O post de hoje foi encaminhado pelo Douglas Jefferson com um "How to" para configuração de acesso HTTPS no Switch 3Com 7900 utilizando um Servidor CA com o Windows Server 2003.
Aproveitem as dicas....
Durante a instalação do CA verifique se o Windows será um MemberServer ou se estará fora do Domínio. No exemplo listado nesse tutorial, o Servidor estará fora do domínio, pois nos passos a frente na instalação da CA(Certificate Authority) há diferenças em qual CA criar(Enterprise, StandAlone , SubAuthority Root CA) e quais grupos devem ter permissões.
OBS.: Certifique-se de instalar na sequencia do tutorial. Se porventura for instalado primeiro a CA e em seguinda IIS você terá que saber colocar os códigos da aplicação da CA no diretório "Home Directory" do IIS, normalmente em "%windir%\inetpub\wwwroot".
Instalar Componente do Windows como Web Server Microsoft IIS (NNF)
- Certificar de que o CD/ISO de instalação está disponível, porque será solicitado.
- Clique em “Iniciar >Painel de Controle>Instalar e Remover Programas”, do lado esquerdo, terceira opção, de cima para baixo “Componentes do Windows”, assinale somente a opção do IIS (Internet Information Service) e clique em Detalhes, para certificar de que todas as opções estão assinaladas.
- Verificar se o serviço está escutando a porta 80 padrão.
- Testar pelo CMD com “netstat” e Web Browser local “http://IP_do_IIS/”.
Instalar Componente do Windows como CA (NNF)
- Repita Passo 2B mas no lugar de IIS assinale “Certificate Authority” e para este Windows 2003 Server Standard Edition fora do domínio (não Member Server) somente aparecerá "StandAlone Root CA" (NNF), com usuário Administrador local.
Fontes:
http://www.petri.co.il/install_windows_server_2003_ca.htm
http://technet.microsoft.com/en-us/library/cc875810.aspx
- Verificar se o serviço está em pleno funcionamento, averiguando se há possibilidade de gerar certificados via interfaceWeb. Link: http://192.168.100.40/certsrv/
Se esse link mostrar a interface Web da administração da CA, OK!
Se NÃO verificar instalação, passos anteriores.
- O Windows 2003 Servers não tem suporte ao protocolo SCEP por padrão (Simple Certificate Enrollment Protocol, created by Cisco System), assim precisamos instala-lo (NNF).
http://www.microsoft.com/downloads/en/details.aspx?familyid=9f306763-d036-41d8-8860-1636411b2d01&displaylang=en
OBS.: Será solicitado informações sobre a RA (switch 3Com 7900) no final da instalação do programa, como Hostname, Cidade, Estado , Tipo de Cifra e Certificado. Se a CA estiver instalada, o que aparecer Negritado é o que ele reconheceu como padrão da CA em uso, se tiver dúvidas mantenha o que ele identificou.
- Após instala-lo estará disponível a interface via Web para solicitações de certificados, assim nos possibilitando configurar os equipamentos da rede.
Interface Enrollment para equipamentos de rede Link:
http://192.168.100.40/certsrv/mscep/mscep.dll
- Na instalação do programa que foi baixado no site da Microsoft (protocolo SCEP) a CA cria 2 certificados para a entidade RA (switch), então vamos verificar se está tudo OK. Navegue em “Iniciar > Painel de Controle > Ferramentas Administrativas > Certificate Authority” Expandir em “Certificate Authority > CA > Issued Certificates”, verificar se existem 2 certificados devidamente criados, se “OK” siga em frete. Se “NÃO” verifique passos anteriores.
- Ainda dentro da seção "Certificate Authority", clique com o botão direto na "CA > Properties" Em seguida na aba "Policy Module > Properties", novamente, e selecione a opção "Follow de settings in the certificate template, if........." Será solicitado que você reinicie o serviço da CA (Apply/OK), faça-o.
- Agora vá em “Iniciar-->Painel de Controle-->Ferramentas Administrativas-->IIS” Expandir em “Server(Local)-->Web Sites-->Default Web Site”, verifique se os serviços "Certsrv","CertControl" e "CertEnroll" estão disponíveis. Se quiser trocar o caminho padrão sinta-se avontade (clique com o botão direito do mouse em "Default Web Site-->Home Directory-->LocalPath").
Configurando o Switch
Configurando o equipamento da rede (switch 3Com 7900 CORE, ou qualquer que suporte PKI/SSL) para solicitações de certificados a CA.
pki entity AAA
common-name SW_CORE
quit
#
pki domain CLIENTEX
ca identifier SERVIDOR
#
certificate request url http://192.168.100.4/certsrv/mscep/mscep.dll
certificate request from ra
certificate request entity AAA
crl url http://192.168.100.4/CertEnroll/IMC.crl
quit
#
pki retrieval-certificate ca domain CLIENTEX
(Y/N):y
#
pki retrieval-crl domain CLIENTEX
#
OBS.: Para saber a senha do desafio (Challenge Password), abra seu navegador com o link http://IP_do_IIS/certsrv/mscep/ , será solicitado um usuário e senha para autenticação, esse usuário é o que instalou o programa que da suporte ao protocolo SCEP (no meu caso Administrator), após autenticado você será redirecionado para a tela que conterá o "Ca Certificate ThumbPrint" e "Challenge Password"(port 60 minutos)
Faz a requisição do certificado e o armazena.
#
pki request-certificate domain CLIENTEX Challenge_Password
#
pki request-certificate domain CLIENTEX 7F4C5A740C78B06D
Lista o certificado importado.
#
display pki certificate local domain CLIENTEX
Cria o dominio SSL com as especificações dessa seção. CLIENTEX-SSL
#
ssl server-policy CLIENTEX-SSL
pki-domain CLIENTEX
client-verify enable
quit
#
Associa o dominio SSL ao servidor HTTPS
#
ip https ssl-server-policy CLIENTEX-SSL
Habilita o Servidor HTTPS
#
ip https enable
Restringe o acesso às Redes contidas na ACL de número 2000
#
ip https acl 2000
Feito todos os passos acima com sucesso, precisaremos solicitar um certificado para o navegador da máquina que vamos utilizar para acessar a interface Web do Switch CORE, seguindo os passos abaixo:
Abra o navegador e digite o seguinte link http://192.168.100.40/certsrv/
Clique em "Request a Certificate"
Clique em "Web Browser Certificate"
Preencha os campos em clique em "Submit"
Aparecerá uma mensagem "
This Web site is requesting a new certificate.........", clique em "
YES".
Em seguida clique no link "
Install This Certificate".
Será instalado no seu navegador, assim você estará apto a acessar com seu navegador a página de administração do switch de forma segura (SSL).
Agora basta acessar o IP do Switch em seu Browser de preferência....
Se desejar verificar o handshake/transações PKI e/ou SSL, habilite o debug
a. Debug ssl
b. Debug pki
Espero que tenham gostado, abraços a todos!!!
