circle-info
Cet article a été traduit automatiquement. La traduction peut contenir des imprécisions.
Passer à la version originale en anglais.chevron-right
search

Authentification réseau basée sur les certificats

Nous recommandons d'utiliser notre RADIUS-en-tant-que-Service comme contrôleur d'accès réseau (NAC) pour réaliser une authentification WiFi, LAN ou VPN basée sur des certificats, car il permet une configuration en un clic. Les certificats SCEPman fonctionnent généralement avec tous les NAC qui prennent en charge l'authentification standard 802.1x basée sur des certificats.

Cet article décrit les caractéristiques remarquables de certains des NAC les plus courants.

hashtag
RADIUS-en-tant-que-Service

Veuillez vous référer au documentation RADIUS-en-tant-que-Servicearrow-up-right pour voir comment utiliser les certificats SCEPman dans RADIUS-en-tant-que-Service.

hashtag
Cisco ISE

circle-info

Ceci n'est plus nécessaire pour Cisco

  • ISE Release 3.3 Patch 5 ou ultérieur,

  • ISE Release 3.4 Patch 2 ou ultérieur

Cisco ISE ne prend généralement pas en charge HTTP 1.1 mais uniquement HTTP 1.0 pour les requêtes OCSP. Cela nécessite un proxy d'application supplémentaire devant SCEPman. Consultez notre article de dépannage pour ISE pour les détails.

Au moins certaines versions de Cisco ISE 3.x exigent qu'une extension Extended Key Usage contienne l'Extended Key Usage du répondeur OCSP afin d'accepter les réponses OCSP, même si cela ne serait pas requis par la RFC pour une CA. Les versions de SCEPman jusqu'à la 1.7 n'ajoutaient pas par défaut d'Extended Key Usage au certificat de la CA. La version 1.8 vous permet d'ajouter cette extension via un paramètre de configuration. Dans SCEPman 1.9, la valeur par défaut du paramètre de configuration ajoute déjà l'Extended Key Usage. Si vous disposez déjà d'un certificat d'autorité sans extension Extended Key Usage et que vous rencontrez des problèmes avec Cisco ISE 3.x, il peut être nécessaire de créer un nouveau certificat CA racine SCEPman avec l'extension Extended Key Usage.

hashtag
Aruba ClearPass

circle-info

Ceci est n'est plus requis pour ClearPass 6.9.6 ou ultérieur.

De façon analogue à Cisco ISE, Aruba ClearPass utilise HTTP 1.0 pour les requêtes OCSP et nécessite donc des étapes de configuration supplémentaires ajoutant un proxy d'application pour fonctionner avec SCEPman.

hashtag
Microsoft Network Policy Server (NPS)

NPS associe les certificats à des entités appareil ou utilisateur dans AD (pas AAD). Comme il n'existe pas de synchronisation d'appareils prête à l'emploi entre AAD et AD, il n'est généralement pas possible d'utiliser NPS avec des certificats d'appareil distribués via Intune avec SCEPman ou toute autre PKI. Les certificats utilisateur peuvent fonctionner pour les utilisateurs synchronisés entre AAD et AD. Les certificats doivent contenir les UPN des utilisateurs, que NPS utilise pour faire correspondre les objets utilisateur AD ayant le même UPN.

hashtag
Autres

Généralement, vous devez ajouter le certificat CA racine SCEPman en tant qu'autorité de confiance dans le NAC.

Possiblement, vous devrez ajouter manuellement l'URL OCSP de SCEPman. Vous pouvez trouver l'URL OCSP dans l'extension Authority Information Access (AIA) de n'importe quel certificat client.

Mis à jour

Ce contenu vous a-t-il été utile ?