驗證通過SSL/TLS進行Microsoft AD身份驗證的FireSIGHT系統上的身份驗證對象

下載選項

  • PDF     (197.2 KB)
    在多種裝置上使用 Adobe Reader 檢視
  • ePub     (85.5 KB)
    在 iPhone、iPad、Android、Sony Reader 或 Windows Phone 上的各種應用程式中檢視
  • Mobi (Kindle)     (68.1 KB)
    在 Kindle 裝置或多部裝置的 Kindle 應用程式上檢視
已更新: 2014 年 10 月 27 日
文件 ID:118635

無偏見用語

本產品的文件集力求使用無偏見用語。針對本文件集的目的,無偏見係定義為未根據年齡、身心障礙、性別、種族身分、民族身分、性別傾向、社會經濟地位及交織性表示歧視的用語。由於本產品軟體使用者介面中硬式編碼的語言、根據 RFP 文件使用的語言,或引用第三方產品的語言,因此本文件中可能會出現例外狀況。深入瞭解思科如何使用包容性用語。

關於此翻譯

思科已使用電腦和人工技術翻譯本文件,讓全世界的使用者能夠以自己的語言理解支援內容。請注意,即使是最佳機器翻譯,也不如專業譯者翻譯的內容準確。Cisco Systems, Inc. 對這些翻譯的準確度概不負責,並建議一律查看原始英文文件(提供連結)。

簡介

您可以配置FireSIGHT管理中心,以允許外部Active Directory LDAP使用者驗證對Web使用者介面和CLI的訪問。本文討論如何配置、測試和排除Microsoft AD Authentication Over SSL/TLS的身份驗證對象故障。

必備條件

思科建議您瞭解FireSIGHT管理中心的使用者管理和外部身份驗證系統。

本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除(預設)的組態來啟動。如果您的網路正在作用,請確保您已瞭解任何指令可能造成的影響。

程式

步驟1.配置不帶SSL/TLS加密的身份驗證對象。

  1. 按照正常方式配置身份驗證對象。加密和非加密身份驗證的基本配置步驟相同。
  2. 確認身份驗證對象正在工作,並且AD LDAP使用者可以進行未加密的身份驗證。

步驟2.在不使用CA證書的情況下通過SSL和TLS測試身份驗證對象。
 
在不使用CA證書的情況下,通過SSL和TLS測試身份驗證對象。如果您遇到問題,請諮詢您的系統管理員,在AD LDS伺服器上解決此問題。如果之前已將證書上傳到身份驗證對象,請選擇「證書已載入(選擇以清除載入的證書)」以清除證書並再次測試AO。
 
如果身份驗證對象失敗,請諮詢您的系統管理員以驗證AD LDS SSL/TLS配置,然後再繼續下一步。但是,請隨意繼續執行以下步驟,以便使用CA證書進一步測試身份驗證對象。
 
步驟3.下載Base64 CA證書。

  1. 登入AD LDS。
  2. 開啟Web瀏覽器並連線到http://localhost/certsrv
  3. 按一下「Download a CA certificate, certificate chain, or CRL
  4. 從「CA Certificate」列表中選擇CA憑證,從「Encoding Method」中選擇「Base64
  5. 按一下「Download CA certificate」連結,下載certnew.cer檔案。

步驟4.驗證cert中的Subject值。

  1. 按一下右鍵certnew.cer,然後選擇open
  2. 按一下Details頁籤,然後從Show下拉選項中選擇<All>
  3. 驗證每個欄位的值。具體來說,驗證Subject值是否與身份驗證對象的Primary Server Host name匹配。

步驟5.在Microsoft Windows電腦上測試證書。可以在加入工作組或域的Windows電腦上執行此測試。

提示:在FireSIGHT管理中心上建立身份驗證對象之前,此步驟可用於在Windows系統上測試CA證書。

  1. 將CA憑證複製到C:\Certficate或任何首選目錄。
  2. 運行Windows命令列cmd.exe。作為管理員
  3. 使用Certutil指令測試CA憑證
cd c:\Certificate

certutil -v -urlfetch -verify certnew.cer >cacert.test.txt

如果Windows電腦已加入域,則CA證書應位於證書儲存中,並且cacert.test.txt中應該沒有錯誤。但是,如果Windows電腦在工作組中,您可能會看到這兩種消息之一,具體取決於受信任CA清單中是否存在CA證書。

a.CA受信任,但找不到CA的CRL:

ERROR: Verifying leaf certificate revocation status returned The revocation function
 was unable to check revocation because the revocation server was offline. 0x80092013
 (-2146885613)

CertUtil: The revocation function was unable to check revocation because the
 revocation server was offline.

b.CA不受信任:

Verifies against UNTRUSTED root
Cert is a CA certificate
Cannot check leaf certificate revocation status
CertUtil: -verify command completed successfully.

如果您收到以下任何其它錯誤消息,請諮詢您的系統管理員,解決AD LDS和中繼CA上的問題。這些錯誤消息表示Cert不正確、CA證書中的主題、缺少證書鏈等。

Failed "AIA" Time: 0
Failed "CDP" Time: 0
Error retrieving URL: The specified network resource or d evice is no longer available

步驟6.確認CA證書有效並已通過步驟5中的測試後,將證書上傳到身份驗證對象並運行測試。

步驟7.儲存身份驗證對象並重新應用系統策略。

TAC Authored

由思科工程師貢獻

  • Binyam Demissie
    Cisco TAC Engineer.

這份文件是否有所幫助?

Feedback意見

讓思科協助您

本文件適用於這些產品