·pki_instance_root =的/ var / lib中
#此被设定的根位置来存储PKI实例。根据实施例17中使用的设置,它将被放置在以下目录:在/ var / lib中/ ISE-CA。
·pki_instance_name = ISE-CA
#此被命名新的CA实例“伊势-CA”。您可以使用其他名称代替此,以满足组织的需求。
·subsystem_type =约
#Sets子系统是一个证书颁发机构。其他可能的子系统并不适用于本指南。
·agent_secure_port = 9443
#代理服务的,管理员可以查看已配置的什么证书,吊销他们,等
·ee_secure_port = 9444
#设置终端实体的Web服务的SSL端口。
·ee_secure_client_auth_port = 9446
#设置终端实体认证的SSL端口。
·admin_secure_port = 9447
#这是用来访问CA服务页面作为管理员的默认端口。
·unsecure_port = 9180
#设置常规的端口号。未指定时,将随机生成的。
·tomcat_server_port = 9701#
·用户= pkiuser#
·组= pkiuser#
·重定向CONF =的/ etc / ISE-CA
#配置的配置数据被存储在/ etc / ISE-CA
·重定向日志=的/ var /数/ ISE-CA
#配置日志是在/ var /日志/ ISE-CA目录。
·详细
#设置安装要在详细模式,为您提供尽可能详细越好。
实例17 - 创建PKI实例
pkicreate -pki_instance_root =的/ var / lib中-pki_instance_name = ISE-CA -subsystem_type = CA -agent_secure_port = 9443 -ee_secure_port = 9444 -ee_secure_client_auth_port = 9446 -admin_secure_port = 9447 -unsecure_port = 9180 -tomcat_server_port = 9701 -user = pkiuser - 基团= pkiuser-redirect CONF =的/ etc / ISE-CA -redirect日志=的/ var /数/ ISE-CA -verbose
步骤2执行与狗牌CA的图形配置
一旦安装脚本完整的运行,一条消息将与唯一的URL来访问狗牌GUI并完成安装CA显示,如例如18所示。
实施例18 - 独特的URL的示例到狗牌GUI
记录在/var/log/ise-ca-install.log安装信息。
[调试] run_command(/ sbin目录/服务PKI-CAD重启ISE-CA)
与之前继续配置,确保
本机的防火墙设置允许适当的
访问该子系统。
请开始通过访问配置:
HTTPS://atw-dogtag01.ise.local:9447 / CA /管理/控制台/配置/登录引脚= UUVMDHRvTojQrdeod91e
配置完成后,服务器可以通过在命令来操作:
/ sbin目录/服务PKI-CAD重启ISE-CA
步骤3,从欢迎屏幕点击下一步
亚伦Woland
Figure4 - 设置向导
第4步创建一个“新的安全域”。将它命名为“ISE BYOD域”和点击下一步
Figure5 - 新的安全域
步骤5名的子系统“证书颁发机构”和点击下一步
Figure6 - 子系统名称
第6步使这种新的PKI层次结构中这是一个自签名的根CA。当然,这可能会成为现有CA的下级CA然而,这不是这篇文章的重点。
亚伦Woland
Figure7 - PKI层次
第7步的内部数据库是目录服务器(ds389),我们提前安装。所有的设置应正确填写。请加实例12中创建较早的目录管理员密码。
亚伦Woland
Figure8 - 内部数据库
步骤8生成密钥对。RSA的W / SHA256和2048位的密钥大小将正常工作的默认,然后单击下一步。
亚伦Woland
Figure9 - 密钥对
步骤9证书主题行可以在它们的默认值留下,并点击下一步
亚伦Woland
Figure10 - 证书主题名称
步骤10如果有必要的行动,他们将在红色。如果不是,点击下一步
亚伦Woland
Figure11 - 必需的操作
第11步提供密码,并导出CA密钥对。存储在一个安全的位置密钥对。
亚伦Woland
Figure12 - 导出密钥和证书
步骤12中,新的根CA证书将被导入到您的浏览器或本地证书存储,以确保您的系统信任这个新的CA签名证书
亚伦Woland
Figure13 - 相信你的CA
第13步您现在应该被要求安装管理认证。这是一个个人证书,以确定你(管理员)到CA的管理任务。请确保您的备份和存储此键在安全的位置,因为你将无法管理的CA没有这个身份证明。
亚伦Woland
Figure14 - 进口管理员证书
您已完成了基于GUI的配置。
亚伦Woland
Figure15 - 完成。但你真的吗?
