Cisco ISE ホストヘッダーの制限
Cisco ISE と Aruba ClearPass(ただし以下を含む ClearPass 6.9.5 まで)は、OCSP を照会する際に HTTP 1.1 をサポートしておらず、OCSP 要求に Host ヘッダーを送信しません。 ClearPass 6.9.5これはバックエンドで使用されていると思われる OpenSSL 1.0.2 までは OCSP 要求に Host ヘッダーを送るために追加パラメータが必要だったためと思われ、 OCSP 要求に Host ヘッダーを送信するために追加のパラメータが必要でした一方、2016年8月にリリースされた OpenSSL 1.1.0 はそれを自動的に行います。そのため、Azure App Services 上で動作する一般的な SCEPman インスタンスに接続できません。エラーメッセージは次のように見えることがあります:
Cisco は将来の改善を調査中ですが、当面の間は Host ヘッダーを必要としない SCEPman のインスタンスを提供するために Azure Application Gateway を使用できます。
以下の手順は SCEPman 用の Azure Application Gateway を作成するために必要な手順の概要です:
1) 新しい Application Gateway を作成する
2) 必要な基本情報を入力する
3) 新しい静的パブリック IP アドレスを作成する
4) 新しいバックエンドプールを作成し、SCEPman App Service を指すようにする
5) HTTP 用のルーティングルールを追加する
5b) Host Header(あなたの SCEPman 公開 FQDN)を含む新しい HTTP 設定を追加する
6月初め頃、Microsoft は「バックエンドターゲットからホスト名を取得(Pick host name from backend target)」が選択されている場合にホストヘッダーをホストヘッダーフリーのリクエストに追加できなくなるという Azure Application Gateway のバグを導入しました。本ドキュメントの以前のバージョンでは「バックエンドターゲットからホスト名を取得」を推奨していましたが、これはもはや機能しません。回避策として、下記のように「特定のドメイン名で上書き(Override with specific domain name)」を選択し、SCEPman App Service の名前を挿入してください。例: contoso-scepman.azurewebsites.net.
6) 任意:HTTPS のルーティングルールを追加する
このステップには HTTPS ウェブサーバー証明書が必要です。
6b) Host Header(あなたの SCEPman 公開 FQDN)を含む新しい HTTPS 設定を追加する
7) ルーティングルールを確認する
8) Application Gateway の構成を確定する
9) IP の DNS 名を構成する
次に、Gateway の DNS 名を追加します:
IP アドレス リソースを開く
DNS 名ラベルとして任意の名前を追加する
任意:自分の DNS サーバーにその DNS 名の CNAME エントリを追加できます。
Intune/JAMF 構成
Intune の構成では Azure Application Gateway の代わりに App Service の URL を使用することもできます。この場合、クライアントは App Service と直接通信します。Cisco ISE には Azure Application Gateway の URL を構成する必要があります。なぜならこの URL のみが HTTP 1.0 リクエストをサポートするためです。
最終更新
役に立ちましたか?