Importation de certificats SSL dans NAC Profiler



Documents pareils
Serveur de partage de documents. Étude et proposition d'une solution afin de mettre en place un serveur de partage de documents.

Comment changer le mot de passe NT pour les comptes de service Exchange et Unity

NOTE: Pour une meilleure sécurisation, nous vous recommandons de faire l installation des outils web à l intérieur d un serveur virtuel.

NAS 109 Utiliser le NAS avec Linux

NAC 4.5 : Exemple de configuration d'import-export de stratégie

Installation et utilisation d'un certificat

Intégration de Cisco CallManager IVR et Active Directory

Configuration d'un serveur DHCP Windows 2000 pour Cisco CallManager

1. Mise en œuvre du Cegid Web Access Server en https

Sécurisez votre serveur Web Internet Information Services de Microsoft (MS IIS) avec un certificat numérique de thawte thawte thawte thawte thawte

Service de certificat

Assistance à distance sous Windows

Guide détaillé pour Microsoft Windows Server Update Services 3.0 SP2

NAS 208 WebDAV Une alternative au protocole FTP pour le partage sécurisé des fichiers

Authentification automatique sur La Plateforme collaborative LeadeR y-content

MANUEL D'INSTALLATION

Guide d'installation du token

FileMaker Server 13. Guide de démarrage

1. Comment accéder à mon panneau de configuration VPS?

Réaliser un inventaire Documentation utilisateur

Didacticiel de mise à jour Web

IP sans fil / caméra avec fil. Guide d'installation Rapide (Pour Windows OS)

Serveur FTP. 20 décembre. Windows Server 2008R2

Utilisation de VMware View Client pour Mac

Live box et Nas Synology

Connexion au Wifi "Recherche" avec un Smartphone Symbian (Nokia)

Acronis Backup & Recovery 10 Advanced Server Virtual Edition. Guide de démarrage rapide

Installation de Windows 2012 Serveur

Installation du transfert de fichier sécurisé sur le serveur orphanet

Guide Numériser vers FTP

IBM SPSS Statistics Version 22. Instructions d'installation sous Windows (licence nominative)

CA ARCserve Backup Patch Manager pour Windows

AD FS avec Office 365 Guide d'installation e tape par e tape

McAfee Security-as-a-Service

NetSupport Notify (v2.01) Guide de démarrage. Tous droits réservés NetSupport Ltd

La Clé informatique. Formation Internet Explorer Aide-mémoire

Utiliser le portail d accès distant Pour les personnels de l université LYON1

Les différentes méthodes pour se connecter

IBM SPSS Statistics Version 22. Instructions d'installation sous Windows (licence simultanée)

THEGREENBOW FIREWALL DISTRIBUE TGB::BOB! Pro. Spécifications techniques

Manuel d'installation et de déploiement. Sécurité complète pour portables d entreprise

7.0 Guide de la solution Portable sans fil

Live box et Nas Synology

Installation d'un serveur DHCP sous Windows 2000 Serveur

L accès à distance du serveur

Installer VMware vsphere

II- Préparation du serveur et installation d OpenVpn :

UltraVNC, UltraVNC SC réglages et configurations

Messages d'erreurs. Redémarrez votre PC en cliquant sur Démarrer, en sélectionnant ensuite Arrêter puis en cochant Redémarrer

PowerPanel Business Edition Guide d'installation

TeamViewer 7 Manuel Manager

2010 Ing. Punzenberger COPA-DATA GmbH. Tous droits réservés.

Errata partie 2 Kit de formation Configuration d une infrastructure Active Directory avec Windows Server 2008

Guide de déploiement

Guide de configuration pour accès au réseau Wifi sécurisé 802.1X

Comment utiliser mon compte alumni?

