服务器 2012配置-证书最精准双色球预测专家

证书最精准双色球预测专家将在我们实验室的ISE和pxGrid集成中扮演重要角色,并且很可能在ISE的任何生产部署中发挥重要作用。自ISE 1.3版以来,ISE就一直支持其自己的证书颁发机构,但在大多数生产实例中,它将用于BYOD,而不是用于公司计算机。 在以后的博客文章中,我将使用ISE CA进行许多相同的步骤,但我想先介绍一下大多数实现中将使用的内容。 

那么,证书为何如此重要?首先想到的是使用dot1x进行证书身份验证。用户证书, 计算机证书,或两者都可用于向ISE进行身份验证并允许访问网络。您还可以拥有通过ISE中的SCEP颁发的BYOD证书最精准双色球预测专家,以提供对不属于您的Active Directory域的移动设备和其他BYOD机器的访问,并且您希望它们在初始后不会出现启动页面的情况下连接到网络。注册。 pxGrid证书将用于在网络上的ISE节点与pxGrid客户端(无论是思科产品还是第三方供应商)之间进行身份验证并建立安全通信。 

如果您不熟悉pxGrid,这是一个很酷的概念。思科不必创建专用于平台的专用API在ISE和其他产品之间发送信息,而是开发了一个统一的框架,供其他供应商使用,以双向共享上下文和信息。例如,假设您拥有产品1,该产品具有AD代理,并且可以将用户名映射到IP地址,例如您的普通防火墙。 尽管这对于识别用户非常有用,但实际上并没有非常明确地说明用户从何处访问网络,使用哪种设备,应用了什么策略,SGT, 等等。如果他们没有AD帐户登录网络怎么办?通过ISE创建的赞助商帐户就是这种情况。有了pxGrid,防火墙将能够从ISE中获得您在Active Directory中看不到的详细上下文信息,例如其位置,哪种设备,其授权策略,分配的安全组标签(如果有),等等 

在某些情况下,此防火墙可以更进一步,并使用此pxGrid通信来缓解网络事件。一个很好的例子是,如果您有一个客户端下载恶意软件,并且在下载时,防火墙无法对该文件发出处置,并允许客户端下载它。一段时间后,防火墙可能会发现该文件是恶意软件,尽管它现在可以阻止该文件的将来下载,但它最初仍然首先越过防火墙,并且网络上某个位置的患者零。使用pxGrid缓解措施,该防火墙可以向ISE发送消息,以将其从网络中列入该设备的黑名单,直到IT或安全团队有机会清理该设备。这样,您就可以根据条件或漏洞创建动态和自动化的安全性。

如果您有兴趣,这里有一些链接:

  • 有一个pxGrid生态系统合作伙伴的公开列表,如果您有兴趣,可以在这里查看:
    http://www.cisco.com/c/en/us/products/security/partner-ecosystem.html
     
  • 这也是pxGrid上不错的一个传呼机:
    http://www.cisco.com/c/dam/en/us/products/collateral/security/identity-services-engine/at_a_glance_c45-728420.pdf
     
  • 对于您那里的程序员,Cisco在DevNet上也提供了pxGrid SDK:
    //developer.cisco.com/site/pxgrid/
     

我将指导您完成证书最精准双色球预测专家的配置。转到“开始”菜单并打开 认证机构。在此MMC上,突出显示 证书最精准双色球预测专家 文件夹,然后单击鼠标右键。选择 管理

证书最精准双色球预测专家控制台窗口将打开。突出显示 用户 证书最精准双色球预测专家,然后右键单击它。选择复制最精准双色球预测专家。 

在复制的最精准双色球预测专家上,单击“常规”选项卡,并为此最精准双色球预测专家创建一个逻辑名称。对我来说,我将通过我的组策略将此用户证书下推,因此它的名称恰当 GPO用户 为了我

