circle-info
Este artículo ha sido traducido automáticamente. La traducción puede contener imprecisiones.
Cambiar a la versión original en inglés.chevron-right
search

Limitación de encabezado Host de Cisco ISE

Tanto Cisco ISE como Aruba ClearPass (solo hasta e incluyendo ClearPass 6.9.5) no son compatibles con HTTP 1.1 al consultar OCSP y no envían un encabezado Host en su solicitud OCSP. Esto probablemente se deba a que OpenSSL hasta la versión 1.0.2, que parece usarse en el backend, requería un parámetro extra para enviar el encabezado Host en las solicitudes OCSParrow-up-right, mientras que OpenSSL 1.1.0, lanzado en agosto de 2016, hace eso automáticamente. Por lo tanto, no pueden conectarse a una instancia general de SCEPman que se ejecute en Azure App Services. El mensaje de error puede verse así:

Cisco está investigando actualmente futuras mejoras pero, por el momento, puede usar un Azure Application Gatewayarrow-up-right para proporcionar una instancia de SCEPman que no requiera un encabezado Host.

Las siguientes instrucciones describen los pasos necesarios para crear un Azure Application Gateway para SCEPman:

hashtag
1) Crear un nuevo Application Gateway

hashtag
2) Proporcionar la información básica necesaria

hashtag
3) Crear una nueva dirección IP pública estática

hashtag
4) Crear un nuevo Backend Pool y apuntarlo a su App Service de SCEPman

circle-info

En el escenario Geo-Redundant, debe agregar ambos servicios de aplicaciones SCEPman al backend pool.

hashtag
5) Agregar una regla de enrutamiento para HTTP

hashtag
5b) Agregar una nueva configuración HTTP con Host Header (su FQDN público de SCEPman)

circle-exclamation

A principios de junio, Microsoft introdujo un error en Azure Application Gateway que impide agregar un encabezado Host a solicitudes sin encabezado Host cuando se selecciona "Pick host name from backend target". Recomendamos "Pick host name from backend target" en una versión anterior de esta documentación, pero esto ya no funciona. Como solución alternativa, elija "Override with specific domain name" como se muestra abajo e inserte el nombre de su App Service de SCEPman, p. ej. contoso-scepman.azurewebsites.net.

hashtag
6) Opcional: Agregar una regla de enrutamiento para HTTPS

circle-exclamation

Este paso requiere un certificado de servidor web HTTPS.

circle-info

El uso de HTTP sin TLS no es una vulnerabilidad de seguridad; los recursos basados en PKI se publican comúnmente mediante HTTP sin TLS, ya que el apretón de manos TLS puede requerir acceso a estos recursos. Usar TLS crearía un problema de gallina y huevo donde el apretón de manos TLS requiere acceso a los recursos PKI y el acceso a los recursos PKI requiere un apretón de manos TLS. Por lo tanto, estos recursos PKI, incluidos los protocolos SCEP y OCSP, emplean su propio cifrado y/o firmas cuando se requiere.

hashtag
6b) Agregar una nueva configuración HTTPS con Host Header (su FQDN público de SCEPman)

hashtag
7) Confirmar las reglas de enrutamiento

hashtag
8) Finalizar la configuración del Application Gateway

hashtag
9) Configurar el nombre DNS para la IP

Luego, agregue un nombre DNS para el Gateway:

  1. Abrir el recurso de Dirección IP

  2. Agregar un nombre de su elección como etiqueta de nombre DNS

Opcional: Puede agregar una entrada CNAME para el nombre DNS en su propio servidor DNS.

circle-info

En el escenario Geo-Redundant, todavía puede usar la URL de dominio personalizada de SCEPman (que apunta al traffic manager) y la URL del Application Gateway en Cisco ISE como un respondedor OCSP.

circle-info

La URL del respondedor OCSP sería: http://<Application-Gateway-URL>/ocsp

Nota: La URL del respondedor OCSP debe ser HTTP y no HTTPS, vea aquí

hashtag
Configuración de Intune/JAMF

Aún puede usar la URL del App Service en lugar de la del Azure Application Gateway en la configuración de Intune. Si hace esto, los clientes se comunican directamente con el App Service. Debe configurar la URL del Azure Application Gateway en Cisco ISE, ya que solo esta URL admite solicitudes HTTP 1.0.

Última actualización

¿Te fue útil?