Configuración del soporte HTTPS para la integración de ISE SCEP

Opciones de descarga

  • PDF     (1.3 MB)
    Visualice con Adobe Reader en una variedad de dispositivos
  • ePub     (1.4 MB)
    Visualice en diferentes aplicaciones en iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (763.1 KB)
    Visualice en dispositivo Kindle o aplicación Kindle en múltiples dispositivos
Actualizado:31 de julio de 2013
ID del documento:116238

Lenguaje no discriminatorio

El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.

Acerca de esta traducción

Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).

Introducción

Este documento describe los pasos necesarios para configurar la compatibilidad de Protocolo de transferencia de hipertexto seguro (HTTPS) para la integración del Protocolo de inscripción de certificados seguros (SCEP) con Identity Services Engine (ISE).

Prerequisites

Requirements

Cisco recomienda que tenga conocimiento sobre estos temas:

  • Conocimiento básico del servidor Web de Servicios de Internet Information Server (IIS) de Microsoft
  • Experiencia en la configuración de SCEP y certificados en ISE

Componentes Utilizados

La información que contiene este documento se basa en las siguientes versiones de software y hardware.

  • ISE versión 1.1.x
  • Windows Server 2008 R2 Enterprise con revisiones para KB2483564 y KB2633200 instalados

La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). If your network is live, make sure that you understand the potential impact of any command.

La información relacionada con los servicios de certificados de Microsoft se proporciona como guía específica para la iniciativa "Trae tu propio dispositivo" (BYOD) de Cisco. Consulte TechNet de Microsoft como la fuente de información definitiva para las configuraciones de servidor relacionadas con la entidad de certificación de Microsoft, el Servicio de inscripción de dispositivos de red (NDES) y SCEP.

 

Antecedentes

En una implementación de BYOD, uno de los componentes principales es un servidor empresarial Microsoft 2008 R2 que tiene instalado el rol NDES.  Este servidor es miembro del bosque de Active Directory (AD).  Durante la instalación inicial de NDES, el servidor web IIS de Microsoft se instala automáticamente y se configura para admitir la terminación HTTP de SCEP. En algunas implementaciones de BYOD, es posible que los clientes deseen proteger aún más las comunicaciones entre ISE y NDES mediante HTTPS. Este procedimiento detalla los pasos necesarios para solicitar e instalar un certificado de capa de conexión segura (SSL) para el sitio web de SCEP.

Configurar

Configuración del certificado del servidor NDES

Nota: debe configurar un nuevo certificado para IIS (sólo es necesario cuando IIS se integra con una PKI de terceros, como Verisign, o cuando las funciones de servidor de la entidad de certificación (CA) y NDES se separan en servidores independientes). En la instalación, si la función NDES está en un servidor de la CA de Microsoft actual, IIS utiliza el certificado de identidad del servidor creado durante la instalación de la CA.  Para configuraciones independientes como esta, vaya directamente a la sección Configuración de enlace de IIS del servidor NDES de este documento.

  1. Conéctese al servidor NDES a través de la consola o RDP.
  2. Haga clic en Inicio -> Herramientas administrativas -> Administrador de Internet Information Services (IIS).
  3. Resalte el nombre del servidor IIS y haga clic en el icono Server Certificates.

  4. Haga clic en Create Certificate Request y complete los campos.

  5. Abra el archivo .cer creado en el paso anterior con un editor de texto y copie el contenido en el portapapeles.

  6. Acceda al sitio web de Microsoft CA Web Enrollment y haga clic en Solicitar un certificado.

    URL de ejemplo: http://yourCAIP/certsrv


  7. Haga clic en Enviar una solicitud de certificado mediante... Pegue en el contenido del certificado desde el portapapeles y elija la plantilla Servidor Web.

  8. Haga clic en Enviar y guarde el archivo de certificado en el escritorio.
  9. Vuelva al servidor NDES y abra la utilidad Administrador de IIS. Haga clic en el nombre del servidor y luego haga clic en Complete Certificate Request para importar el certificado de servidor recién creado.

Configuración de enlace IIS del servidor NDES

  1. Expanda el nombre del servidor, expanda Sitios y haga clic en Sitio Web predeterminado.
  2. Haga clic en Enlaces en la esquina superior derecha.
  3. Haga clic en Agregar, cambie el Tipo a HTTPS y elija el certificado de la lista desplegable.
  4. Click OK.

 

Configuración del servidor ISE

  1. Conéctese a la interfaz de inscripción en Web del servidor de la CA y descargue la cadena de certificados de la CA.

  2. En la GUI de ISE, vaya a Administration -> Certificates -> Certificate Store e importe la cadena de certificados de la CA en el almacén de ISE.

  3. Navegue hasta Administration -> Certificates -> SCEP CA Profiles y configure la URL para HTTPS. Haga clic en Probar conectividad y luego haga clic en Guardar.

Verificación

Use esta sección para confirmar que su configuración funciona correctamente.

  • Vaya a Administration -> Certificates -> Certificate Store y verifique que la cadena de certificados de la CA y el certificado de la autoridad de registro (RA) del servidor NDES estén presentes.
  • Utilice Wireshark o TCP Dump para supervisar el intercambio SSL inicial entre el nodo de administración de ISE y el servidor NDES.

La herramienta de interpretación de información de salida (disponible para clientes registrados únicamente) admite ciertos comandos show. Utilice la herramienta para ver una análisis de información de salida del comando show.

Troubleshoot

En esta sección encontrará información que puede utilizar para solucionar problemas de configuración.

  • Desglose la topología de red BYOD en puntos de referencia lógicos para ayudar a identificar los puntos de depuración y captura a lo largo de la ruta entre estos terminales: ISE, NDES y CA.
  • Asegúrese de que TCP 443 esté permitido bidireccionalmente entre ISE y el servidor NDES.
  • Supervise los registros de las aplicaciones del servidor de CA y NDES para detectar errores de registro y utilice Google o TechNet para investigar dichos errores.
  • Utilice la utilidad de volcado TCP en ISE PSN y supervise el tráfico hacia y desde el servidor NDES. Se encuentra en Operaciones > Herramientas de diagnóstico > Herramientas generales.
  • Instale Wireshark en el servidor NDES o utilice SPAN en los switches intermedios para capturar el tráfico SCEP desde y hacia ISE PSN.

La herramienta de interpretación de información de salida (disponible para clientes registrados únicamente) admite ciertos comandos show. Utilice la herramienta para ver una análisis de información de salida del comando show.

Nota: Consulte Información Importante sobre Comandos Debug antes de utilizar los comandos debug.

Información Relacionada

Historial de revisiones

Revisión Fecha de publicación Comentarios
1.0
27-May-2013
Versión inicial
TAC Authored

Con la colaboración de ingenieros de Cisco

  • Todd Pula and Sylvain Levesque
    Cisco TAC Engineers.

¿Resultó útil este documento?

FeedbackComentarios

Contacte a Cisco

Este documento se aplica a estos productos