在Microsoft CA服务器上发布ISE的证书撤销列表配置示例
目录
简介
本文档介绍运行Internet Information Services(IIS)以发布证书吊销列表(CRL)更新的Microsoft证书颁发机构(CA)服务器的配置。它还说明如何配置思科身份服务引擎(ISE)(版本1.1及更高版本)以检索更新以用于证书验证。ISE可以配置为检索它在证书验证中使用的各种CA根证书的CRL。
先决条件
要求
本文档没有任何特定的要求。
使用的组件
本文档中的信息基于以下软件和硬件版本:
-
思科身份服务引擎版本1.1.2.145
-
Microsoft Windows® Server® 2008 R2
本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您使用的是真实网络,请确保您已经了解所有命令的潜在影响。
规则
有关文档规则的详细信息,请参阅 Cisco 技术提示规则。
配置
本部分提供有关如何配置本文档所述功能的信息。
注意:要获取此部分中所用命令的更多信息,可使用命令查找工具(仅限已注册客户)。
配置
本文档使用以下配置:
-
第1部分。在CA上创建并配置文件夹以存储CRL文件
-
第2部分。在IIS中创建站点以公开新的CRL分发点
-
第3部分。配置Microsoft CA服务器以将CRL文件发布到分发点
-
第4节:验证CRL文件存在且可以通过IIS访问
-
第5节:配置ISE以使用新的CRL分发点
第1部分。在CA上创建并配置文件夹以存储CRL文件
第一项任务是配置CA服务器上的位置以存储CRL文件。默认情况下,Microsoft CA服务器将文件发布到C:\Windows\system32\CertSrv\CertEnroll\。请为这些文件创建一个新文件夹,而不是使用此系统文件夹。
-
在IIS服务器上,选择文件系统上的位置并创建新文件夹。在本示例中,创建文件夹C:\CRLDistribution。
-
要使CA将CRL文件写入新文件夹,必须启用共享。右键单击新文件夹,选择Properties,单击Sharing选项卡,然后单击Advanced Sharing。
-
要共享文件夹,请选中共享此文件夹复选框,然后在“共享名称”字段中的共享名称末尾添加一个美元符号($)以隐藏共享。
-
单击Permissions(1),单击Add(2),单击Object Types(3),然后选中Computers复选框(4)。
-
要返回“选择用户”、“计算机”、“服务帐户”或“组”窗口,请单击确定。在Enter the object names to select字段中,输入CA服务器的计算机名称,然后单击Check Names。如果输入的名称有效,该名称将刷新并显示下划线。Click OK.
-
在“组或用户名”字段中,选择CA计算机。选中Allow for Full Control以授予对CA的完全访问权限。Click OK.再次单击OK以关闭“高级共享”窗口并返回到“属性”窗口。
-
要允许CA将CRL文件写入新文件夹,请配置相应的安全权限。点击Security选项卡(1),点击Edit(2),点击Add(3),点击Object Types(4),然后选中Computers复选框(5)。
-
在Enter the object names to select字段中,输入CA服务器的计算机名称,然后单击Check Names。如果输入的名称有效,该名称将刷新并显示下划线。Click OK.
-
在Group or user names字段中选择CA计算机,然后选中Allow for Full control以授予对CA的完全访问权限。单击OK,然后单击Close完成任务。
第2部分。在IIS中创建站点以公开新的CRL分发点
要使ISE访问CRL文件,请使包含CRL文件的目录可通过IIS访问。
-
在IIS服务器任务栏上,单击开始。选择管理工具> Internet信息服务(IIS)管理器。
-
在左侧窗格(称为控制台树)中,展开IIS服务器名称,然后展开Sites。
-
右键单击Default Web Site,然后选择Add Virtual Directory。
-
在“别名”字段中,输入CRL分发点的站点名称。在本示例中,输入CRLD。
-
单击省略号(。..)在Physical path(物理路径)字段右侧,浏览到在第1部分中创建的文件夹。选择该文件夹并单击OK。单击OK关闭Add Virtual Directory窗口。
-
在步骤4中输入的站点名称应在左窗格中突出显示。否则,请立即选择它。在中心窗格中,双击目录浏览。
-
在右侧窗格中,单击Enable以启用目录浏览。
-
在左侧窗格中,再次选择站点名称。在中心窗格中,双击配置编辑器。
-
在Section下拉列表中,选择system.webServer/security/requestFiltering。在allowDoubleEscaping下拉列表中,选择True。在右侧窗格中,单击Apply。
现在应可通过IIS访问该文件夹。
第3部分。配置Microsoft CA服务器以将CRL文件发布到分发点
现在已配置新文件夹来容纳CRL文件,并且该文件夹已在IIS中公开,请将Microsoft CA服务器配置为将CRL文件发布到新位置。
-
在CA服务器任务栏上,单击开始。选择Administrative Tools > Certificate Authority。
-
在左窗格中,右键单击CA名称。选择Properties,然后单击Extensions选项卡。要添加新的CRL分发点,请单击Add。
-
在“位置”字段中,输入在第1部分创建和共享的文件夹的路径。在第1部分的示例中,路径为:
\\RTPAAA-DC1\CRLDistribution$\
-
填充Location字段后,从Variable下拉列表中选择<CaName>,然后点击Insert。
-
从Variable下拉列表中,选择<CRLNameSuffix>,然后单击Insert。
-
在Location字段中,将.crl附加到路径末尾。在本示例中,位置为:
\\RTPAAA-DC1\CRLDistribution$\<CaName><CRLNameSuffix>.crl
-
单击OK返回到Extensions选项卡。选中Publish CRLs to this location复选框(1),然后单击OK(2)以关闭“Properties”窗口。系统将显示一个提示符,询问是否有权重新启动Active Directory证书服务。单击Yes(3)。
-
在左窗格中,右键单击Revoked Certificates。选择所有任务>发布。确保已选择新的CRL,然后点击确定。
Microsoft CA服务器应在第1节中创建的文件夹中创建新的.crl文件。如果成功创建新的CRL文件,则单击“确定”后将不会出现对话框。如果返回有关新分发点文件夹的错误,请仔细重复本节中的步骤。
第4节:验证CRL文件存在且可以通过IIS访问
在开始本部分之前,验证新的CRL文件是否存在,以及是否可以从其他工作站通过IIS访问这些文件。
-
在IIS服务器上,打开第1部分中创建的文件夹。应存在一个.crl文件,其格式为<CANAME>.crl,其中<CANAME>是CA服务器的名称。在本示例中,文件名是:
rtpaaa-CA.crl
-
从网络上的工作站(最好与ISE主管理节点位于同一网络),打开Web浏览器并浏览到http://<SERVER>/<CRLSITE>,其中<SERVER>是在第2部分中配置的IIS服务器的服务器名称,<CRLSITE>是在第2部分中为分发点选择的站点名称。在本示例中,URL为:
http://RTPAAA-DC1/CRLD
系统随即会显示目录索引,其中包括在步骤1中观察到的文件。
第5节:配置ISE以使用新的CRL分发点
在将ISE配置为检索CRL之前,请定义发布CRL的时间间隔。确定此间隔的策略不在本文档的讨论范围之内。潜在值(在Microsoft CA中)为1小时到411年(含)。默认值为1周。确定适合您环境的间隔后,请使用以下说明设置间隔:
-
在CA服务器任务栏上,单击开始。选择Administrative Tools > Certificate Authority。
-
在左侧窗格中,展开CA。右键单击Revoked Certificates文件夹,然后选择Properties。
-
在CRL发布间隔字段中,输入所需的编号并选择时间段。单击OK关闭窗口并应用更改。在本示例中,配置了7天的发布间隔。
