·pki_instance_root = / var / lib
#this设置了存储PKI实例的根位置。基于示例17中使用的设置,它将放在以下目录中:/ var / lib / ise-ca。
·pki_instance_name = ISE-CA
#this正在命名新的CA实例“ISE-CA”。您可以用另一个名称替换此项,以满足您组织的需求。
·subsystem_type = ca
#sets子系统是证书颁发机构。其他可能的子系统不适用于本指南。
·agent_secure_port = 9443
在代理服务中,管理员可以看到提供了什么证书,撤销它们等等。
·EE_SECURE_PORT = 9444
#设置端实体Web服务的SSL端口。
·ee_secure_client_auth_port = 9446
#设置端实体身份验证的SSL端口。
·admin_secure_port = 9447
#这是用于访问CA服务页面作为管理员的默认端口。
·Untecure_Port = 9180
#设置常规端口号。未指定时,将随机生成。
·tomcat_server_port = 9701 #
·用户= pkiuser #
·Group = pkiuser#
·定向conf = / etc / ise-ca
#配置要存储在/ etc / ise-ca中的配置数据
·重定向日志= / var / log / ise-ca
#将日志配置为/ var / log / ise-ca目录。
·verbose.
#将安装设置为verbose模式,以便为您提供尽可能多的细节。
示例17 - 创建PKI实例
pkicreate -pki_instance_root = / var / lib -pki_instance_name = ise-ca -subsystem_type = ca -agent_secure_port = 9443 -ee_secure_port = 9444 -ee_secure_client_auth_port = 9446 -admin_secure_port = 9447 -unsecure_port = 9180 -tomcat_server_port = 9701用户= pkiuser组= pkiuser定向设计= / etc / ise-ca定向= / var / log / ise-ca - verbose日志
步骤2继续执行Dogtag CA的图形配置
一旦安装脚本完成运行,将显示一条带有唯一URL的消息,用于访问DogTag GUI并完成CA安装,如示例18所示。
例18 -例唯一URL到DogTag GUI
在/var/log/ise-ca-install.log中记录的安装信息。
[debug] run_command(/sbin/service pki-cad restart ise-ca)
在继续配置之前,请确认
这台机器的防火墙设置允许正常运行
访问此子系统。
请通过访问:
HTTPS://ATW-Dogtag01.is.Local:9447 / CA / Admin / Console / Config / Login?PIN = UUVMDHRVTOJQRDEOD91E
配置完成后,可以使用以下命令对服务器进行操作:
/ sbin / service pki-cad重新启动ise-ca
步骤3从欢迎屏幕中单击“下一步”
亚伦Woland
图4 - 设置向导
步骤4创建“新安全域”。将其命名为“ISE byod域”,然后单击“下一步”
图5 - 新的安全域
步骤5将子系统命名为“证书颁发机构”,单击“下一步”
图6 - 子系统名称
步骤6在新的PKI层次结构中使此自签名根CA。当然这可能成为现有CA的下级CA。但是,这不是这篇文章的重点。
亚伦Woland
图7 - PKI结构
步骤7内部数据库是我们之前安装的目录服务器(ds389)。所有设置必须正确填写。请添加在示例12中创建的目录管理器密码。
亚伦Woland
图8 -内部数据库
步骤8生成键盘。RSA W / SHA256的默认值和2048位的密钥大小将正常工作,然后单击“下一步”。
亚伦Woland
图9 - 键对
步骤9证书主题行可以保持默认值,单击“下一步”
亚伦Woland
图10 -证书主题名称
步骤10如果有需要执行的操作,则以红色显示。如果没有,单击“Next”
亚伦Woland
图11 -必需的操作
步骤11输入密码,导出CA的密钥对。将密钥对存储在一个安全的位置。
亚伦Woland
图12 -导出密钥和证书
步骤12新的根CA证书将被导入到您的浏览器或本地证书存储中,以确保系统信任由该新CA签名的证书。
亚伦Woland
图13 -信任您的CA
步骤13您现在应该要求您安装管理证书。这是一个个人证书,用于识别您的CA用于管理任务的CA。请确保在安全位置备份并将此键存储在安全位置,因为您将无法在没有此标识证书的情况下管理CA。
亚伦Woland
图14 -导入管理员证书
您已经完成了基于gui的配置。
亚伦Woland
图15 - - - - - -完成。但你是真的吗?
笔记:虽然GUI配置已经完成,但我们还没有准备好开始使用CA。我们仍然需要添加一个自定义脚本并修改更多的配置文件。
启用和配置SCEP
在这里,您将通过直接修改CS.cfg文件来启用和配置简单证书登记协议(SCEP)。
步骤1在进行任何更改之前备份CS.cfg文件。
例20 -备份CS.cfg文件
root@atw-dogtag01 ~ #cp / etc/ise-ca/cs.cfg /etc/ise-ca/cs.cfg.bak.
