Switches 3Com 7900 – Configurando acesso HTTPS com Servidor CA (Windows Server 2003)

Publicado originalmente em 25 de novembro de 2010
O post de hoje foi encaminhado pelo Douglas Jefferson com um “How to” para configuração de acesso HTTPS no Switch 3Com 7900 utilizando um Servidor CA com o Windows Server 2003.

Aproveitem as dicas….

Durante a instalação do CA verifique se o Windows será um MemberServer ou se estará fora do Domínio. No exemplo listado nesse tutorial, o Servidor estará fora do domínio, pois nos passos a frente na instalação da CA(Certificate Authority) há diferenças em qual CA criar(Enterprise, StandAlone , SubAuthority Root CA) e quais grupos devem ter permissões.

OBS.: Certifique-se de instalar na sequencia do tutorial. Se porventura for instalado primeiro a CA e em seguinda IIS você terá que saber colocar os códigos da aplicação da CA no diretório “Home Directory” do IIS, normalmente em “%windir%\inetpub\wwwroot”.

Instalar Componente do Windows como Web Server Microsoft IIS (NNF)

Certificar de que o CD/ISO de instalação está disponível, porque será solicitado.
Clique em “Iniciar >Painel de Controle>Instalar e Remover Programas”, do lado esquerdo, terceira opção, de cima para baixo “Componentes do Windows”, assinale somente a opção do IIS (Internet Information Service) e clique em Detalhes, para certificar de que todas as opções estão assinaladas.
Verificar se o serviço está escutando a porta 80 padrão.
Testar pelo CMD com “netstat” e Web Browser local “http://IP_do_IIS/”.

Instalar Componente do Windows como CA (NNF)

Repita Passo 2B mas no lugar de IIS assinale “Certificate Authority” e para este Windows 2003 Server Standard Edition fora do domínio (não Member Server) somente aparecerá “StandAlone Root CA” (NNF), com usuário Administrador local.

Fontes:
http://www.petri.co.il/install_windows_server_2003_ca.htm
http://technet.microsoft.com/en-us/library/cc875810.aspx

Verificar se o serviço está em pleno funcionamento, averiguando se há possibilidade de gerar certificados via interfaceWeb. Link: http://192.168.100.40/certsrv/

Se esse link mostrar a interface Web da administração da CA, OK!

Se NÃO verificar instalação, passos anteriores.

O Windows 2003 Servers não tem suporte ao protocolo SCEP por padrão (Simple Certificate Enrollment Protocol, created by Cisco System), assim precisamos instala-lo (NNF).

http://www.microsoft.com/downloads/en/details.aspx?familyid=9f306763-d036-41d8-8860-1636411b2d01&displaylang=en

OBS.: Será solicitado informações sobre a RA (switch 3Com 7900) no final da instalação do programa, como Hostname, Cidade, Estado , Tipo de Cifra e Certificado. Se a CA estiver instalada, o que aparecer Negritado é o que ele reconheceu como padrão da CA em uso, se tiver dúvidas mantenha o que ele identificou.

Após instala-lo estará disponível a interface via Web para solicitações de certificados, assim nos possibilitando configurar os equipamentos da rede.

Interface Enrollment para equipamentos de rede Link: http://192.168.100.40/certsrv/mscep/mscep.dll

Na instalação do programa que foi baixado no site da Microsoft (protocolo SCEP) a CA cria 2 certificados para a entidade RA (switch), então vamos verificar se está tudo OK. Navegue em “Iniciar > Painel de Controle > Ferramentas Administrativas > Certificate Authority” Expandir em “Certificate Authority > CA > Issued Certificates”, verificar se existem 2 certificados devidamente criados, se “OK” siga em frete. Se “NÃO” verifique passos anteriores.
Ainda dentro da seção “Certificate Authority“, clique com o botão direto na “CA > Properties” Em seguida na aba “Policy Module > Properties“, novamente, e selecione a opção “Follow de settings in the certificate template, if………” Será solicitado que você reinicie o serviço da CA (Apply/OK), faça-o.
Agora vá em “Iniciar–>Painel de Controle–>Ferramentas Administrativas–>IIS” Expandir em “Server(Local)–>Web Sites–>Default Web Site”, verifique se os serviços “Certsrv“,”CertControl” e “CertEnroll” estão disponíveis. Se quiser trocar o caminho padrão sinta-se avontade (clique com o botão direito do mouse em “Default Web Site–>Home Directory–>LocalPath“).

Configurando o Switch

Configurando o equipamento da rede (switch 3Com 7900 CORE, ou qualquer que suporte PKI/SSL) para solicitações de certificados a CA.

pki entity AAA
common-name SW_CORE
quit
#
pki domain CLIENTEX
ca identifier SERVIDOR
#
certificate request url http://192.168.100.4/certsrv/mscep/mscep.dll
certificate request from ra
certificate request entity AAA
crl url http://192.168.100.4/CertEnroll/IMC.crl
quit
#
pki retrieval-certificate ca domain CLIENTEX

(Y/N):y
#
pki retrieval-crl domain CLIENTEX
#

OBS.: Para saber a senha do desafio (Challenge Password), abra seu navegador com o link http://IP_do_IIS/certsrv/mscep/ , será solicitado um usuário e senha para autenticação, esse usuário é o que instalou o programa que da suporte ao protocolo SCEP (no meu caso Administrator), após autenticado você será redirecionado para a tela que conterá o “Ca Certificate ThumbPrint” e “Challenge Password“(port 60 minutos)

!Faz a requisição do certificado e o armazena.
#
pki request-certificate domain CLIENTEX Challenge_Password
#
pki request-certificate domain CLIENTEX 7F4C5A740C78B06D

!Lista o certificado importado.
#
display pki certificate local domain CLIENTEX

!Cria o dominio SSL com as especificações dessa seção. CLIENTEX-SSL
#
ssl server-policy CLIENTEX-SSL
pki-domain CLIENTEX
client-verify enable
quit
#
!Vincula o domínio SSL ao servidor HTTPS
#
ip https ssl-server-policy CLIENTEX-SSL

!Habilita o Servidor HTTPS
#
ip https enable

!Restringe o acesso às Redes contidas na ACL de número 2000
#
ip https acl 2000

Feito todos os passos acima com sucesso, precisaremos solicitar um certificado para o navegador da máquina que vamos utilizar para acessar a interface Web do Switch CORE, seguindo os passos abaixo:

Abra o navegador e digite o seguinte link http://192.168.100.40/certsrv/