Intranet d'établissement avec Eva-web Installation configuration sur serveur 2000 ou 2003 Document pour les administrateurs

TP redondance DHCP. Gillard Frédéric Page 1/17. Vue d ensemble du basculement DHCP

[ Sécurisation des canaux de communication

Guide d'utilisation du Serveur USB

FOIRE AUX QUESTIONS PAIEMENT PAR INTERNET. Nom de fichier : Monetico_Paiement_Foire_aux_Questions_v1.7 Numéro de version : 1.7 Date :

VM Card. Manuel des paramètres des fonctions étendues pour le Web. Manuel utilisateur

Exemples et tutoriels Version 7.5. Tutoriel de l'exemple Recrutement de personnel pour IBM Process Designer

Installation d OpenVPN

INSTALLATION D UN CERTIFICAT FIDUCIO LOGICIEL

But de cette présentation

KeePass - Mise en œuvre et utilisation

FORMATION PcVue. Mise en œuvre de WEBVUE. Journées de formation au logiciel de supervision PcVue 8.1. Lieu : Lycée Pablo Neruda Saint Martin d hères

Guide Google Cloud Print

FileMaker Server 13. Guide de configuration de l'installation réseau

Guide d installation

MEGA Web Front-End Installation Guide MEGA HOPEX V1R1 FR. Révisé le : 5 novembre 2013 Créé le : 31 octobre Auteur : Noé LAVALLEE

Domino E5832S. Un conseil, une question : contactez votre service client. depuis un mobile, composez 555 (1) ou 777 professionnels et entreprises (1)

Procédure d'installation complète de Click&Decide sur un serveur

Installation du point d'accès Wi-Fi au réseau

Microsoft Hosted Exchange 2010 DOCUMENT D EXPLOITATION

FileMaker Server 14. Guide de démarrage

Contrôle de la DreamBox à travers un canal SSH

Symantec Backup Exec 12.5 for Windows Servers. Guide d'installation rapide

Service client LSC 1

LOGICIEL ALARM MONITORING

VXPERT SYSTEMES. CITRIX NETSCALER 10.1 et SMS PASSCODE 6.2. Guide d installation et de configuration pour Xenapp 6.5 avec SMS PASSCODE 6.

Espace pro. Installation des composants avec Firefox. Pour. Windows XP Vista en 32 et 64 bits Windows 7 en 32 et 64 bits

Installation d OwnCloud 8.0 sous Debian Avec connexion des utilisateurs active directory et mise en place de HTTPS

Documentation utilisateur, manuel utilisateur MagicSafe Linux. Vous pouvez télécharger la dernière version de ce document à l adresse suivante :

Sophos Mobile Control as a Service Guide de démarrage. Version du produit : 2.5

Vérification intégrée de l'utilisateur Guide d'implémentation client Confidentiel Version 2.9

Extension WebEx pour la téléphonie IP Cisco Unified

Mettre en place un accès sécurisé à travers Internet

Corrigé de l'atelier pratique du module 8 : Implémentation de la réplication

SafeGuard Enterprise Web Helpdesk. Version du produit : 6

Cours LG : Administration de réseaux et sécurité informatique. Dans les Paramètres Système onglet Processeur, le bouton "Activer PAE/NX"

Gestion des documents avec ALFRESCO

MISE EN PLACE D UN SERVEUR DHCP SOUS WINDOWS SERVEUR 2003 R2

TeamViewer 9 Manuel Wake-on-LAN

CS REMOTE CARE - WEBDAV

Guide de démarrage rapide Centre de copies et d'impression Bureau en Gros en ligne

Printer Administration Utility 4.2

Capture Pro Software. Démarrage. A-61640_fr

Transcription:

Importation de certificats SSL dans NAC Profiler Contenu Introduction Conditions préalables Conditions requises Composants utilisés Conventions Tâche principale : Installez le certificat Deux options Option 1 : Boîte à outils d'openssl d'utilisation sur Beacon/NPS pour générer le signe Option 2 : Générez/soumettez le CSR au CA interne et externe Vérifiez Dépannez Informations connexes Introduction Le système UI basé sur le WEB de profileur peut utiliser des Certificats numériques de sorte que l'authenticité du web server inclus sur le serveur de Cisco NAC Profiler puisse être vérifiée par le navigateur pendant qu'elle se connecte pour l'accès à l'interface utilisateur de profileur servie par HTTPS. Le système accroît une des la plupart des applications courantes du PKI et des Certificats numériques où le navigateur Web valide qu'un web server SSL est authentique de sorte que les impressions d'utilisateur sécurisent que leur interaction avec le web server est en fait faite confiance et leurs transmissions avec elle sécurisée. C'est le même mécanisme qui est utilisé aujourd'hui pour sécuriser le commerce électronique et d'autres communications protégées avec des sites Web de beaucoup de types qui utilisent le SSL. Le système de profileur se transporte avec un certificat numérique «auto-signé» qui permet l'accès à l'ui mais sans vérification du web server à bord SSL comme fait confiance. Jusqu'à ce que le certificat par défaut soit remplacé par un créé avec des attributs d'environnement-particularité, tels que le nom du serveur, et soit signé par un Autorité de certification (CA), les navigateurs Web qui accèdent à l'affichage du profileur UI un avertissement semblable à cet exemple, qui indiquent que le navigateur n'identifie pas le CA qui a délivré le certificat et ne peut pas le vérifient comme un site de confiance. Conditions préalables Conditions requises Aucune spécification déterminée n'est requise pour ce document. Composants utilisés Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes : Serveur NAC Conventions

Pour plus d'informations sur les conventions utilisées dans ce document, reportez-vous à Conventions relatives aux conseils techniques Cisco. Tâche principale : Installez le certificat La plupart des navigateurs exigent de l'utilisateur de fournir les données supplémentaires pour continuer la connexion, qui peut être gênante. Afin d'utiliser entièrement la Sécurité accrue accordée en employant des Certificats numériques pour la sécurité ssl de l'interface de profileur, des modifications à la configuration de sous-système SSL du NPS doivent être apportées. Ces modifications exigent le remplacement de la clé privée et du certificat numérique qui sont utilisées par le système par défaut avec ceux émis par une autorité de certification de confiance et qui sont spécifiques à l'installation. Après cette procédure, le navigateur initie une session HTTPS avec le serveur et prend l'utilisateur immédiatement au processus de procédure de connexion UI pour sauter les avertissements de certificat. Deux options Il y a deux solutions de rechange pour ceci sur les systèmes NPS : 1. Utilisez le résident de boîte à outils d'openssl sur l'appliance pour générer un certificat signé qui peut être installé sur le système serveur NPS et les PC utilisés pour gérer le système par le Web UI. Cette option peut être utilisée dans les environnements qui actuellement n'ont pas un CA interne et choisissent de ne pas compter sur les fournisseurs commerciaux CA qui chargent des frais pour fournir un certificat numérique signé qui est identifié par la plupart des navigateurs commerciaux automatiquement. 2. Employez la boîte à outils d'openssl pour générer une demande de signature de certificat du système NPS qui est soumis à un service interne ou externe du message publicitaire CA, qui renvoie un certificat numérique prêt à employer et signé pour l'usage sur le système. C'est typiquement une question de la stratégie de sécurité intérieure de l'organisation dans laquelle le système de profileur est installé pour faire la détermination dont option de utiliser dans un environnement spécifique. Le mode d'emploi détaillé pour les deux options est fourni dans le reste de ce document. Option 1 : Boîte à outils d'openssl d'utilisation sur Beacon/NPS pour générer le signe Avant de commencer la procédure tracée les grandes lignes, il est important de vérifier que le système de profileur est correctement configuré pour utiliser le service de nom d'entreprise, et qu'une entrée DNS est faite à tels que le système a un nom de domaine complet (FQDN). Afin de vérifier que c'est le cas, assurez-vous que vous pouvez ouvrir une session UI avec le système de profileur avec le FQDN du système (c'est-à-dire, https://beacon.bspruce.com/beacon) au lieu de l'adresse IP (ou du VIP dans le cas des systèmes ha) dans l'url quand vous parcourez à l'ui. Cette procédure est utilisée dans des cas quand on ne le désire pas pour soumettre le CSR à une hors fonction-appliance CA pour la signature. Cette procédure tient compte de la création d'un certificat signé avec la boîte à outils d'openssl sur l'appliance exclusivement - rien ne doit être soumise à un système ou à un CA commercial différent pour générer un certificat signé pour le système de profileur. Le succès de cette procédure dépend de le suivre comme spécifié. La syntaxe de commande est longues et enclines à erreurs. Assurez-vous que vous êtes dans le répertoire correct comme spécifié dans les instructions avant que vous exécutiez les commandes. Les informations pour les dn générés pour le certificat de CA et la demande de signature de certificat, telle que le pays, l'état, ville, le nom du serveur, etc., doivent être écrites identiquement (distinguant majuscules et minuscules), ainsi soient sûres de faire des notes pendant que vous vous terminez les étapes pour s'assurer que le processus va sans à-coup. 1. Initiez un SSH ou une session de console à l'appliance NPS et les élevez pour enraciner l'accès. Pour des systèmes ha, assurez-vous que vous êtes sur le système primaire en initiant un SSH au VIP. Avant d'utiliser OpenSSL pour la première fois, une certaine structure de fichier utilisée par OpenSSL doit être initialisée. Terminez-vous ces étapes pour initialiser OpenSSL : 2. Changez le répertoire à /etc/pki/ca avec cette commande : cd /etc/pki/ca/ Créez un nouveau répertoire appelé les newcerts, et émettez ces commandes : mkdir newcerts touch index.txt 3. L'utilisation vi de créer un nouveau fichier a nommé l' interface série ; l'insertion 01 dans le fichier, et commettent les modifications. (: wq!) Changez ce répertoire : cd /etc/pki/tls/certs

