note: deploy CA/PKI with fully working DNS…

Biasanya klo awal2 implementasi Cisco ISE kita akan menemukan bahwa komputer kita ga percaya dengan Certificate yang diberikan oleh ISE this certificate is not trusted” klo di Firefox, analoginya kek gini: “klo gw mau buka account rekening di bank (anggeplah PC kita) tentu gw harus punya semacam kartu identitas (certificate), trus kartu identitas apa yang diakui oleh bank?? Tentunya oleh pemerintah (trusted CA)…ga mungkin kartu surat keterangan menikah lu pake buat buka rekening hahahaha… nah, berarti kita harus daftar (request CA) ke institusi yang di trusted oleh bank (yaitu pemerintah-trusted CA) untuk dibikinin KTP (valid and trusted certificate), Sedangkan untuk bikin KTP berarti harus ada data2 identitas yang harus diisi sebelum KTP itu dibuat (self-certificate), data2 identitas inilah yang kita kasi ke institusi pembuat sertifikat resmi, setelah data2 identitas ini disetujui (approved request by trusted-CA)…dibikinlah KTP Baru dah lu dengan identitas resmi lu (binding self-certificate with trusted-CA-certficate) diterima oleh bank” Begitulah cara ISE (dan semua device2 yang menggunakan PKI) bekerja Step2nya:

  1. Create PKI Server
  2. Download Certificate from PKI Server and Install it into ISE
  3. Bind ISE Certificate with CA from PKI Server
  4. Download Certificate from PKI Server and Install it into internet browser biar masuk dalam list trusted server (ga lucu kan klo gw mau bikin rekening bank pake KTP trus ditolak gara2 pembuat KTP-nya ga dikenal oleh bank wkwkwk, yang buat PEMERINTAH ENEEEH!!!)

Requirement:

========================================= Unduh Sertifikat from PKI Server (unduh?!? Wkwkw download aja kali bahasanya…) Masuk ke internet browser, ketik http://ip-nya-pki-server/certsrv (klo ga bisa diakses link-nya berarti lu belum bikin role Certificate Authority di Server), klik “download a CA certificate… Lu boleh langsung install this CA certificate klo mau langsung di install di web browser, atau mau download (gw prefer yang download), nanti hasilnya kek dibawah ini: File yang udah di download di klik 2x. Sebelum itu CA diinstall, kita bisa liat certificate information-nya…valid dari tgl brp sampe tgl brp, trus klik deh install certificate Ada beberapa folder untuk certificate, taro aja di Trusted Root Certification Authorities Klo uda silahkan di cek di web browser option (IE: Internet Option -> Content -> Certificates, Firefox: Options -> Advance tab -> Certificates -> View Certificates) Ada tuh…PKI Server bernama “CA” ============================================ (Optional) Connecting End User using Certificates Karena kita pake certificate…ada baiknya kita setting dot1x authentication di PC pake “verify the server’s identity by validating the certificate Hasilnya seperti dibawah (Authentication Failed because PC doesn’t recognize ISE certificate) So what do we do to make PC recognize ISE, the answer is in below chapter =============================================== Enroll ISE to PKI Server Masuk ke Administration -> System -> Certificates Trus klik Certificate Operations -> Certificate Store -> klik Import Masukin certificate file yang udah kita download, centang/check option “trust for client authentication or Scure Syslog services” dan klik submit ========================================= Binding ISE Certificate with CA Masuk ke Certificate Operations -> Local Certificate -> klik add -> Generate Certificate Signing Request Masukin data2 sertifikatnya (PKI server gw namanya CN=ise.domain.com, liatnya pas lo bikin CA/PKI Server pertama kali…ada informasi ini), key length dan Hashing nya, klik submit Nah, nanti di Certificate Operations -> Certificate Signing Request…ada sertifikat bernama “ise.domain.com” yang ready untuk di upload ke PKI Server untuk di “bikinin” versi “resmi”-nya Caranya?? Ya klik Export Nah, download dah itu file isedomaincom.pem Setelah itu kita akan masuk ke PKI Server kembali untuk upload itu file isedomaincom.pem Masuk ke http://ip-nya-pki-server/certsrv kembali, trus klik Request a certificate Klik advanced certificate request Copy paste informasi isedomaincom.pem kedalam text box yang disediakan oleh kolom Saved Requestl, trus klik Submit Lah, informasi-nya isedomaincom.pem-nya dapet darimana?? Oh iya… Masuk ke folder tempat lo download file isedomaincom.pem, trus klik kanan file-nya -> open with -> wordpad (gw pake notepad++…sama aja) Nah…lo blok semua kata2nya…paste ke kolom saved request yang tadi (ctrl+a trus ctrl+c aja) Setelah di submit, catet nomor Your Request Id-nya, gw nomor 8…nyok kita masuk ke PKI Server-nya Masuk ke Server Manager -> Roles -> Active Directory Certificate Services -> CA -> Pending Request, cari nomor kita Klik kanan -> all tasks -> pilih issue Masuk lagi ke alamat web tempat kita request certificate…pilih “View the status of a pending certificate… Klik “Saved-Request Certificate…” (klo lo belum issue ini pending request…tulisan saved-request ini ga ada) Download dengan option DER (Distinguished encoding Rules) Encoded trus klik download certificate (Ga usa pusing dengan apa itu DER…klo lo belajar lebih dalam tentang security terutama yang berkaitan dengan PKI Server dan X.509 baru dah lu oprek2) note: klo CA ga bisa issue gara2 di deny, mungkin lo harus liat microsoft link ini: https://technet.microsoft.com/en-us/library/dd441378(office.13).aspx Download…kasi nama yang beda (contohnya ise-certnew), sertifikat inilah yang akan dibinding ke ISE, jadi ISE akan ngomong ke PC kita dengan nama ISE yang terotorisasi PKI Server (ceritanya ISE punya KTP Resmi inih) Masuk ke Certificate Operations -> Certificate Store -> klik add Bind CA signed Certificate Masukin file yang uda kita download tadi ke ISE, jgn lupa di centang EAP dan HTTPS nya Nanti pas di submit, ada notice dari ISE klo servernya harus direstart..OK-in aja Wait a couple of minutes…then login back to ISE ==================== Verification Harusnya sih…klo gw mau ke GUI-nya ISE lewat web browser…ga ada tulisan certificate error lagi, yuk kita coba Weleh…masuk “certificate error”, pas dilihat…valid from 15 januari 2015….HAHAHAHA (gw posting ini tanggal 14 januari…so…kita tunggu besok dah) ….updated, masih error…kek-nya Certificate yang gw bikin di PKI Server-nya engga valid deh (salah domain) nih screenshotnya This Connection is untrustedthis certificate is only valid for ise.domain.com” yah…tapi klo lu bener domain dan setting CA di PKI server-nya…harusnya ga ada lagi tulisan “certificate error” nah…skrg kita tes show authen sess int fa0/2, success ga show authen sess int fa02 yup…success