在Microsoft CA伺服器上發佈ISE的證書吊銷清單配置示例
目錄
簡介
本檔案說明執行Internet Information Services (IIS)以發行憑證撤銷清單(CRL)更新的Microsoft Certificate Authority (CA)伺服器組態。它還說明如何配置思科身份服務引擎(ISE)(版本1.1及更高版本)以檢索用於證書驗證的更新。可以將ISE配置為檢索它在證書驗證中使用的各種CA根證書的CRL。
必要條件
需求
本文件沒有特定需求。
採用元件
本文中的資訊係根據以下軟體和硬體版本:
-
思科身分辨識服務引擎版本1.1.2.145
-
Microsoft Windows® Server® 2008 R2
本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除(預設)的組態來啟動。如果您的網路正在作用,請確保您已瞭解任何指令可能造成的影響。
慣例
設定
本節提供用於設定本文件中所述功能的資訊。
注意:使用命令查詢工具(僅限註冊客戶)可獲取有關此部分使用的命令的更多資訊。
組態
本檔案使用下列組態:
-
第1部分。在CA上建立並配置用於儲存CRL檔案的資料夾
-
第2部分。在IIS中建立網站以公開新的CRL發佈點
-
第3部分。配置Microsoft CA伺服器以將CRL檔案發佈到分發點
-
第4部分。確認CRL檔案存在且可以透過IIS存取
-
第5節。配置ISE以使用新的CRL分發點
第1部分。在CA上建立並配置用於儲存CRL檔案的資料夾
第一項任務是配置CA伺服器上的一個位置以儲存CRL檔案。預設情況下,Microsoft CA伺服器將檔案發佈到C:\Windows\system32\CertSrv\CertEnroll\。不要使用此系統資料夾,而是為檔案建立新資料夾。
-
在IIS伺服器上,選擇檔案系統上的位置,並建立新資料夾。在此範例中,會建立資料夾C:\CRLDistribution。
-
要使CA將CRL檔案寫入新資料夾,必須啟用共用。按一下右鍵新資料夾,選擇屬性,按一下共用頁籤,然後按一下高級共用。
-
要共用資料夾,請選中共用此資料夾覈取方塊,然後在共用名稱欄位的共用名稱末尾增加美元符號($)以隱藏共用。
-
依次按一下許可權(1)、增加(2)、對象型別(3),然後選中電腦覈取方塊(4)。
-
要返回Select Users、Computers、Service Accounts或Groups窗口,請按一下OK。在Enter the object names to select欄位中,輸入CA伺服器的電腦名稱並按一下Check Names。如果輸入的名稱有效,名稱會重新整理並顯示底線。按一下「OK」(確定)。
-
在Group or user names欄位中,選擇CA電腦。選中Allow for Full Control以授予對CA的完全訪問許可權。按一下「OK」(確定)。再次按一下OK以關閉「Advanced Sharing」窗口並返回「Properties」窗口。
-
要允許CA將CRL檔案寫入新資料夾,請配置相應的安全許可權。依次點選Security頁籤(1)、Edit (2)、Add (3)、Object Types (4),然後選中Computers覈取方塊(5)。
-
在Enter the object names to select欄位中,輸入CA伺服器的電腦名稱並按一下Check Names。如果輸入的名稱有效,名稱會重新整理並顯示底線。按一下「OK」(確定)。
-
在「Group or user names」欄位中選擇CA電腦,然後選中Allow for Full control以授予對CA的完全訪問許可權。按一下OK,然後按一下Close完成任務。
第2部分。在IIS中建立網站以公開新的CRL發佈點
要使ISE能夠訪問CRL檔案,請使儲存CRL檔案的目錄可透過IIS進行訪問。
-
在IIS伺服器工作列上,按一下啟動。選擇管理工具> Internet資訊服務(IIS)管理器。
-
在左窗格中(稱為控制檯樹),展開IIS伺服器名稱,然後展開站點。
-
按一下右鍵預設網站並選擇增加虛擬目錄。
-
在別名欄位中,輸入CRL分發點的站點名稱。在本例中,輸入CRLD。
-
按一下省略符號(. ..)在Physical path(物理路徑)欄位的右側,瀏覽到第1部分中建立的資料夾。選擇資料夾並按一下OK。按一下OK關閉Add Virtual Directory窗口。
-