4. Générez une nouvelle clé privée pour le système avec cette commande : openssl genrsa -out profilerfqdn.key 1024 (où le «profilerfqdn» est remplacé par le nom de domaine complet de l'appliance NPS quand autonome déployé. Pour des systèmes ha, le FQDN du VIP doit être utilisé). Si le système de profileur n'est pas dans des DN, l'adresse IP du serveur (VIP) peut être utilisée au lieu du FQDN, mais du certificat est attachée à cette adresse IP, qui exige l'utilisation de l'ip dans l'url (c'est-à-dire, https://10.10.0.1/profiler) pour éviter les avertissements de certificat. 5. Générez un certificat de CA pour l'utiliser pour générer le certificat de serveur avec cette commande, qui crée des 3 certificats de CA d'an, et la clé générée dans l'étape #4 : openssl req -new -x509 -days 1095 -key profilerfqdn.key -out cacert.pem Vous êtes incité pour plusieurs attributs qui sont incorporés à la demande de certificat et à la formation d'un nom unique (DN) pour le certificat de CA. Pour une partie de ce ces éléments, une valeur par défaut est suggérés (dedans []). Écrivez la valeur désirée pour chaque paramètre du DN ou «.» Afin d'ignorer l'élément, soyez sûr de noter les paramètres de DN utilisés dans cette étape. Ils doivent être identiques à ceux spécifiés dans la génération de la demande de signature de certificat du certificat de serveur dans l'étape #7. Déplacez le certificat de CA créé dans la dernière étape au répertoire requis : mv cacert.pem /etc/pki/ca Générez une demande de signature de certificat du système de profileur avec la nouvelle clé privée : openssl req -new -key profilerfqdn.key -out profilerfqdn.csr 6. 7. Juste comme dans l'étape #5, vous êtes incité à se terminer un DN pour le système pour le CSR de serveur. Assurez-vous que vous utilisez les mêmes valeurs pour le CSR de serveur qui ont été utilisées pour le certificat de CA dans l'étape #5. S'il y a des variations des paramètres, le CSR n'est pas créé avec succès. En outre, vous êtes incité à créer un mot de passe pour le certificat. Soyez sûr de noter le mot de passe. Générez le certificat de serveur avec le CSR et la clé privée générés dans les étapes précédentes. La sortie de cette étape est le certificat signé qui est installé sur le serveur de profileur (ou des serveurs, dans le cas des paires ha). openssl ca -in profilerfqdn.csr -out profilerfqdn.crt -keyfile profilerfqdn.key Vous êtes incité à signer et commettre le certificat. Écrivez y pour confirmer signer et commettre le certificat pour se terminer la génération de certificat de serveur. 8. Déplacez le fichier du certificat à l'emplacement spécifié par la stratégie de sécurité intérieure (si c'est approprié) ou utilisez les emplacements par défaut : Les Certificats doivent être placés dans /etc/pki/tls/certs/ si aucun emplacement n'est spécifié par stratégie de sécurité intérieure. mv profilerfqdn.crt /etc/pki/tls/certs/profilerfqdn.crt 9. Déplacez le fichier principal privé à l'emplacement spécifié par la stratégie de sécurité intérieure (si c'est approprié) ou utilisez les emplacements par défaut : La clé privée doit être placée dans /etc/pki/tls/private/ si aucun emplacement n'est spécifié par stratégie de sécurité intérieure. Utilisez la commande : mv profilerfqdn.key /etc/pki/tls/private/profilerfqdn.key 10. Éditez le fichier ssl.conf avec un éditeur comme vi pour apporter des modifications nécessaires pour forcer le web server de profileur pour utiliser la nouveaux clé privée et certificat (ssl.conf est trouvé dans /etc/httpd/conf.d/). Dans ssl.conf, la partie de certificat de serveur commence sur la ligne 107. Changez l'élément de configuration de SSLCertificateFile du par défaut d'usine (/etc/pki/tls/certs/localhost.cert) pour indiquer le nouveau fichier du certificat qui a été créé sur le système dans l'étape #8. Dans ssl.conf, la partie de clé privée de serveur commence sur la ligne 114. Changez l'élément de configuration de clé privée de