步骤2使用文本编辑器打开“CS.cfg”文件。
例21 -编辑CS.cfg文件
root@atw-dogtag01 ~ #VI./etc/ise-ca/CS.cfg
步骤3在“CS.cfg”文件底部添加如下内容并保存。
ca.scep.allowedencryptionalgorithms = des3
ca.scep.allowedhashalgorithms = Sha1,Sha256,Sha512
ca.scep.enable = true
ca.scep.encryptionAlgorithm = DES3
ca.scep.hashalgorithm = sha256.
ca.scep.nonceSizeLimit = 16
步骤4备份caRouterCert.cfg文件后,再进行修改。
示例22 - 备份CarouterCert.cfg文件
root@atw-dogtag01 ~ #cp /var/lib/ise-ca/profiles/ca/caRouterCert.cfg /var/lib/ise-ca/profiles/ca/caRouterCert.cfg.bak
步骤5使用文本编辑器编辑“caRouterCert.cfg”文件。删除变量的值auth.instance_id.并保存您的更改。最终结果应该与示例24类似。
例23 -编辑“caRouterCert.cfg”文件
root@atw-dogtag01 ~ #vi /var/lib/ise-ca/profiles/ca/caroutercert.cfg.
示例24 -认证的最终设置。caRouterCert.cfg文件中的instance_id=字段
[root@atw-dogtag01 ise-ca) #猫/var/lib/ise-ca/profiles/ca/caRouterCert.cfg
desc =此证书配置文件用于注册路由器证书。
可见=假
使= true
enableBy = admin
auth.instance_id =
name=One Time Pin Router Certificate Enrollment
input.list = i1、i2
input.i1.class_id = certReqInputImpl
input.i2.class_id = submitterInfoInputImpl
output.list = O1.
< <剪> >
步骤6将CA服务重新启动“服务PKI-CAD重新启动“命令
示例25 - 重新启动CA服务
[root@atw-dogtag01 ise-ca) #服务PKI-CAD重新启动
停止ise-ca: [OK]
起始ISE-CA:[OK]
准备apache.
操作步骤步骤1移动“Apache Welcome.conf”文件,关闭默认安装
例26 -移动welcome.conf文件
[root@atw-dogtag01 ise-ca) #mv /etc/httpd/conf.d/welcome.conf /etc/httpd/conf.d/welcome.conf.bak
步骤2在/var/www/html中创建一个名为scepproxy.php的新文件。
例27 -创建scepproxy.php文件
[root@atw-dogtag01 ise-ca) #vi /var/www/html/scepproxy.php
步骤3使用以下PHP脚本填充文件,并在完成后保存文件。
<?PHP.
$ ops = $ _get ['操作'];
$ msg = $ _get ['message'];
$ order = array(“\ r \ n”,“\ n”,“\ r”,“”);
$ msg = str_replace($ order,“”,$ msg);
$ msg = RawurLDecode($ MSG);
$味精= urlencode(味精);
如果(运维美元= =“GetCACaps”)
{
回声“”;
}
其他的
{
url = "美元http://127.0.0.1/ca/cgi-bin/pkiclient.exe?operation=“。$ OPS。”&消息=“。$ MSG;
$ ch = curl_init();
curl_setopt($ ch,curlopt_port,9180);
curl_setopt($ ch,curlopt_url,$ url);
curl_setopt($ ch,curlopt_header,0);
curl_setopt($ ch,curlopt_returntransfer,1);
/ / curl_setopt (ch美元CURLOPT_POST 1);
(身体= curl_exec美元ch);
curl_close (ch);
如果(运维美元= =“PKIOperation”)
{
标题(“Content-type:application / x-pki-message”);
}
其他的
{
标题(“内容类型:应用程序/ x-x509-ca-cert”);
}
echo $身体;
}
? >
步骤4重新启动Apache服务,使用“服务httpd重新启动“ 命令
[root@atw-dogtag01 ise-ca) #服务httpd重新启动
重新启动httpd(通过systemctl):[确定]
[root@atw-dogtag01 ise-ca) #
完成DogTag的安装。您已经准备好将此CA添加到ISE,以便提供BYOD证书。
配置ISE使用新的Dogtag CA
本文档假设您已经准备好BYOD策略,或者您将在之后创建它们。在本节中,我们将重点关注为SCEP提供BYOD证书而向ISE添加新的DogTag CA的简单任务。
有关配置ISE的更多信息,请参阅此处的BYOD HOW-TO指南:http://www.cisco.com/en/US/solutions/ns340/ns414/ns742/ns744/landing_DesignZone_TrustSec.html
在SCEP RA配置文件中添加DogTag
从ISE管理GUI中,我们将把DogTag服务器添加到SCEP RA概要文件中
步骤1导航到管理>>系统>>证书>> SCEP RA配置文件&单击添加
步骤2名称RA“DOGTAG”并输入描述
步骤3输入http://
步骤4单击“测试连接”
亚伦Woland
图16 - 测试连接
单击“提交”。你已经完成并准备好了。
非常感谢你花时间来阅读我无聊的博客文章。我希望它们是有用的。请随时发送您的意见。