证书discuz论坛模板

配置ISE2.
0证书设置的门户目录简介先决条件要求使用的组件背景信息限制配置验证生成单个证书,不用证书签名请求生成与证书签名请求的单个证书生成大批证书故障排除简介本文描述身份服务引擎(ISE)证书设置的门户的配置和功能.
先决条件要求Cisco建议您具有以下主题的基础知识:ISEq证书和CertificateAuthority(CA)服务器.
q使用的组件本文档中的信息基于以下软件和硬件版本:身份服务引擎2.
0qWindows7PCq本文档中的信息都是基于特定实验室环境中的设备编写的.
本文档中使用的所有设备最初均采用原始(默认)配置.
如果您的网络实际,请保证您了解所有命令潜在影响.
背景信息证书设置的门户是在能由终端设备使用登记和下载从服务器的身份证书的ISE介绍的新特性2.
0.
它发行证书到不可以通过onboarding的流的设备.
例如,设备例如出售点终端不能经过带来您自己的设备(BYOD)流并且手工需要是已签发证书.
证书设置的门户允许特许套用户上传证书请求(CSR)这样设备的;生成密钥对,然后下载证书.
在ISE,您能创建已修改认证模板,并且最终用户能选择一个适当的认证模板下载证书.
对于这些证书,ISE作为CertificateAuthority(CA)服务器,并且我们能获得证书签字由ISE内部CA.
ISE2.
0证书设置的门户支持在这些格式的证书下载:PKCS12格式(包括证书链;证书链和密钥的一个文件)qPKCS12格式(证书和密钥的一个文件)q证书(包括一系列)在保密性增强版电子邮件(PEM)格式,在PKCS8PEM格式的密钥.
q在PEM格式的证书,在PKCS8PEM格式的密钥:q限制目前ISE支持在CSR的仅这些扩展签署证书.
subjectDirectoryAttributesqsubjectAlternativeNameqkeyUsageqsubjectKeyIdentifierqauditIdentityqextendedKeyUsageqCERT_TEMPLATE_OID(这是指定在BYOD通常使用流)的模板的一定制的OIDqNote:ISE内部CA设计支持使用证书例如BYOD并且功能被限制的功能.
使用ISE作为企业CA没有由思科推荐.
配置为了使用证书供应功能在网络,必须启用ISE内部CA服务,并且应该配置证书设置的门户.
步骤1.
OnISEGUI,导航对管理>System>证书>认证机关>内部CA,并且启用在ISE节点的内部CA设置,请单击Enable(event)认证机关.
步骤2.
创建认证模板在管理>System>证书>认证模板>Add下.
如此镜像所显示,根据需求输入详细信息并且单击提交.
Note:如此镜像所显示,您能看到已创建认证模板列表在管理>System>证书>认证模板下.
步骤3.
如镜像所显示,为了配置ISE证书设置的门户,请导航对Administration>设备门户Management>证书供应>创建,:第四步:如镜像所显示,在新证书门户,请展开门户设置.
HTTPS端口应该由证书设置的门户使用HTTPS的波尔特.
允许接口ISE应该细听此门户的接口.
证书组标记将用于指示将用于此门户系统证书的证书设置的门户证书标记.
认证方法选择验证登录到此门户的标识存储顺序.
默认情况下certificate_request已授权组能访问证书设置的门户的套用户可以通过移动特定的AD组和内部用户用完全合格的Domanin名称(FQDN)您能也给特定FQDN到此门户.
浏览对FQDN的用户使用http/https重定向空闲超时值定义了门户的空闲超时.
Note:标识来源的配置可以被检查在Administration>身份管理>标识来源顺序下.
步骤5.
配置洛金页定位.
步骤6.
ConfigureAUP页定位.
步骤7.
您能也添加发表物登录标识.
步骤8在设置门户设置的证书下,请指定允许的认证模板.
步骤9.
移动到页的顶部并且点击"Save"保存更改.
另外,门户可以通过导航进一步定制对入口页面AUP文本、发表物登录标识文本和其他消息可以根据需求更改的自定义选项卡.
验证使用本部分可确认配置能否正常运行.
如果ISE为证书供应正确地配置,证书可以从有这些步骤的ISE证书设置的门户请求/下载.
步骤1.
打开浏览器并且浏览对设置门户FQDN如配置以上或证书供应测验URL的证书.
如此镜像所显示,您重定向到门户,:步骤2.
有用户名和密码的洛金.
第三步:在成功认证以后,请接受AUP,并且登陆对证书供应页.
第四步:证书供应页提供功能下载证书用三种方式:单个证书(没有证书签名请求)q单个证书(与证书签名请求)q大批证书q生成单个证书,不用证书签名请求为了生成单个证书,不用CSR,请选择生成单个证书(没有证书签名请求)选项.
q输入共同名称(CN).
qNote:给的CN必须匹配请求人的用户名.
请求方是指用于的用户名登陆到门户.
只有管理员用户能创建不同的CN的一证书.
输入证书生成设备的MAC地址.
q选择适当的认证模板.
q选择证书应该下载的希望的格式.
q输入认证密码并且单击生成.
q单个证书顺利地生成并且下载.
q生成与证书签名请求的单个证书为了生成单个证书,不用CSR,请选择生成单个证书(withcertificate署名请求)选项.
q复制和插入CSR内容从记事本文件在证书签名请求详细信息下.
q输入证书生成设备的MAC地址.
q选择适当的认证模板.
q选择证书应该下载的希望的格式.
q输入认证密码并且单击生成.
q单个证书将顺利地生成并且下载.
q生成大批证书您能生成多个MAC地址的大批证书,如果包含CN和MACAddress字段的上传CSV文件.
Note:给的CN必须匹配请求人的用户名.
请求方是指用于的用户名登陆到门户.
只有管理员用户能创建不同的CN的一证书.
为了生成单个证书,不用CSR,请选择生成单个证书(与证书签名请求)选项.
q上传大批请求的CSV文件.
q选择适当的认证模板.
q选择证书应该下载的希望的格式.
q输入认证密码并且单击生成.
q大批证书压缩文件生成并且下载.
q故障排除目前没有针对此配置的故障排除信息.