-CA.crl
-
从网络上的工作站(最好与ISE主管理节点位于同一网络中),打开Web浏览器并浏览到http://<SERVER>/<CRLSITE>,其中<SERVER>是第2部分中配置的IIS服务器的服务器名称,<CRLSITE>是第2部分中为分发点选择的站点名称。在本示例中,URL为:
http://RTPAAA-DC1/CRLD
系统随即会显示目录索引,其中包括在步骤1中观察到的文件。
5 节.配置ISE以使用新的CRL分发点
在将ISE配置为检索CRL之前,请定义发布CRL的时间间隔。确定此间隔的策略不在本文档的讨论范围之内。潜在值(在Microsoft CA中)为1小时到411年(含)。默认值为1周。一旦确定了适合您环境的间隔,请按照以下说明设置该间隔:
-
在CA服务器任务栏上,单击Start。选择Administrative Tools > Certificate Authority。
-
在左侧窗格中,展开CA。右键单击吊销的证书文件夹并选择属性。
-
在CRL发布间隔字段中,输入所需的编号并选择时间段。单击确定关闭窗口并应用更改。在本示例中,配置了7天的发布间隔。
您现在应该确认几个注册表值,这将有助于确定ISE中的CRL检索设置。
-
输入certutil -getreg CA\Clock*命令以确认ClockSkew值。默认值为10分钟。
示例输出:
Values: ClockSkewMinutes REG_DWORS = a (10) CertUtil: -getreg command completed successfully. -
输入certutil -getreg CA\CRLov*命令以验证是否已手动设置CRLOverlapPeriod。默认情况下,CRLOverlapUnit值为0,表示未设置任何手动值。如果值不是0,请记录值和单位。
示例输出:
Values: CRLOverlapPeriod REG_SZ = Hours CRLOverlapUnits REG_DWORD = 0 CertUtil: -getreg command completed successfully. -
输入certutil -getreg CA\CRLpe*命令以验证CRLPeriod(已在步骤3中设置)。
示例输出:
Values: CRLPeriod REG_SZ = Days CRLUnits REG_DWORD = 7 CertUtil: -getreg command completed successfully. -
按如下方式计算CRL宽限期:
-
如果在步骤5中设置了CRLOverlapPeriod:OVERLAP = CRLOverlapPeriod,以分钟为单位;
其他:重叠= (CRL期间/10),以分钟为单位
-
如果重叠> 720,则重叠= 720
-
如果重叠< (1.5 * ClockSkewMinutes),则重叠= (1.5 * ClockSkewMinutes)
-
如果OVERLAP > CRLeriod,则重叠= CRLeriod,以分钟为单位
-
宽限期= 720分钟+ 10分钟= 730分钟
示例:
As stated above, CRLPeriod was set to 7 days, or 10248 minutes and CRLOverlapPeriod was not set. a. OVERLAP = (10248 / 10) = 1024.8 minutes b. 1024.8 minutes is > 720 minutes : OVERLAP = 720 minutes c. 720 minutes is NOT < 15 minutes : OVERLAP = 720 minutes d. 720 minutes is NOT > 10248 minutes : OVERLAP = 720 minutes e. Grace Period = 720 minutes + 10 minutes = 730 minutes
计算出的宽限期是CA发布下一个CRL到当前CRL到期之间的时间长度。需要将ISE配置为相应地检索CRL。
-
-
登录到主管理节点并选择Administration > System > Certificates。在左窗格中,选择证书存储。
-
选中要为其配置CRL的CA证书旁边的证书存储复选框。单击 Edit。
-
在窗口底部附近,选中Download CRL复选框。
-
在“CRL分发服务器URL”(CRL Distribution URL)字段中,输入指向CRL分发点的路径,其中包括第2部分中创建的.crl文件。在本示例中,URL为:
http://RTPAAA-DC1/CRLD/rtpaaa-ca.crl
-
可以将ISE配置为按固定间隔或基于到期时间(通常也是固定间隔)检索CRL。当CRL发布间隔为静态时,使用后一种选项可获得更及时的CRL更新。点击自动单选按钮。
-
将检索的值设置为小于步骤7中计算的宽限期的值。如果设置的值超过宽限期,ISE会在CA发布下一个CRL之前检查CRL分发点。在此示例中,宽限期计算为730分钟,或12小时10分钟。检索将使用10小时的值。
-
根据您的环境设置重试间隔。如果ISE无法按上一步中配置的间隔检索CRL,它将按此较短间隔重试。
-
如果ISE在其上次下载尝试中无法检索此CA的CRL,请选中Bypass CRL Verification if CRL is not Received复选框以允许基于证书的身份验证正常进行(不选中CRL检查)。如果未选中此复选框,则在无法检索CRL时,使用此CA颁发的证书进行的所有基于证书的身份验证都将失败。
-
选中Ignore that CRL is not yet valid or expired复选框,以允许ISE使用已过期(或尚未生效)的CRL文件,就好像这些文件有效。如果未选中此复选框,则ISE会将CRL视为在其生效日期之前和下次更新时间之后无效。单击Save完成配置。
验证
当前没有可用于此配置的验证过程。
故障排除
目前没有针对此配置的故障排除信息。
相关信息
修订历史记录
| 版本 | 发布日期 | 备注 |
|---|---|---|
1.0 |
21-Dec-2012 |
初始版本 |
反馈