How to configure Windows as a SCEP server & Cisco ASA enrollment
文章原文:https://www.whitewinterwolf.com/posts/2017/10/05/how-to-configure-windows-as-a-scep-server-cisco-asa-enrollment/#_
翻译如下:
SCEP是包括Microsoft和Cisco在内的多家制造商支持的协议,旨在使证书发行更加容易,尤其是在大规模环境中。
它分几个步骤进行:
- 该SCEP服务器产生一次性密码(“注册质询密码”),客户端获取到注册质询密码后,客户端生成密钥对,并将证书签名请求与一次性密码一起发送到SCEP服务器。
- 该SCEP服务器验证客户端证书数据使得现有的签名证书给客户端。
- 客户端定期轮询SCEP服务器,直到其签名证书可用为止。然后,客户端可以获取签名证书并进行安装
在这里,我们将Windows Server设置为SCEP服务器,并使用Cisco ASA作为SCEP 客户端。
上面的拓扑使用Windows 2016,但是任何其他Windows服务器都可以。本操作方法涵盖Windows 2016和2008,虽然两者之间存在一些差异。
这里介绍了选择合适的Windows版本。
Windows(SCEP 服务器)
Microsoft网站提供了有关Active Directory证书服务和网络设备注册服务的更多文档 。
配置IP地址和主机名
有关IP地址和主机名配置的更多详细信息,请参见 此处。
安装Windows证书服务
打开服务器管理器(最近的Windows Server在打开新会话时会自动打开它,否则,您可以在任务栏中或在“ 开始” 菜单下的“ 管理工具”中找到它)。
在“ 角色”部分中,点击添加角色。选择“ Active Directory证书服务” 角色。
当要求选择其他角色服务时:
- 在最新的Windows版本上,选择“ 证书颁发机构”,“ 网络设备注册服务”和“ 联机响应程序” 服务:
2. 在较旧的Windows版本上,目前仅安装证书颁发机构,我们稍后将安装其余的证书:
在较新的Windows上,可以直接从“ 添加角色” 向导中添加已安装角色的服务 。
在较新的Windows上,服务配置是一个单独的步骤。在服务器管理器的顶部栏上,您应该看到一个警告标志(➀),单击它,然后在“ 配置Active Directory证书服务”链接(➁)上。
您必须首先配置证书颁发机构,然后返回到角色服务配置屏幕以配置 网络设备注册服务和联机响应程序服务,这是第二步。
如果安装正确,则将询问您要使用的服务帐户,选择使用内置应用程序池标识。
然后,再按一下Next,Next,Next,Configure和SCEP服务器,并准备好处理请求。
管理SCEP 服务器
默认情况下,SCEP服务器应在所有接口上侦听端口80。
要访问它,请打开Internet Explorer并访问 http://localhost/certsrv/mscep/mscep.dll:
链接应建议您访问http://localhost/certsrv/mscep_admin/以生成新的注册密码。访问此页面需要管理员密码:
现在执行certsrv.msc(在新的Windows版本中,执行工具已移至Windows系统组下方 ):
在“ 待处理的请求” 部分中提供了待验证的待处理证书:右键单击它们以颁发已签名的证书。
思科ASA(SCEP 客户端)
配置IP地址和HTTPS 服务器
可以在此处找到有关如何配置ASA IP地址和HTTPS服务器(ASDM必需 )的详细信息。
所有即将进行的配置都使用ASDM GUI完成。
导入SCEP服务器CA 证书
进入“ 配置” >“ 设备管理” >“ 证书管理” >“ CA证书”,然后单击“ 添加”并填写SCEP服务器信息以下载服务器的CA 证书。
创建一个新的密钥对并将请求提交到服务器
进入“ 配置” >“ 设备管理” >“ 证书管理” >“ 身份证书”,然后单击“ 添加”。
单击“ 新建…”按钮创建一个新的密钥对,然后单击“ 高级…” 按钮以在“ 注册模式”和“ SCEP挑战密码” 选项卡下方填充SCEP服务器信息:
单击添加证书以将请求发送到SCEP服务器,您将收到类似以下的消息:
在SCEP服务器端,ASA证书应显示在“ 待处理的请求”中。右键单击它,然后选择“ 颁发”任务以颁发已签名的证书。
ASA会定期拉动 SCEP服务器,您可能需要等待一两分钟,然后才能获取签名的证书并将其安装在 ASA上。
单击刷新按钮以查看ASA的证书是否已正确注册。现在它将显示SCEP服务器为颁发者和有效的到期日期:
该ASA现在已经被Windows’签订了专用证书CA。