# Cisco-ISE-Host-Header-Einschränkung Sowohl Cisco ISE als auch Aruba ClearPass (nur bis einschließlich **ClearPass 6.9.5**) unterstützen HTTP 1.1 beim Nachschlagen von OCSP nicht und senden in ihrer OCSP-Anforderung keinen Host-Header. Dies liegt wahrscheinlich daran, dass OpenSSL bis Version 1.0.2, das offenbar im Backend verwendet wird, [einen zusätzlichen Parameter erforderte, um den Host-Header für OCSP-Anforderungen zu senden](https://github.com/openssl/openssl/issues/1986), während OpenSSL 1.1.0, das im August 2016 veröffentlicht wurde, dies automatisch erledigt. Daher können sie keine Verbindung zu einer allgemeinen SCEPman-Instanz herstellen, die auf Azure App Services läuft. Die Fehlermeldung kann etwa so aussehen: ![](/files/4bc899dac1a02351b3485237117ebe1dd9fdb8f8) Cisco untersucht derzeit zukünftige Verbesserungen, aber vorerst können Sie [Azure Application Gateway](https://azure.microsoft.com/en-us/services/application-gateway/) verwenden, um eine SCEPman-Instanz bereitzustellen, die keinen Host-Header erfordert. Die folgenden Anweisungen beschreiben die Schritte, die erforderlich sind, um ein Azure Application Gateway für SCEPman zu erstellen: ## 1) Erstellen Sie ein neues Application Gateway ![](/files/e2234bce908d1143003479382c0af62b6f65676b) ## 2) Geben Sie die erforderlichen Basisinformationen an ![](/files/dbb63d028cd0ffbc77c67e3664ba0fa1c25aabf7) ## 3) Erstellen Sie eine neue statische öffentliche IP-Adresse ![](/files/d05d4932eefc9d8e1e395f895b9e18eb8826a1a1) ## 4) Erstellen Sie einen neuen Backend-Pool und verweisen Sie ihn auf Ihren SCEPman App Service ![](/files/fc9c699ecedd3ba9cdcf89469981c363595116eb) {% hint style="info" %} Im geo-redundanten Szenario müssen Sie beide SCEPman-App-Services zum Backend-Pool hinzufügen. {% endhint %} ## 5) Fügen Sie eine Routing-Regel für HTTP hinzu ![](/files/35fc81c1c572462dbb844b4f40a8637ca3b691eb) ![](/files/c7638c90eaf686a030188dcf22bcb13a72182524) ## 5b) Fügen Sie eine neue HTTP-Einstellung mit Host-Header hinzu (Ihr öffentlicher SCEPman-FQDN) {% hint style="warning" %} Anfang Juni hat Microsoft einen Fehler im Azure Application Gateway eingeführt, der das Hinzufügen eines Host-Headers zu host-headerfreien Anforderungen verhindert, wenn „Hostnamen vom Backendziel auswählen“ ausgewählt ist. In einer früheren Version dieser Dokumentation haben wir „Hostnamen vom Backendziel auswählen“ empfohlen, aber das funktioniert nicht mehr. Wählen Sie als Workaround wie unten dargestellt „Mit spezifischem Domänennamen überschreiben“ und geben Sie den Namen Ihres SCEPman App Service ein, z. B. *contoso-scepman.azurewebsites.net*. {% endhint %} ![](/files/981b6ba1d2b59020e7c6693cdecec032a9bd6683) ![](/files/19022410c192fb50561bb4bd6f093156050d4243) ## 6) Optional: Fügen Sie eine Routing-Regel für HTTPS hinzu {% hint style="warning" %} Für diesen Schritt ist ein HTTPS-Webserverzertifikat erforderlich. {% endhint %} {% hint style="info" %} Die Verwendung von HTTP ohne TLS ist keine Sicherheitslücke; PKI-basierte Ressourcen werden üblicherweise per HTTP ohne TLS veröffentlicht, da der TLS-Handshake möglicherweise Zugriff auf diese Ressourcen erfordert. Die Verwendung von TLS würde ein Henne-Ei-Problem erzeugen, bei dem der TLS-Handshake Zugriff auf die PKI-Ressourcen erfordert und der Zugriff auf die PKI-Ressourcen einen TLS-Handshake erfordert. Daher verwenden diese PKI-Ressourcen einschließlich der Protokolle SCEP und OCSP ihre eigene Verschlüsselung und/oder Signaturen, wo dies erforderlich ist. {% endhint %} ![](/files/24ff6e4baccb5017515d4f2cc506fe845442d5e9) ![](/files/98af004ec1708a7468b9d51763eb9e780fd9baff) ## 6b) Fügen Sie eine neue HTTPS-Einstellung mit Host-Header hinzu (Ihr öffentlicher SCEPman-FQDN)
![](/files/28485becd0b70a892a6896218028d694bb9ad98f) ## 7) Bestätigen Sie die Routing-Regeln ![](/files/d44658c697236834b2e4bf9f0332d150810333c0) ## 8) Schließen Sie die Konfiguration des Application Gateway ab ![](/files/12530b9b510a259f658bc9b13fc1a45a8b17a2f8) ## 9) Konfigurieren Sie den DNS-Namen für die IP Fügen Sie dann einen DNS-Namen für das Gateway hinzu: 1. Öffnen Sie die Ressource der IP-Adresse 2. Fügen Sie einen Namen Ihrer Wahl als DNS-Namensbezeichnung hinzu ![](/files/b5c2ed89801e62e39fbf0860004d47d2acbb40f0) Optional: Sie können in Ihrem eigenen DNS-Server einen CNAME-Eintrag für den DNS-Namen hinzufügen. {% hint style="info" %} Im geo-redundanten Szenario können Sie in Cisco ISE weiterhin die benutzerdefinierte SCEPman-Domain-URL (die auf den Traffic Manager verweist) und die URL des Application Gateway als OCSP-Responder verwenden. {% endhint %} {% hint style="info" %} Die OCSP-Responder-URL wäre: `http:///ocsp` **Hinweis:** Die OCSP-Responder-URL sollte HTTP und nicht HTTPS sein, siehe [hier](https://docs.scepman.com/de/sonstiges/troubleshooting/pages/86ebde45c4ddad114e012372246f2e55c35870d6#id-21.-can-https-only-be-enabled) {% endhint %} ## Intune/JAMF-Konfiguration Sie können in der Intune-Konfiguration weiterhin die URL des App Service anstelle der des Azure Application Gateway verwenden. Wenn Sie dies tun, kommunizieren die Clients direkt mit dem App Service. Sie müssen die URL des Azure Application Gateway in Cisco ISE konfigurieren, da nur diese URL HTTP-1.0-Anforderungen unterstützt. --- # Agent Instructions: Querying This Documentation If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question. Perform an HTTP GET request on the current page URL with the `ask` query parameter: ``` GET https://docs.scepman.com/de/sonstiges/troubleshooting/cisco-ise-host-header-limitation.md?ask= ``` The question should be specific, self-contained, and written in natural language. The response will contain a direct answer to the question and relevant excerpts and sources from the documentation. Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.