伊势 2.0 Initial Configuration - Creating 证书认证配置文件s

在下一篇文章中,我们将创建证书身份验证配置文件。对于我们将在以后的帖子中创建的身份验证方法,此配置文件是必需的。由于我们将在策略中使用基于EAP证书的身份验证方法,因此ISE会将从客户端收到的证书与服务器中的证书进行比较,以验证用户或计算机的真实性。这被认为比传统的用户名和密码方法安全得多。 

在ISE GUI中,导航至 行政>Identity Management>External 身份管理>证书认证配置文件 and click

您可以为配置文件命名一个对您有意义的名称。在这个实验中,我刚命名 AD_CA_AltName。来自 身份存储 下拉菜单中,选择您的AD服务器将此证书模板绑定到Active DirectoryCA。确保 证书属性 选择单选按钮,然后从下拉框中选择 使用者替代名称 选项。这指定ISE必须从LDAP检索并与之进行比较的证书属性的值。在 将客户端证书与身份存储中的证书进行匹配 选项,我通常将其保留为默认值 仅解决身份歧义

再次单击“添加”,并创建以下证书配置文件,该文件将在以后的文章中用于BYOD: 

创建证书配置文件后,我开始创建身份源序列,该序列稍后将用于我们的策略。导航 行政>Identity Management>身份来源序列 然后点击 。对于我的实验室,我将创建一个身份源序列,其中包括所有身份存储:

 

为了使ISE通过SCEP颁发BYOD证书,我们现在需要配置SCEP配置文件。导航 行政>System>Certificates>证书颁发机构>External CA Settings 然后点击 。在下一页中,您将需要为此配置文件提供一个名称以及指向您的SCEP服务器的链接。默认情况下,URL应为http://CA IP地址/certsrv/mscep/mscep.dll
在点击之前,请务必在此配置文件上测试连接 提交:

 

创建此配置文件后,我们将创建证书模板以使用此SCEP配置文件。导航 行政>System>Certificates>证书颁发机构>证书模板 and click 。模板的名称必须与Active Directory证书颁发机构中BYOD证书模板的名称相同。就我的实验室而言,我将其命名为 自带设备 。在SCEP RA配置文件的下拉列表中,使用您刚创建的SCEP配置文件(安全演示SCEP in my lab) 然后点击 救: