配置 ISE 2.0 证书调配门户

简介

本文档介绍身份服务引擎 (ISE) 证书调配门户的配置和功能。

先决条件

要求

Cisco 建议您具有以下主题的基础知识：

• ISE
• 证书和证书颁发机构(CA)服务器。

使用的组件

本文档中的信息基于以下软件和硬件版本：

• 身份服务引擎2.0
• Windows 7 PC

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始（默认）配置。如果您的网络处于活动状态，请确保您了解所有命令的潜在影响。

背景信息

证书调配门户是ISE 2.0中引入的一项新功能，终端设备可以使用此功能从服务器注册和下载身份证书。它向无法通过自注册流程的设备颁发证书。

例如，销售点终端等设备无法通过自带设备(BYOD)流程，需要手动颁发证书。

证书调配门户允许特权用户组上传此类设备的证书请求(CSR);生成密钥对，然后下载证书。

在ISE上，您可以创建修改的证书模板，最终用户可以选择合适的证书模板下载证书。对于这些证书，ISE充当证书颁发机构(CA)服务器，我们可以获得由ISE内部CA签名的证书。

ISE 2.0证书调配门户支持以下格式的证书下载：

• PKCS12格式(包括证书链；证书链和密钥均为一个文件)
• PKCS12格式（证书和密钥的一个文件）
• 隐私增强型电子邮件(PEM)格式的证书（包括链），PKCS8 PEM格式的密钥。
• PEM格式的证书，PKCS8 PEM格式的密钥：

限制 

目前，ISE仅支持CSR中的这些扩展来签署证书。

• subjectDirectoryAttributes
• subjectAlternativeName
• keyUsage
• subjectKeyIdentifier
• auditIdentity
• extendedKeyUsage
• CERT_TEMPLATE_OID（这是自定义的OID，用于指定通常在BYOD流中使用的模板）

注意：ISE内部CA旨在支持使用BYOD等证书的功能，因此功能有限。思科不建议将ISE用作企业CA。

配置

要在网络中使用证书调配功能，必须启用ISE内部CA服务，并配置证书调配门户。

第1步：在ISE GUI上，导航至Administration > System > Certificates > Certificate Authority > Internal CA，并要在ISE节点上启用内部CA设置，请点击Enable Certificate Authority。

步骤2.在Administration > System > Certificates > Certificate Templates > Add下创建证书模板。

根据要求输入详细信息，然后点击提交，如下图所示。

注意：您可以在Administration > System > Certificates > Certificate Templates下看到已创建的证书模板的列表，如下图所示。

步骤3.要配置ISE证书调配门户，请导航至Administration > Device Portal Management > Certificate Provisioning > Create，如图所示：

步骤4.在新证书门户上，展开门户设置，如图所示。

HTTPS端口	HTTPS证书调配门户应使用的端口。
允许的接口	ISE应侦听此门户的接口。
证书组标记	用于证书调配门户的证书标记，指示用于此门户的系统证书。
认证方法	选择验证登录此门户的身份库序列。默认情况下，证书请求序列正在使用。
授权组	可通过将一组特定AD组和内部用户组移动到所选表来控制可访问证书调配门户的用户集。只有属于所选组的用户才能访问门户。
完全限定域名(FQDN)	您还可以为此门户指定特定FQDN。使用http/https浏览到FQDN的用户将重定向到此门户。FQDN应是唯一的，不与任何其他门户共享。
空闲超时	该值定义门户的空闲超时。

注意：可以在Administration > Identity Management > Identity Source Sequence下检查身份源的配置。

步骤5.配置登录页设置。

步骤6.配置AUP页面设置。

步骤7.您还可以添加登录后横幅。

步骤8.在Certificate Provisioning门户设置下，指定允许的证书模板。

步骤9.滚动到页面顶部并单击“保存”以保存更改。

此外，可通过导航至门户页面自定义选项卡进一步自定义门户，在该选项卡中，AUP文本、登录后横幅文本和其他消息可根据要求进行更改。

验证

使用本部分可确认配置能否正常运行。

如果ISE已正确配置用于证书调配，则可通过以下步骤从ISE证书调配门户请求/下载证书。

步骤1.打开浏览器，浏览到如上所述配置的证书调配门户FQDN或证书调配测试URL。您被重定向到门户，如下图所示：

步骤2.使用用户名和密码登录。

步骤3.身份验证成功后，接受AUP并进入证书调配页面。

步骤4.证书调配页面提供以下三种方式下载证书的功能：

• 单个证书（无证书签名请求）
• 单个证书（带证书签名请求）
• 批量证书

生成单个证书，无证书签名请求

• 要生成不带CSR的单个证书，请选择“生成单个证书（不带证书签名请求）”选项。
  
  
• 输入公用名(CN)。

注意：给定CN必须与请求者的用户名匹配。请求者是指用于登录门户的用户名。只有管理员用户可以为其他CN创建证书。

• 输入要为其生成证书的设备的MAC地址。
  
  
• 选择适当的证书模板。
  
  
• 选择应下载证书的所需格式。
  
  
• 输入证书密码并单击G生成。
  
  
• 成功生成并下载单个证书。
  
  

使用证书签名请求生成单个证书

• 要生成不带CSR的单个证书，请选择“生成单个证书（带证书签名请求）”选项。
  
  
• 从记事本文件的“证书签名请求详细信息”下复制并粘贴CSR内容。
  
  
• 输入要为其生成证书的设备的MAC地址。
  
  
• 选择适当的证书模板。
  
  
• 选择应下载证书的所需格式。
  
  
• 输入证书密码并单击Generate。
  
  
• 将成功生成并下载单个证书。
  
  

生成批量证书

如果上传包含CN和MAC地址字段的CSV文件，则可以为多个MAC地址生成批量证书。

注意：给定CN必须与请求者的用户名匹配。请求者是指用于登录门户的用户名。只有管理员用户可以为其他CN创建证书。

• 要生成不带CSR的单个证书，请选择“生成单个证书（带证书签名请求）”选项。
  
  
• 上传csv文件以进行批量请求。
  
  
• 选择适当的证书模板。
• 选择应下载证书的所需格式。
  
  
• 输入证书密码并单击Generate。
  
  
• 生成并下载批量证书压缩文件。

故障排除

目前没有针对此配置的故障排除信息。