在步驟4中輸入的站點名稱應在左窗格中突出顯示。如果不是,請立即選擇。在中心窗格中,按兩下Directory Browsing。
-
在右窗格中,按一下Enable以啟用目錄瀏覽。
-
在左窗格中,再次選擇站點名稱。在中心窗格中,按兩下配置編輯器。
-
在「Section」下拉選單中,選擇system.webServer/security/requestFiltering。在allowDoubleEscaping下拉選單中,選擇True。在右窗格中,按一下Apply。
資料夾現在應該可以透過IIS存取。
第3部分。配置Microsoft CA伺服器以將CRL檔案發佈到分發點
現在已設定新資料夾來存放CRL檔案,而且資料夾已經在IIS中公開,請設定Microsoft CA伺服器將CRL檔案發佈到新位置。
-
在CA伺服器工作列上,按一下Start。選擇Administrative Tools > Certificate Authority。
-
在左窗格中,按一下右鍵CA名稱。選擇屬性,然後按一下擴展頁籤。要增加新的CRL分發點,請按一下Add。
-
在「位置」欄位中,輸入第1部分中建立和共用的資料夾的路徑。在第1節的範例中,路徑為:
\\RTPAAA-DC1\CRLDistribution$\
-
在填充了Location欄位後,從Variable下拉選單中選擇<CaName>,然後按一下Insert。
-
從「變數」下拉選單中選擇<CRLNameSuffix>,然後按一下插入。
-
在「位置」欄位中,將.crl附加至路徑結尾。在本例中,「位置」為:
\\RTPAAA-DC1\CRLDistribution$\<CaName><CRLNameSuffix>.crl
-
按一下OK返回Extensions頁籤。選中Publish CRLs to this location覈取方塊(1),然後按一下OK (2)關閉「屬性」窗口。出現一個提示符,提示您獲得重新啟動Active Directory證書服務的許可權。按一下Yes(3)。
-
在左窗格中,按一下右鍵吊銷的證書。選擇所有任務>發佈。確定已選取「新CRL」,然後按一下「確定」。
Microsoft CA伺服器應在第1部分中建立的資料夾中建立新的.crl檔案。如果成功建立新的CRL檔案,按一下「確定」之後將不會出現通話方塊。如果返回有關新分發點資料夾的錯誤,請仔細重複本節中的每一個步驟。
第4部分。確認CRL檔案存在且可以透過IIS存取
開始本節之前,請先確認新的CRL檔案存在,而且可以從其他工作站透過IIS存取這些檔案。
-
在IIS伺服器上,打開第1部分中建立的資料夾。應該有一個.crl檔案,格式為<CANAME>.crl,其中<CANAME>是CA伺服器的名稱。在此範例中,檔案名稱為:
rtpaaa-CA.crl
-
從網路上的工作站(最好與ISE主管理節點位於同一網路中),打開Web瀏覽器並瀏覽到http://<SERVER>/<CRLSITE>,其中<SERVER>是在第2部分中配置的IIS伺服器的伺服器名稱,<CRLSITE>是在第2部分中為分發點選擇的站點名稱。在此範例中,URL為:
http://RTPAAA-DC1/CRLD
此時會顯示目錄索引,其中包括步驟1中觀察到的檔案。
第5節。配置ISE以使用新的CRL分發點
在將ISE配置為檢索CRL之前,請定義發佈CRL的間隔。確定此間隔的策略不在本文檔的討論範圍之內。潛在值(在Microsoft CA中)為1小時到411年(含)。預設值為1週。確定適合您環境的間隔後,請按照以下說明設定間隔:
-
在CA伺服器工作列上,按一下Start。選擇Administrative Tools > Certificate Authority。
-
在左窗格中,展開CA。按一下右鍵吊銷的證書資料夾並選擇屬性。
-
在CRL發佈間隔欄位中,輸入所需數字並選擇時間段。按一下確定關閉窗口並應用更改。在本示例中,配置了7天的發佈間隔。
您現在應該確認幾個登錄檔值,這將有助於確定ISE中的CRL檢索設定。
-
輸入certutil -getreg CA\Clock*命令以確認ClockSkew值。預設值為10分鐘。
輸出範例:
Values: ClockSkewMinutes REG_DWORS = a (10) CertUtil: -getreg command completed successfully. -
輸入certutil -getreg CA\CRLov*命令以驗證是否已手動設定CRLOverlapPeriod。預設情況下,CRLOverlapUnit值為0,表示未設定任何手動值。如果值不是0,請記錄值和單位。