serveur du par défaut d'usine (etc./pki/tls/privé/localhost.key) pour indiquer le nouveau fichier principal privé placé sur le système dans l'étape #9. 11. Redémarrez l'apache Web Server sur l'appliance avec cette commande : Remarque: Si le système est autonome déployé, ignorez pour faire un pas #13. 12. Pour des systèmes ha NPS seulement, terminez-vous ces étapes pour installer la clé privée et le tube cathodique sur l'autre membre (secondaire en cours) des paires h Ceci s'assure dont que, indépendamment l'appliance est primaire dans les paires, les mécanismes de sécurité ssl pour l'ui fonctionnent identiquement. Copiez la clé privée générée sur l'appliance primaire dans l'étape #3 sur l'appliance secondaire. La clé privée doit être placée dans /etc/pki/tls/private/ si aucun emplacement n'est spécifié par la stratégie de sécurité intérieure. Utilisez cette commande (à partir du répertoire de /etc/pki/tls/private sur primaire) : scp profilerfqdn.key root@[secondary IP]:/etc/pki/tls/private/ Copiez le tube cathodique signé qui a été retourné du CA du primaire à l'appliance secondaire. Les Certificats doivent être placés dans /etc/pki/tls/certs/ si aucun emplacement n'est spécifié par la stratégie de sécurité intérieure. c. scp profilerfqdn.crt root@[secondary IP]:/etc/pki/tls/certs Le SSH à l'appliance secondaire et éditent son fichier ssl.conf avec un éditeur comme vi pour apporter des modifications nécessaires pour forcer le web server sur le secondaire pour utiliser la nouveaux clé privée et certificat (ssl.conf est trouvé dans /etc/httpd/conf.d/) Dans ssl.conf, la partie de certificat de serveur commence sur la ligne 107. Changez l'élément de configuration de SSLCertificateFile du par défaut d'usine (/etc/pki/tls/certs/localhost.cert) pour indiquer le nouveau fichier du certificat placé sur le système dans l'étape #11 Dans ssl.conf, la partie de clé privée de serveur commence sur la ligne 114. Changez l'élément de configuration de clé privée de serveur du par défaut d'usine (etc./pki/tls/privé/localhost.key) pour indiquer le nouveau fichier principal privé placé sur le système dans l'étape #11 d. Redémarrez l'apache Web Server sur l'appliance secondaire avec cette commande : Puisque le certificat de serveur qui a été créé avec ces étapes a utilisé un CA privé, les navigateurs qui accèdent au profileur UI doivent être configurés pour installer le certificat dans le référentiel de confiance d'autorité de certification de racine sur des PC de Windows avec IE 7.0. Suivez ces étapes : Copiez le certificat de serveur créé sur le répertoire de /home/beacon de l'appliance : cp profilerfqdn.crt /home/beacon Utilisez WinSCP ou un logiciel comparable au SCP le fichier.crt de l'appliance au PC. c. Double-cliquer le fichier.crt pour commencer le gestionnaire de certificat de Windows, et le clic installent le certificat, qui commence l'assistant d'importation de certificat. d. e. f. g. Choisissez la case d'option. Placez tous les Certificats dans cette mémoire pour actionner le bouton Parcourir. Choisissez parcourent, et cliquent sur la mémoire de certificat d' Autorités de certification racine approuvée. Cliquez sur OK pour recevoir ce certificat. Répétez ce processus sur les autres PC qui sont utilisés pour gérer le système de profileur. 13. Accédez au profileur UI et notez que les sessions starts HTTPS sans les avertissements de certificat générés par le navigateur. Option 2 : Générez/soumettez le CSR au CA interne et externe Avant que vous commenciez la procédure tracée les grandes lignes ensuite, il est important de vérifier que le système de profileur est