注意:虽然GUI配置完成后,我们还没有准备好开始使用CA只是还没有。我们还需要添加自定义脚本,并修改一些配置文件。
启用和配置SCEP
在这里,您将能够通过直接修改CS.cfg文件中配置简单证书注册协议(SCEP)。
步骤1备份在进行任何更改之前的CS.cfg文件。
实施例20 - 备份CS.cfg文件的
[根@ ATW-dogtag01〜]#CP /etc/ise-ca/CS.cfg /etc/ise-ca/CS.cfg.bak
第2步。打开一个文本编辑器中CS.cfg文件。
实例21 - 编辑CS.cfg文件
[根@ ATW-dogtag01〜]#六/etc/ise-ca/CS.cfg
第3步中添加以下行至CS.cfg文件的底部,并保存更改。
ca.scep.allowedEncryptionAlgorithms = DES3
ca.scep.allowedHashAlgorithms = SHA1,SHA256,SHA512
ca.scep.enable =真
ca.scep.encryptionAlgorithm = DES3
ca.scep.hashAlgorithm = SHA256
ca.scep.nonceSizeLimit = 16
在进行任何更改之前第4步备份caRouterCert.cfg文件。
实施例22 - 备份caRouterCert.cfg文件
[根@ ATW-dogtag01〜]#CP /var/lib/ise-ca/profiles/ca/caRouterCert.cfg /var/lib/ise-ca/profiles/ca/caRouterCert.cfg.bak
第5步编辑使用文本编辑器caRouterCert.cfg文件。删除值的变量auth.instance_id并保存更改。最终的结果应该像例24。
实例23 - 编辑caRouterCert.cfg文件
[根@ ATW-dogtag01〜]#六/var/lib/ise-ca/profiles/ca/caRouterCert.cfg
实施例24 - 为auth.instance_id在caRouterCert.cfg文件的最后设置=场
[根@ ATW-dogtag01 ISE-CA]#猫/var/lib/ise-ca/profiles/ca/caRouterCert.cfg
DESC =此证书的个人资料是用于注册路由器证书。
可见=假
启用=真
enableBy =管理员
auth.instance_id =
名称=一次性针路由器证书注册
input.list = I1,I2
input.i1.class_id = certReqInputImpl
input.i2.class_id = submitterInfoInputImpl
output.list = O1
<< SNIP >>
第6步重新启动与该CA服务“服务PKI-CAD重启“命令
实例25 - 重新启动CA服务
[根@ ATW-dogtag01 ISE-CA]#服务PKI-CAD重启
停止ISE-CA:[OK]
启动ISE-CA:[OK]
Apache的准备
步骤1将Apache的Welcome.conf文件以禁用默认安装
实施例26 - 将welcome.conf文件
[根@ ATW-dogtag01 ISE-CA]#MV /etc/httpd/conf.d/welcome.conf /etc/httpd/conf.d/welcome.conf.bak
第2步创建一个名为scepproxy.php位于/ var / www / html等新的文件。
实例27 - 创建scepproxy.php文件
[根@ ATW-dogtag01 ISE-CA]#六/var/www/html/scepproxy.php
步骤3填充以下PHP脚本并保存文件完成后的文件。
<?PHP
$ OPS = $ _GET [ '动作'];
$味精= $ _GET [ '消息'];
$为了=阵列(“\ r \ n”,“\ n”,“\ r”,”“);
$味精= str_replace函数($顺序“”,$ MSG);
$味精= rawurldecode($ MSG);
$味精=用urlencode($ MSG);
如果($ OPS ==“GetCACaps”)
{
回声“”;
}
其他
{
$ URL =“http://127.0.0.1/ca/cgi-bin/pkiclient.exe?operation=&消息=‘$ msg“中$ OPS。’。
$ CH = curl_init();
curl_setopt($ CH,CURLOPT_PORT,9180);
curl_setopt($ CH,CURLOPT_URL,$网址);
curl_setopt($ CH,CURLOPT_HEADER,0);
curl_setopt($ CH,CURLOPT_RETURNTRANSFER,1);
// curl_setopt($ CH,CURLOPT_POST,1);
$体= curl_exec($ CH);
curl_close($ CH);
如果($ OPS ==“PKIOperation”)
{
标题(“内容类型:应用程序/ x-PKI-消息”);
}
其他
{
标题(“内容类型:应用程序/ x-X509-CA证书”);
}
回声$体;
}
?>
步骤4重启Apache服务的异动与“服务的httpd重新启动”命令
[根@ ATW-dogtag01 ISE-CA]#服务的httpd重新启动
重新启动的httpd(经由systemctl):[OK]
[根@ ATW-dogtag01 ISE-CA]#
该狗牌安装完成。你是准备这个CA添加到ISE为BYOD证书设置。
ISE配置为使用新狗牌CA
本文档假设你已经在你的BYOD政策准备,否则你会之后创建它们。在本节中,我们将专注于增加新狗牌CA以ISE为SCEP的目的置备BYOD证书的简单的任务。
欲了解更多关于ISE配置为BYOD,请参阅BYOD使用方法指南在这里:http://www.cisco.com/en/US/solutions/ns340/ns414/ns742/ns744/landing_DesignZone_TrustSec.html
添加狗牌的SCEP RA简介
从ISE管理GUI,我们将狗牌服务器添加到SCEP RA简介
第1步导航到管理>>系统>>证书>> SCEP RA预案和点击添加
步骤2名的RA“狗牌”及输入描述
步骤3输入的HTTP的狗牌服务器URL:// <服务器> /scepproxy.php
步骤4单击“测试连接”
亚伦Woland
Figure16 - 测试连接
点击提交。您已完成及准备船上。
非常感谢您百忙之中阅读我的无聊博客文章的时间。我希望他们是有用的。请随时发送您的意见。