在“请求处理”选项卡上,取消选中 允许导出私钥框。 对于此证书,没有理由需要允许导出私钥。 

在扩展标签上,突出显示 申请政策 然后点击 编辑。  添加 服务器认证 申请政策的政策

在“安全性”选项卡上,突出显示 域用户 并检查 允许 boxes for 注册自动注册。 稍后,当我们通过组策略推动此操作以在用户登录我们的网络时自动注册该用户时,这一点将很重要。 

如果要从此证书最精准双色球预测专家中排除电子邮件地址,建议您转到“主题名称”选项卡,然后取消选中电子邮件。否则,如果用户没有在Active Directory中指定的电子邮件地址,则不会为该用户颁发证书。 

单击确定关闭此窗口并保存最精准双色球预测专家。 

接下来,我们将创建我们的计算机证书最精准双色球预测专家。突出显示 工作站认证 最精准双色球预测专家,并像对User最精准双色球预测专家一样进行复制。在常规选项卡上,为此最精准双色球预测专家选择一个好名字。对我来说,我选择了 GPO计算机 因为这将是我将与组策略一起使用的计算机证书最精准双色球预测专家。 

在此最精准双色球预测专家的扩展选项卡下,突出显示 申请政策 然后点击 编辑。请点击 然后选择 服务器认证 就像我们对用户证书最精准双色球预测专家所做的那样:

在“安全性”选项卡上,突出显示 域计算机 并检查 允许 盒子 阅读,注册, 自动注册

在使用者名称标签上,检查 用户主体名称(UPN) 框,然后在“使用者名称格式”下,将其更改为 全名:

单击确定关闭此窗口并保存您的证书最精准双色球预测专家。

 

接下来,我们将配置pxGrid证书最精准双色球预测专家。突出显示先前创建的 GPO用户 最精准双色球预测专家并复制此最精准双色球预测专家。在常规选项卡上,将此最精准双色球预测专家命名 格网

在“安全性”选项卡上,突出显示 域用户 并确保取消选中自动注册,因为我们不希望在任何时候通过组策略发布此最精准双色球预测专家。 

在扩展标签上,编辑 申请政策 就像我们之前的步骤一样,删除所有内容,除了 客户端认证 服务器身份验证。 这些是pxGrid证书所需的关键扩展:

在“使用者名称”标签上,选择单选按钮 在请求中提供

单击“确定”关闭窗口并保存证书最精准双色球预测专家。 

突出显示 用户 最精准双色球预测专家,然后再次复制。这次我们要命名 自带设备

在“使用者名称”标签下,将其更改为“ 在请求中提供:

在“安全性”选项卡上,确保管理员帐户有权注册,读取和写入证书:

单击确定关闭窗口并保存最精准双色球预测专家。 

关闭“证书最精准双色球预测专家控制台”窗口。在“证书颁发机构”窗口上,突出显示“证书最精准双色球预测专家”文件夹,然后单击鼠标右键。选择 新>颁发证书最精准双色球预测专家 然后在弹出窗口中,突出显示您刚刚创建的最精准双色球预测专家,然后单击“确定”。这会将新最精准双色球预测专家发布到证书颁发机构,并使其可用

此时,您应该可以关闭“证书颁发机构”窗口。现在,您已创建要使用的BYOD,用户,计算机和Pxgrid最精准双色球预测专家,并将其发布到您的CA中。 

对于BYOD证书,该证书将在将来通过我的实验室中的SCEP发布,因此我们需要采取一些其他步骤来进行准备。转到“开始”菜单并输入 注册表编辑 编辑注册表。 

在注册表树中,导航到 HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Cryptography>MSCEP
 

我们将要确保将以下数据值更改为 自带设备:
加密最精准双色球预测专家
GeneralPurposeTemplate
签名最精准双色球预测专家

在下面 强制密码 文件夹,将值更改为0:

确保这件事 使用单密码 也设置为0:

注意:还有其他方法可以实现BYOD的相同功能,例如使用ISE颁发BYOD证书B