您现在应该确认几个注册表值,这将帮助确定ISE中的CRL检索设置。
-
输入certutil -getreg CA\Clock*命令以确认ClockSkew值。默认值为10分钟。
示例输出:
Values: ClockSkewMinutes REG_DWORS = a (10) CertUtil: -getreg command completed successfully. -
输入certutil -getreg CA\CRLov*命令以验证是否已手动设置CRLOverlapPeriod。默认情况下,CRLOverlapUnit值为0,表示未设置手动值。如果该值不是0,请记录该值和单位。
示例输出:
Values: CRLOverlapPeriod REG_SZ = Hours CRLOverlapUnits REG_DWORD = 0 CertUtil: -getreg command completed successfully. -
输入certutil -getreg CA\CRLpe*命令以验证在步骤3中设置的CRLPeriod。
示例输出:
Values: CRLPeriod REG_SZ = Days CRLUnits REG_DWORD = 7 CertUtil: -getreg command completed successfully. -
按如下方式计算CRL宽限期:
-
如果在步骤5中设置了CRLOverlapPeriod:OVERLAP = CRLOverlapPeriod(以分钟为单位);
其他:重叠=(CRLeriod / 10),以分钟为单位
-
如果重叠大于720,则重叠= 720
-
如果重叠<(1.5 * ClockSkewMinutes),则重叠=(1.5 * ClockSkewMinutes)
-
如果OVERLAP > CRLPeriod,则重叠= CRLPeriod,以分钟为单位
-
宽限期= 720分钟+ 10分钟= 730分钟
示例:
As stated above, CRLPeriod was set to 7 days, or 10248 minutes and CRLOverlapPeriod was not set. a. OVERLAP = (10248 / 10) = 1024.8 minutes b. 1024.8 minutes is > 720 minutes : OVERLAP = 720 minutes c. 720 minutes is NOT < 15 minutes : OVERLAP = 720 minutes d. 720 minutes is NOT > 10248 minutes : OVERLAP = 720 minutes e. Grace Period = 720 minutes + 10 minutes = 730 minutes
计算出的宽限期是CA发布下一个CRL到当前CRL到期之间的时间量。需要配置ISE以相应地检索CRL。
-
-
登录到主管理节点,然后选择管理>系统>证书。在左侧窗格中,选择证书存储。
-
选中要为其配置CRL的CA证书旁边的证书存储复选框。单击 Edit。
-
在窗口底部附近,选中Download CRL复选框。
-
在CRL分发URL字段中,输入CRL分发点的路径,其中包括第2部分创建的.crl文件。在本示例中,URL为:
http://RTPAAA-DC1/CRLD/rtpaaa-ca.crl
-
ISE可配置为按固定间隔或基于到期时间(通常也是固定间隔)检索CRL。 当CRL发布间隔为静态时,使用后一个选项可获得更及时的CRL更新。单击Automatically单选按钮。
-
将检索的值设置为小于在步骤7中计算的宽限期的值。如果值集大于宽限期,ISE将在CA发布下一个CRL之前检查CRL分发点。在此示例中,宽限期计算为730分钟或12小时10分钟。检索将使用10小时的值。
-
根据您的环境设置重试间隔。如果ISE无法按上一步中配置的间隔检索CRL,它将按此较短间隔重试。
-
选中Bypass CRL Verification if CRL is not Received复选框,以在ISE无法在其上次下载尝试中检索此CA的CRL时允许基于证书的身份验证正常进行(并且不选中CRL检查)。如果未选中此复选框,则在无法检索CRL时,使用此CA颁发的证书的所有基于证书的身份验证都将失败。
-
选中Ignore that CRL is not yet or expired复选框,以允许ISE使用已过期(或尚未有效)的CRL文件,就好像它们是有效的。如果未选中此复选框,则ISE会将CRL视为在其生效日期之前和下次更新时间之后无效。单击Save完成配置。
验证
当前没有可用于此配置的验证过程。
故障排除
目前没有针对此配置的故障排除信息。
相关信息
修订历史记录
| 版本 | 发布日期 | 备注 |
|---|---|---|
1.0 |
21-Dec-2012 |
初始版本 |
反馈