Cisco ISE ホストヘッダーの制限

Cisco ISE と Aruba ClearPass（ただし以下を含む ClearPass 6.9.5 まで）は、OCSP を照会する際に HTTP 1.1 をサポートしておらず、OCSP 要求に Host ヘッダーを送信しません。 ClearPass 6.9.5これはバックエンドで使用されていると思われる OpenSSL 1.0.2 までは OCSP 要求に Host ヘッダーを送るために追加パラメータが必要だったためと思われ、 OCSP 要求に Host ヘッダーを送信するために追加のパラメータが必要でした一方、2016年8月にリリースされた OpenSSL 1.1.0 はそれを自動的に行います。そのため、Azure App Services 上で動作する一般的な SCEPman インスタンスに接続できません。エラーメッセージは次のように見えることがあります：

Cisco は将来の改善を調査中ですが、当面の間は Host ヘッダーを必要としない SCEPman のインスタンスを提供するために Azure Application Gateway を使用できます。

以下の手順は SCEPman 用の Azure Application Gateway を作成するために必要な手順の概要です：

1) 新しい Application Gateway を作成する

2) 必要な基本情報を入力する

3) 新しい静的パブリック IP アドレスを作成する

4) 新しいバックエンドプールを作成し、SCEPman App Service を指すようにする

5) HTTP 用のルーティングルールを追加する

5b) Host Header（あなたの SCEPman 公開 FQDN）を含む新しい HTTP 設定を追加する

6) 任意：HTTPS のルーティングルールを追加する

6b) Host Header（あなたの SCEPman 公開 FQDN）を含む新しい HTTPS 設定を追加する

7) ルーティングルールを確認する

8) Application Gateway の構成を確定する

9) IP の DNS 名を構成する

次に、Gateway の DNS 名を追加します：

1. IP アドレス リソースを開く

2. DNS 名ラベルとして任意の名前を追加する

任意：自分の DNS サーバーにその DNS 名の CNAME エントリを追加できます。

Intune/JAMF 構成

Intune の構成では Azure Application Gateway の代わりに App Service の URL を使用することもできます。この場合、クライアントは App Service と直接通信します。Cisco ISE には Azure Application Gateway の URL を構成する必要があります。なぜならこの URL のみが HTTP 1.0 リクエストをサポートするためです。