# Limitación del encabezado de host de Cisco ISE Tanto Cisco ISE como Aruba ClearPass (solo hasta e incluyendo **ClearPass 6.9.5**) no admiten HTTP 1.1 al consultar OCSP y no envían un encabezado Host en su solicitud OCSP. Esto probablemente se deba a que OpenSSL hasta la versión 1.0.2, que parece usarse en el backend, [requería un parámetro adicional para enviar el encabezado Host para las solicitudes OCSP](https://github.com/openssl/openssl/issues/1986), mientras que OpenSSL 1.1.0, lanzado en agosto de 2016, lo hace automáticamente. Por lo tanto, no pueden conectarse a una instancia general de SCEPman que se ejecuta en Azure App Services. El mensaje de error puede verse así: ![](https://4115997120-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-LoGejQeUQcw7lqnQ3WX%2Fuploads%2Fgit-blob-73190ac3e2e77c25974776ffa48e74b2c33f96da%2Fcisco-ocsp-error%20\(2\)%20\(4\)%20\(4\)%20\(4\)%20\(4\)%20\(4\)%20\(2\)%20\(1\).jpg?alt=media) Cisco está investigando actualmente futuras mejoras, pero por el momento puede usar un [Azure Application Gateway](https://azure.microsoft.com/en-us/services/application-gateway/) para proporcionar una instancia de SCEPman que no requiera un Host Header. Las siguientes instrucciones describen los pasos necesarios para crear un Azure Application Gateway para SCEPman: ## 1) Cree un nuevo Application Gateway ![](https://4115997120-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-LoGejQeUQcw7lqnQ3WX%2Fuploads%2Fgit-blob-a402724c716fac522d61e03233aff4e96a90e2f4%2Fscreen-shot-2019-10-18-at-17.12.40%20\(2\)%20\(2\)%20\(2\)%20\(2\)%20\(2\)%20\(2\)%20\(2\)%20\(1\).png?alt=media) ## 2) Proporcione la información básica necesaria ![](https://4115997120-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-LoGejQeUQcw7lqnQ3WX%2Fuploads%2Fgit-blob-367c46f5958d85d0c7d98e7b4691bd93add555ae%2Fscreen-shot-2019-10-18-at-17.13.55%20\(2\)%20\(2\)%20\(2\)%20\(2\)%20\(2\)%20\(2\)%20\(2\)%20\(2\)%20\(2\)%20\(2\)%20\(1\).png?alt=media) ## 3) Cree una nueva dirección IP pública estática ![](https://4115997120-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-LoGejQeUQcw7lqnQ3WX%2Fuploads%2Fgit-blob-9f24e6ff6ca4195383c78bbb74ca1e3afae92a2c%2Fscreen-shot-2019-10-18-at-17.14.19%20\(2\)%20\(4\)%20\(5\)%20\(5\)%20\(5\)%20\(2\)%20\(1\).png?alt=media) ## 4) Cree un nuevo Backend Pool y apúntelo a su SCEPman App Service ![](https://4115997120-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-LoGejQeUQcw7lqnQ3WX%2Fuploads%2Fgit-blob-4e763c48bd1ccfd3326d7a86ec2573e68f25b3a1%2Fscreen-shot-2019-10-18-at-17.14.55%20\(2\)%20\(4\)%20\(5\)%20\(2\)%20\(1\)%20\(1\)%20\(1\)%20\(1\)%20\(1\)%20\(1\)%20\(2\)%20\(6\).png?alt=media) {% hint style="info" %} En el escenario georredudante, debe agregar ambos App Services de SCEPman al Backend Pool. {% endhint %} ## 5) Agregue una regla de enrutamiento para HTTP ![](https://4115997120-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-LoGejQeUQcw7lqnQ3WX%2Fuploads%2Fgit-blob-fe2deec114610507ba0c0133a4270b8d9502eeda%2Fscreen-shot-2019-10-18-at-17.15.36%20\(2\)%20\(2\)%20\(2\)%20\(2\)%20\(2\)%20\(2\)%20\(2\)%20\(2\)%20\(2\)%20\(2\)%20\(2\)%20\(1\)%20\(1\)%20\(1\)%20\(1\)%20\(1\)%20\(1\)%20\(1\)%20\(1\)%20\(1\)%20\(1\)%20\(1\)%20\(1\)%20\(1\)%20\(1\)%20\(2\)%20\(1\).png?alt=media) ![](https://4115997120-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-LoGejQeUQcw7lqnQ3WX%2Fuploads%2Fgit-blob-66becdc39468a7feb2cfbef12b2bd65ad8f34c35%2FReplace5.png?alt=media) ## 5b) Agregue una nueva configuración HTTP con Host Header (el FQDN público de su SCEPman) {% hint style="warning" %} A comienzos de junio, Microsoft introdujo un error en Azure Application Gateway que impide agregar un encabezado Host a solicitudes sin encabezado Host cuando se selecciona "Pick host name from backend target". Recomendamos "Pick host name from backend target" en una versión anterior de esta documentación, pero esto ya no funciona. Como solución alternativa, elija "Override with specific domain name" como se muestra a continuación e inserte el nombre de su SCEPman App Service, por ejemplo, *contoso-scepman.azurewebsites.net*. {% endhint %} ![](https://4115997120-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-LoGejQeUQcw7lqnQ3WX%2Fuploads%2Fgit-blob-9cfce9cc03543f0741deb930dda57ee46cfc487e%2Fscreen-shot-2019-10-18-at-17.16.21%20\(1\)%20\(1\)%20\(2\)%20\(4\)%20\(3\)%20\(1\).png?alt=media) ![](https://4115997120-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-LoGejQeUQcw7lqnQ3WX%2Fuploads%2Fgit-blob-2a9b2259c01bf0b04c56de7c104bb9b841448513%2FReplace5b2.png?alt=media) ## 6) Opcional: Agregue una regla de enrutamiento para HTTPS {% hint style="warning" %} Este paso requiere un certificado de servidor web HTTPS. {% endhint %} {% hint style="info" %} El uso de HTTP sin TLS no es una vulnerabilidad de seguridad; los recursos basados en PKI suelen publicarse a través de HTTP sin TLS, ya que el protocolo de enlace TLS puede requerir acceso a estos recursos. Usar TLS crearía un problema de huevo y gallina en el que el protocolo de enlace TLS requiere acceso a los recursos de PKI y el acceso a los recursos de PKI requiere un protocolo de enlace TLS. Por lo tanto, estos recursos de PKI, incluidos los protocolos SCEP y OCSP, emplean su propio cifrado y/o firmas donde es necesario. {% endhint %} ![](https://4115997120-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-LoGejQeUQcw7lqnQ3WX%2Fuploads%2Fgit-blob-61115b6a2a67ab4be644da31ceae6817dc9555a1%2FReplace61.png?alt=media) ![](https://4115997120-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-LoGejQeUQcw7lqnQ3WX%2Fuploads%2Fgit-blob-9535788b316a6ca84de9606e7c218a9a7d3078c0%2Fscreen-shot-2019-10-18-at-17.17.44%20\(2\)%20\(4\)%20\(3\).png?alt=media) ## 6b) Agregue una nueva configuración HTTPS con Host Header (el FQDN público de su SCEPman)
![](https://4115997120-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-LoGejQeUQcw7lqnQ3WX%2Fuploads%2Fgit-blob-92a1c1e3bb6cabf50ff4385faa0262b62ba48f80%2FReplace62.png?alt=media) ## 7) Confirme las reglas de enrutamiento ![](https://4115997120-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-LoGejQeUQcw7lqnQ3WX%2Fuploads%2Fgit-blob-f71ff2eac67cf28c1e5a8dd4357932609821eff6%2Fscreen-shot-2019-10-18-at-17.18.56%20\(2\)%20\(2\)%20\(2\)%20\(2\)%20\(2\)%20\(2\)%20\(1\).png?alt=media) ## 8) Finalice la configuración de Application Gateway ![](https://4115997120-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-LoGejQeUQcw7lqnQ3WX%2Fuploads%2Fgit-blob-5fedc198773af98b0271c069470a71093d850b33%2Fscreen-shot-2019-10-18-at-17.19.13%20\(2\)%20\(4\)%20\(3\)%20\(1\).png?alt=media) ## 9) Configure el nombre DNS para la IP Luego, agregue un nombre DNS para la puerta de enlace: 1. Abra el recurso de dirección IP 2. Agregue un nombre de su elección como etiqueta de nombre DNS ![](https://4115997120-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-LoGejQeUQcw7lqnQ3WX%2Fuploads%2Fgit-blob-baaec006f5aac20c38fb1ed18a464e4849845770%2Fip-address.png?alt=media) Opcional: Puede agregar un registro CNAME para el nombre DNS en su propio servidor DNS. {% hint style="info" %} En el escenario georredudante, aún puede usar la URL de dominio personalizado de SCEPman (que apunta al traffic manager) y la URL de Application Gateway en Cisco ISE como un respondedor OCSP. {% endhint %} {% hint style="info" %} La URL del respondedor OCSP sería: `http:///ocsp` **Nota:** La URL del respondedor OCSP debe ser HTTP, no HTTPS, vea [aquí](https://docs.scepman.com/es/security-faq#id-21.-can-https-only-be-enabled) {% endhint %} ## Configuración de Intune/JAMF Todavía puede usar la URL del App Service en lugar de la de Azure Application Gateway en la configuración de Intune. Si hace esto, los clientes se comunican directamente con el App Service. Debe configurar la URL de Azure Application Gateway en Cisco ISE, ya que solo esta URL admite solicitudes HTTP 1.0.