Installieren eines von einer Drittanbieter-Zertifizierungsstelle signierten Zertifikats in der ISE

Download-Optionen

  • PDF     (1.2 MB)
    Mit Adobe Reader auf verschiedenen Geräten anzeigen
  • ePub     (1.1 MB)
    In verschiedenen Apps auf iPhone, iPad, Android, Sony Reader oder Windows Phone anzeigen
  • Mobi (Kindle)     (772.3 KB)
    Auf einem Kindle-Gerät oder einer Kindle-App auf mehreren Geräten anzeigen
Aktualisiert:2. November 2023
Dokument-ID:200295

Inklusive Sprache

In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.

Informationen zu dieser Übersetzung

Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.

    Einleitung

    In diesem Dokument wird beschrieben, wie Sie ein von einer Zertifizierungsstelle eines Drittanbieters unterzeichnetes Zertifikat in der Cisco Identity Services Engine (ISE) installieren.

    Voraussetzungen

    Anforderungen

    Cisco empfiehlt, dass Sie über Kenntnisse der grundlegenden Public Key-Infrastruktur verfügen.

    Verwendete Komponenten

    Die Informationen in diesem Dokument basieren auf der Cisco Identity Services Engine (ISE) Version 3.0. Dieselbe Konfiguration gilt für Version 2.x.

    Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die möglichen Auswirkungen aller Befehle kennen.

    Hintergrundinformationen

    Dieser Prozess ist unabhängig von der endgültigen Zertifikatrolle (EAP-Authentifizierung, Portal, Admin und pxGrid) identisch.

    Konfigurieren

    Schritt 1: Erstellen einer Zertifikatsanforderung (Certificate Signing Request, CSR)

    Um den CSR zu generieren, navigieren Sie zu Administration > Certificates > Certificate Signing Requests, und klicken Sie auf Generate Certificate Signing Requests (CSR).

    Install a third-party CA certificate in ISE - Click Generate Certificate Signing Requests (CSR)

    1. Wählen Sie im Abschnitt "Verwendung" aus dem Dropdown-Menü die zu verwendende Rolle aus. Wenn das Zertifikat für mehrere Rollen verwendet wird, können Sie Mehrfachverwendung auswählen. Sobald das Zertifikat generiert wurde, können die Rollen bei Bedarf geändert werden.

    2. Wählen Sie den Knoten aus, für den das Zertifikat generiert werden kann.

    3. Geben Sie die erforderlichen Informationen ein (Organisationseinheit, Organisation, Stadt, Bundesland und Land).

    Hinweis: Im Feld "Common Name (CN)" wird der vollqualifizierte Domänenname (FQDN) des Knotens automatisch von der ISE ausgefüllt.

    Platzhalter:

    • Wenn Sie ein Platzhalterzertifikat generieren möchten, aktivieren Sie das Kontrollkästchen Platzhalterzertifikate zulassen

    • Wenn das Zertifikat für EAP-Authentifizierungen verwendet wird, darf das Symbol * nicht im Feld Betreff-CN enthalten sein, da Windows-Supplicants das Serverzertifikat ablehnen.

    • Selbst wenn Serveridentität überprüfen auf dem Supplicant deaktiviert ist, kann der SSL-Handshake fehlschlagen, wenn sich das Feld * im CN-Feld befindet. 

    • Stattdessen kann im CN-Feld ein generischer FQDN verwendet werden. Anschließend kann der FQDN im DNS-Feld "Subject Alternative Name (SAN)" (Alternativer Name des Antragstellers) verwendet *.domain.com werden.

    Hinweis: Einige Zertifizierungsstellen (Certificate Authorities, CA) können den Platzhalter (*) automatisch in der CN des Zertifikats hinzufügen, selbst wenn er nicht im CSR vorhanden ist. In diesem Szenario ist eine spezielle Anforderung erforderlich, um diese Aktion zu verhindern.

