شهادة ISE SAML

المقدمة

يصف هذا المستند شهادات نظام لغة تمييز تأكيد الأمان (SAML) في Cisco Identity Services Engine (ISE). وهو يغطي الغرض من شهادات SAML، وكيفية إجراء التجديد، وأخيرا يجيب على الأسئلة المتداولة. وهو يغطي خدمة ISE من الإصدار 2.4 إلى 3.0، ومع ذلك، يجب أن يكون مماثلا لإصدارات برامج ISE 2.x و 3.x الأخرى أو مطابقا لها، ما لم يذكر خلاف ذلك.

المتطلبات الأساسية

المتطلبات

توصي Cisco بأن تكون لديك معرفة بالمواضيع التالية:

1. Cisco ISE
2. المصطلحات المستخدمة لوصف أنواع مختلفة من عمليات نشر المصادقة والتفويض والمحاسبة (AAA) ISE والمصادقة
3. بروتوكول RADIUS وأساسيات AAA
4. بروتوكول SAML
5. شهادات SSL/TLS و x509
6. أساسيات البنية الأساسية للمفتاح العام (PKI)

المكونات المستخدمة

تستند المعلومات الواردة في هذا المستند إلى محرك خدمات تعريف Cisco (ISE)، الإصدارات 2.4 - 3.0

تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك مباشرة، فتأكد من فهمك للتأثير المحتمل لأي أمر أو تكوين.

شهادات SSL في ISE

شهادة طبقة مآخذ التوصيل الآمنة (SSL) هي ملف رقمي يحدد فردا أو خادما أو أي كيان رقمي آخر، ويربط ذلك الكيان بمفتاح عام. يتم توقيع شهادة موقعة ذاتيا من قبل منشئها. يمكن أن تكون الشهادات موقعة ذاتيا أو موقعة رقميا من قبل هيئة شهادة خارجية (CA) - عادة خادم CA خاص بشركة ما، أو مورد CA معروف. تعتبر الشهادة الرقمية الموقعة على المرجع المصدق (CA) من معايير الصناعة وأكثر أمانا من الشهادة الموقعة ذاتيا.

يعتمد Cisco ISE على PKI من أجل توفير اتصال آمن مع كل من نقاط النهاية والمسؤولين، بين ISE والخوادم/الخدمات الأخرى، وبين عقد Cisco ISE في نشر متعدد الجنسيات. تعتمد PKI على الشهادات الرقمية X.509 لنقل المفاتيح العامة لتشفير الرسائل وفك تشفيرها والتحقق من أصالة الشهادات الأخرى التي تمثل المستخدمين والأجهزة. من خلال مدخل إدارة Cisco ISE، يمكنك إدارة شهادات X.509 هذه.

في ISE، شهادات النظام هي شهادات خادم تعرف عقدة Cisco ISE لتطبيقات أخرى (مثل نقاط النهاية والخوادم الأخرى، وما إلى ذلك). تحتوي كل عقدة Cisco ISE على شهادات نظام خاصة بها يتم تخزينها على العقدة مع المفاتيح الخاصة المقابلة. يمكن تعيين كل شهادة نظام إلى 'أدوار' تشير إلى الغرض من الشهادة كما هو موضح في الصورة.

شهادات نظام ISE 3.0

نطاق هذا المستند خاص فقط بشهادة SAML. للشهادات الأخرى في ISE، وأكثر من ذلك حول شهادات SSL في ISE بشكل عام، يرجى الرجوع إلى هذا المستند: شهادات TLS/SSL في ISE - Cisco

شهادة SAML في ISE

يتم تحديد شهادة SAML في ISE بالبحث عن شهادات النظام التي تحتوي على إدخال SAML تحت حقل USAGES. سيتم إستخدام هذه الشهادة للاتصال بموفري هوية SAML (IdP) مثل التحقق من تلقي استجابات SAML من معرف P الصحيح وتأمين الاتصال بمعرف P. ملاحظة لا يمكن إستخدام الشهادات المعينة لاستخدام SAML لأي خدمة أخرى مثل Admin ومصادقة EAP وما إلى ذلك.

لأول مرة يتم فيها تثبيت ISE، يأتي ISE مع شهادة خادم SAML موقعة ذاتيا تحتوي على هذه الخصائص:

حجم المفتاح: 2048
الصحة: سنة واحدة
إستخدام المفتاح: التوقيع الرقمي (توقيع)
إستخدام المفتاح الموسع: مصادقة خادم ويب TLS (1.3.6.1.5.5.7.3.1)

Alarm Name :
Certificate Expiration

Details :
Trust certificate 'Default self-signed server certificate' will expire in 60 days : Server=Kolkata-ISE-001

Description :
This certificate will expire soon. When it expires, ISE may fail when attempting to establish secure communications with clients. Inter-node communication may also be affected

Severity :
Warning

Suggested Actions :
Replace the certificate. For a trust certificate, contact the issuing Certificate Authority (CA). For a CA-signed local certificate, generate a CSR and have the CA create a new certificate. For a self-signed local certificate, use ISE to extend the expiration date. You can just delete the certificate if it is no longer used.