المقدمة
يصف هذا المستند شهادات نظام لغة تمييز تأكيد الأمان (SAML) في Cisco Identity Services Engine (ISE). وهو يغطي الغرض من شهادات SAML، وكيفية إجراء التجديد، وأخيرا يجيب على الأسئلة المتداولة. وهو يغطي خدمة ISE من الإصدار 2.4 إلى 3.0، ومع ذلك، يجب أن يكون مماثلا لإصدارات برامج ISE 2.x و 3.x الأخرى أو مطابقا لها، ما لم يذكر خلاف ذلك.
المتطلبات الأساسية
المتطلبات
توصي Cisco بأن تكون لديك معرفة بالمواضيع التالية:
- Cisco ISE
- المصطلحات المستخدمة لوصف أنواع مختلفة من عمليات نشر المصادقة والتفويض والمحاسبة (AAA) ISE والمصادقة
- بروتوكول RADIUS وأساسيات AAA
- بروتوكول SAML
- شهادات SSL/TLS و x509
- أساسيات البنية الأساسية للمفتاح العام (PKI)
المكونات المستخدمة
تستند المعلومات الواردة في هذا المستند إلى محرك خدمات تعريف Cisco (ISE)، الإصدارات 2.4 - 3.0
تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك مباشرة، فتأكد من فهمك للتأثير المحتمل لأي أمر أو تكوين.
شهادات SSL في ISE
شهادة طبقة مآخذ التوصيل الآمنة (SSL) هي ملف رقمي يحدد فردا أو خادما أو أي كيان رقمي آخر، ويربط ذلك الكيان بمفتاح عام. يتم توقيع شهادة موقعة ذاتيا من قبل منشئها. يمكن أن تكون الشهادات موقعة ذاتيا أو موقعة رقميا من قبل هيئة شهادة خارجية (CA) - عادة خادم CA خاص بشركة ما، أو مورد CA معروف. تعتبر الشهادة الرقمية الموقعة على المرجع المصدق (CA) من معايير الصناعة وأكثر أمانا من الشهادة الموقعة ذاتيا.
يعتمد Cisco ISE على PKI من أجل توفير اتصال آمن مع كل من نقاط النهاية والمسؤولين، بين ISE والخوادم/الخدمات الأخرى، وبين عقد Cisco ISE في نشر متعدد الجنسيات. تعتمد PKI على الشهادات الرقمية X.509 لنقل المفاتيح العامة لتشفير الرسائل وفك تشفيرها والتحقق من أصالة الشهادات الأخرى التي تمثل المستخدمين والأجهزة. من خلال مدخل إدارة Cisco ISE، يمكنك إدارة شهادات X.509 هذه.
في ISE، شهادات النظام هي شهادات خادم تعرف عقدة Cisco ISE لتطبيقات أخرى (مثل نقاط النهاية والخوادم الأخرى، وما إلى ذلك). تحتوي كل عقدة Cisco ISE على شهادات نظام خاصة بها يتم تخزينها على العقدة مع المفاتيح الخاصة المقابلة. يمكن تعيين كل شهادة نظام إلى 'أدوار' تشير إلى الغرض من الشهادة كما هو موضح في الصورة.
شهادات نظام ISE 3.0
نطاق هذا المستند خاص فقط بشهادة SAML. للشهادات الأخرى في ISE، وأكثر من ذلك حول شهادات SSL في ISE بشكل عام، يرجى الرجوع إلى هذا المستند: شهادات TLS/SSL في ISE - Cisco
شهادة SAML في ISE
يتم تحديد شهادة SAML في ISE بالبحث عن شهادات النظام التي تحتوي على إدخال SAML تحت حقل USAGES. سيتم إستخدام هذه الشهادة للاتصال بموفري هوية SAML (IdP) مثل التحقق من تلقي استجابات SAML من معرف P الصحيح وتأمين الاتصال بمعرف P. ملاحظة لا يمكن إستخدام الشهادات المعينة لاستخدام SAML لأي خدمة أخرى مثل Admin ومصادقة EAP وما إلى ذلك.
لأول مرة يتم فيها تثبيت ISE، يأتي ISE مع شهادة خادم SAML موقعة ذاتيا تحتوي على هذه الخصائص:
حجم المفتاح: 2048
الصحة: سنة واحدة
إستخدام المفتاح: التوقيع الرقمي (توقيع)
إستخدام المفتاح الموسع: مصادقة خادم ويب TLS (1.3.6.1.5.5.7.3.1)
ملاحظة: يوصى بعدم إستخدام شهادة تحتوي على القيمة 2.5.29.37.0 لمعرف كائن "أي غرض" في سمة "إستخدام المفتاح الموسع". إذا كنت تستخدم شهادة تحتوي على قيمة 2.5.29.37.0 لمعرف كائن "أي غرض" في سمة "إستخدام المفتاح الموسع"، تعتبر الشهادة غير صالحة ويتم عرض رسالة الخطأ التالية: "source=local ; type=deadly ; message="شهادة غير مدعومة".
سوف يحتاج مسؤولو ISE إلى تجديد شهادة SAML ذاتية التوقيع هذه قبل انتهاء الصلاحية، حتى إذا لم يتم إستخدام ميزة SAML بشكل نشط.
تجديد شهادة SAML موقعة ذاتيا في ISE
من المشكلات الشائعة التي يواجهها المستخدمون هو انتهاء صلاحية شهادات SAML الخاصة بهم في نهاية المطاف، ويقوم ISE بتنبيههم بهذه الرسالة:
Alarm Name :
Certificate Expiration
Details :
Trust certificate 'Default self-signed server certificate' will expire in 60 days : Server=Kolkata-ISE-001
Description :
This certificate will expire soon. When it expires, ISE may fail when attempting to establish secure communications with clients. Inter-node communication may also be affected
Severity :
Warning
Suggested Actions :
Replace the certificate. For a trust certificate, contact the issuing Certificate Authority (CA). For a CA-signed local certificate, generate a CSR and have the CA create a new certificate. For a self-signed local certificate, use ISE to extend the expiration date. You can just delete the certificate if it is no longer used.
بالنسبة لشهادات الخادم ذاتية التوقيع، من الممكن تجديد الشهادة لمجرد تحديد فترة تجديد المربع ووضع من 5 إلى 10 سنوات كما هو موضح في الصورة.
في الواقع، يمكن ببساطة تجديد أي شهادة موقعة ذاتيا غير نشطة مستخدمة من قبل عقد نشر ISE لمدة 10 سنوات، وهذا يضمن عدم حصولك على أي إشعارات انتهاء صلاحية لشهادات الخدمات التي لا تستخدمها. تمثل مدة 10 سنوات الحد الأقصى المسموح به لمدة شهادات ISE ذاتية التوقيع، ويجب أن تكون كافية عادة. لا يؤدي تحديث أي شهادات نظام على ISE إلى إعادة تشغيل الخدمات طالما لم يتم تخصيصها لاستخدام "المسؤول".
القرار
بالنسبة لأي شهادة نظام ISE منتهية الصلاحية (موقعة ذاتيا و CA موقعة) غير مستخدمة، فلا بأس باستبدالها أو حذفها أو تجديدها، ويوصى بعدم ترك أي شهادات منتهية الصلاحية (نظام أو موثوق به) على ISE قبل إجراء ترقية ISE.
معلومات ذات صلة