correctement configuré pour utiliser le service de nom d'entreprise, et qu'une entrée DNS est faite à tels que le système a un nom de domaine complet (FQDN). Afin de vérifier que c'est le cas, assurez-vous que vous pouvez ouvrir une session UI avec le système de profileur avec le FQDN du système (c'est-à-dire, https://beacon.bspruce.com/beacon) au lieu de l'adresse IP ou du VIP dans le cas des systèmes h Terminez-vous ces étapes pour générer une nouvelle clé privée pour le système, générez un CSR à soumettre à un CA interne ou externe, et puis placez le certificat signé valide sur un NPS : 1. 2. Initiez un SSH ou une session de console à l'appliance NPS, et élevez-la pour enraciner l'accès. Pour des systèmes ha, SSH initié au VIP pour s'assurer que vous êtes sur le système primaire. Allez au répertoire par défaut de PKI pour NPS : cd /etc/pki/tls 3. Utilisez cette commande de générer un nouveau fichier principal privé pour le système : openssl genrsa?des3?out profilerfqdn.key 1024 Là où le «profilerfqdn» est remplacé par le nom de domaine complet de l'appliance NPS quand autonome déployé. Pour des systèmes ha, le FQDN du VIP doit être utilisé). Vous êtes incité à entrer dans et confirmer un mot de passe pour se terminer la génération de la clé privée. Ce mot de passe est exigé pour de futures exécutions utilisant la clé privée. Soyez sûr de noter le mot de passe utilisé pour la génération de clés privée. 4. La clé privée étant généré dans la dernière étape, générez une demande de signature de certificat (CSR) qui est envoyée à l'autorité de certification (CA) pour la génération du certificat (tube cathodique) pour ce système. Utilisez cette commande de générer le CSR openssl req?new?key profilerfqdn.key?out profilerfqdn.csr (Substituez le nom de domaine complet du système à «profilerfqdn».) 5. Vous êtes incité pour le mot de passe pour la clé privée quand vous créez le CSR pour le système ; entrez- dansle pour poursuivre. Vous êtes alors incité pour plusieurs attributs qui sont incorporé à la demande de certificat et à la formation d'un distingué Nom (DN). Pour une partie de ce ces éléments, une valeur par défaut est suggérés (dedans []). Écrivez la valeur désirée pour chaque paramètre du DN ou «.» pour ignorer l'élément. Vérifiez le contenu du CSR avec cette commande : openssl req -noout -text -in profilerfqdn.csr (Substituez le nom de domaine complet du système à «profilerfqdn».) Ceci renvoie des informations sur le CSR et le DN qui étaient entré dans la dernière étape. Si n'importe quelles informations dans le CSR doivent être changées, répétez l'étape #4 en sa totalité 6. 7. Soumettez le CSR à l'autorité de certification (CA) choisi dedans accord avec les stratégies internes. Si la demande est réussie, le CA renvoie un certificat d'identité qui a été digitalement signé avec les Ca clé privée. Quand ce nouveau tube cathodique a signé par votre CA choisi est utilisé pour remplacer tube cathodique par défaut d'usine sur le système de profileur, tout navigateur qui accède à Le profileur UI peut vérifier l'identité du site, et l'avertissement messages dans le navigateur vu sur la connexion au web server sur le NPS le serveur ne sont plus affichés avant l'authentification de l'utilisateur pour tant que Le tube cathodique reste valide. (Ceci suppose que le navigateur a eu le CA ajouté au son Autorités de confiance de certificat racine.) Personne à charge sur le CA qui est utilisé, les informations complémentaires doit probablement être soumis avec le CSR, tel que d'autres qualifications ou preuves d'identité requises par l'autorité de certification, et le certificat l'autorité peut contacter le candidat pour de plus amples informations. Une fois que le tube cathodique digitalement signé revient du CA, procédez à étape suivante pour remplacer la clé privée et le certificat d'usine par ceux créés dans les étapes ci-dessus. Pour des systèmes ha, la même procédure est utilisée pour installer clé privée et certificat sur l'appliance secondaire dans les paires, As puits. 8. Déplacez le certificat et le fichier principal privé à l'emplacement spécifié par la stratégie de sécurité intérieure, si c'est approprié, ou utilisez les emplacements par défaut : La clé privée doit être placée dans /etc/pki/tls/private/ si aucun l'emplacement est spécifié par stratégie de sécurité intérieure. Utilisez cette commande : mv profilerfqdn.key /etc/pki/tls/private/profilerfqdn.key