輸出範例:
Values: CRLOverlapPeriod REG_SZ = Hours CRLOverlapUnits REG_DWORD = 0 CertUtil: -getreg command completed successfully. -
輸入certutil -getreg CA\CRLpe*命令以驗證CRLPeriod(已在步驟3中設定)。
輸出範例:
Values: CRLPeriod REG_SZ = Days CRLUnits REG_DWORD = 7 CertUtil: -getreg command completed successfully. -
計算CRL寬限期如下:
-
如果在步驟5: OVERLAP = CRLOverlapPeriod中設定CRLOverlapPeriod,以分鐘為單位;
否則:重疊= (CRL週期/ 10),以分鐘為單位
-
如果重疊> 720,則重疊= 720
-
如果重疊< (1.5 * ClockSkewMinutes),則重疊= (1.5 * ClockSkewMinutes)
-
如果OVERLAP > CRLPeriod,則以分鐘為單位,則OVERLAP = CRLPeriod,以分鐘為單位
-
寬限期= 720分鐘+ 10分鐘= 730分鐘
範例:
As stated above, CRLPeriod was set to 7 days, or 10248 minutes and CRLOverlapPeriod was not set. a. OVERLAP = (10248 / 10) = 1024.8 minutes b. 1024.8 minutes is > 720 minutes : OVERLAP = 720 minutes c. 720 minutes is NOT < 15 minutes : OVERLAP = 720 minutes d. 720 minutes is NOT > 10248 minutes : OVERLAP = 720 minutes e. Grace Period = 720 minutes + 10 minutes = 730 minutes
計算的寬限期是CA發佈下一個CRL到當前CRL到期之間的時間量。需要配置ISE以相應地檢索CRL。
-
-
登入主Admin節點並選擇Administration > System > Certificates。在左窗格中,選擇證書儲存。
-
選中要為其配置CRL的CA證書旁邊的Certificate Store覈取方塊。按一下Edit。
-
在靠近窗口底部的地方,選中Download CRL覈取方塊。
-
在「CRL分發URL」欄位中,輸入CRL分發點的路徑,其中包括第2部分中建立的.crl檔案。在此範例中,URL為:
http://RTPAAA-DC1/CRLD/rtpaaa-ca.crl
-
ISE可以配置為定期檢索或根據過期檢索CRL(一般而言,這也是一個定期間隔)。當CRL發佈間隔為靜態時,使用後一個選項可獲得更及時的CRL更新。按一下Automatically單選按鈕。
-
將擷取值設定為小於步驟7所計算之寬限期的數值。如果值集長於寬限期,ISE會在CA發佈下一個CRL之前檢查CRL分發點。在此範例中,寬限期計算為730分鐘,或12小時10分鐘。擷取將使用10小時的值。
-
根據您的環境設定適當的重試間隔。如果ISE無法在上一步中配置的間隔檢索CRL,它將以此較短間隔重試。
-
選中Bypass CRL Verification if CRL is not Received覈取方塊,以便如果ISE無法在其上次下載嘗試中檢索此CA的CRL,則允許基於證書的身份驗證正常進行(且不檢查CRL)。如果未選中此覈取方塊,則如果無法檢索CRL,則使用此CA頒發的證書的所有基於證書的身份驗證都將失敗。
-
選中Ignore that CRL is not not valid or expired覈取方塊,以允許ISE使用已過期(或尚未生效)的CRL檔案,就好像它們是有效的。如果未選中此覈取方塊,則ISE會將CRL視為在生效日期之前和下次更新時間之後無效。按一下Save完成配置。
驗證
目前沒有適用於此組態的驗證程序。
疑難排解
目前尚無適用於此組態的具體疑難排解資訊。
相關資訊
修訂記錄
| 修訂 | 發佈日期 | 意見 |
|---|---|---|
1.0 |
21-Dec-2012 |
初始版本 |
意見