Les Certificats doivent être placés dans /etc/pki/tls/certs/ si aucun l'emplacement est spécifié par stratégie de sécurité intérieure. 9. 10. mv profilerfqdn.crt /etc/pki/tls/certs/profilerfqdn.crt Éditez le fichier ssl.conf avec un éditeur comme vi pour apporter des modifications nécessaires pour forcer le web server pour utiliser la nouveaux clé privée et certificat (ssl.conf est trouvé dedans /etc/httpd/conf.d/). Dans ssl.conf, la partie de certificat de serveur commence sur la ligne 107. Changez l'élément de configuration de SSLCertificateFile du par défaut d'usine (/etc/pki/tls/certs/localhost.cert) à indiquer le nouveau fichier du certificat placé sur le système dans l'étape #8. Dans ssl.conf, la partie de clé privée de serveur commence sur la ligne 114. Changez l'élément de configuration de clé privée de serveur du par défaut d'usine (etc./pki/tls/privé/localhost.key) à indiquer le nouveau privé fichier principal placé sur le système dans l'étape #8. Redémarrez l'apache Web Server sur l'appliance avec cette commande : Remarque: Si le système est autonome déployé, ignorez pour faire un pas #12. Pour des systèmes ha NPS seulement, terminez-vous ces étapes pour installer clé privée et tube cathodique sur l'autre membre (secondaire en cours) des paires h Ceci assure cela, dont indépendamment l'appliance est primaire dans les paires, Les mécanismes de sécurité ssl pour l'ui fonctionnent identiquement. Copiez la clé privée générée sur l'appliance primaire dans l'étape #3 à l'appliance secondaire. La clé privée doit être placée dedans /etc/pki/tls/private/ si aucun emplacement n'est spécifié par stratégie de sécurité intérieure. Utilisez cette commande (à partir du répertoire de /etc/pki/tls/private sur primaire) : scp profilerfqdn.key root@[secondary IP]:/etc/pki/tls/private/. Copiez le tube cathodique signé retourné du CA du primaire sur l'appliance secondaire. Les Certificats doivent être placés dans /etc/pki/tls/certs/ si aucun emplacement n'est spécifié par stratégie de sécurité intérieure. c. scp profilerfqdn.crt root@[secondary IP]:/etc/pki/tls/certs Le SSH à l'appliance secondaire et éditent son fichier ssl.conf avec un éditeur comme vi pour apporter des modifications nécessaires pour forcer le web server sur Secondaire pour utiliser la nouveaux clé privée et certificat (ssl.conf est trouvé dedans /etc/httpd/conf.d/). d. Dans ssl.conf, la partie de certificat de serveur commence sur la ligne 107. Changez l'élément de configuration de SSLCertificateFile du par défaut d'usine (/etc/pki/tls/certs/localhost.cert) à indiquer le nouveau fichier du certificat placé sur le système dans l'étape #11. Dans ssl.conf, la partie de clé privée de serveur commence sur la ligne 114. Changez l'élément de configuration de clé privée de serveur du par défaut d'usine (etc./pki/tls/privé/localhost.key) à indiquer le nouveau privé fichier principal placé sur le système dans l'étape #11. Redémarrez l'apache Web Server sur l'appliance secondaire avec cette commande : Accédez au profileur UI et notez que les sessions starts HTTPS sans avertissements de certificat générés par le navigateur. Si l'avertissement persiste, vérifie que le navigateur utilisé a le CA émettant ajouté au son fait confiance Autorités de certificat racine. Vérifiez Il n'y a actuellement aucune procédure de vérification disponible pour ceci configuration. Dépannez Il n'y a actuellement aucune information de dépannage spécifique disponible pour cette configuration. Informations connexes Exemples et notes techniques de configuration 1992-2010 Cisco Systems Inc. Tous droits réservés. Date du fichier PDF généré: 17 décembre 2015

http://www.cisco.com/cisco/web/support/ca/fr/109/1097/1097458_import-ssl-nac.html

2024 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back