    Einzelnes Serverzertifikat CSR-Beispiel:

    Install a third-party CA certificate in ISE - CSR example for individual server certificate

    Beispiel für Platzhalter-CSR:

    Install a third-party CA certificate in ISE - Wildcard CSR example

    Hinweis: Die IP-Adresse jedes Bereitstellungsknotens kann dem SAN-Feld hinzugefügt werden, um eine Zertifikatwarnung zu vermeiden, wenn Sie über die IP-Adresse auf den Server zugreifen.

    Nachdem der CSR erstellt wurde, zeigt die ISE ein Popup-Fenster mit der Option zum Exportieren an. Nach dem Exportieren muss diese Datei zur Signierung an die Zertifizierungsstelle gesendet werden.

    Install a third-party CA certificate in ISE - Export option to download CSR

    Schritt 2: Importieren einer neuen Zertifikatskette

    Die Zertifizierungsstelle gibt das signierte Serverzertifikat zusammen mit der vollständigen Zertifikatkette (Root/Intermediate) zurück. Führen Sie nach Erhalt die folgenden Schritte aus, um die Zertifikate in Ihren ISE-Server zu importieren:

    1. Um von der Zertifizierungsstelle bereitgestellte Stamm- und (oder) Zwischenzertifikate zu importieren, navigieren Sie zu Administration > Certificates > Trusted Certificates.

    2. Klicken Sie auf Importieren, und wählen Sie dann das Stamm- und/oder Zwischenzertifikat aus, und aktivieren Sie die entsprechenden Kontrollkästchen, die zum Einreichen angewendet wurden.
    3. Um das Serverzertifikat zu importieren, navigieren Sie zu Administration > Certificates > Certificate Signing Requests.

    4. Wählen Sie den zuvor erstellten CSR aus, und klicken Sie auf Zertifikat binden.

    5. Wählen Sie den neuen Zertifikatspeicherort aus, und ISE bindet das Zertifikat an den privaten Schlüssel, der in der Datenbank erstellt und gespeichert wurde.

    Hinweis: Wenn die Administratorrolle für dieses Zertifikat ausgewählt wurde, starten die jeweiligen ISE-Serverdienste neu.

    Achtung: Wenn das importierte Zertifikat für den primären Administrationsknoten der Bereitstellung bestimmt ist und die Administratorrolle ausgewählt ist, starten die Dienste auf allen Knoten nacheinander neu. Dies wird erwartet, und es wird eine Ausfallzeit empfohlen, um diese Aktivität durchzuführen.

    Überprüfung

    Wenn die Admin-Rolle während des Zertifikatimports ausgewählt wurde, können Sie überprüfen, ob das neue Zertifikat vorhanden ist, indem Sie die Admin-Seite in den Browser laden. Der Browser muss dem neuen Admin-Zertifikat vertrauen, solange die Kette korrekt erstellt wurde und die Zertifikatkette vom Browser als vertrauenswürdig eingestuft wird.

    Install a third-party CA certificate in ISE - Verify certification path

    Für eine zusätzliche Verifizierung wählen Sie das Sperrsymbol im Browser und überprüfen Sie unter dem Zertifikatpfad, ob die gesamte Kette vorhanden und vom Computer vertrauenswürdig ist. Dies ist kein direkter Hinweis darauf, dass die gesamte Kette vom Server korrekt weitergeleitet wurde, sondern ein Hinweis darauf, dass der Browser dem Serverzertifikat auf der Grundlage seines lokalen Vertrauensspeichers vertrauen kann.

    Fehlerbehebung

    Der Lieferant vertraut dem lokalen ISE-Serverzertifikat während einer 802.1x-Authentifizierung nicht.

    Vergewissern Sie sich, dass die ISE während des SSL-Handshake-Prozesses die gesamte Zertifikatkette durchläuft.

    Wenn EAP-Methoden verwendet werden, die ein Serverzertifikat (d. h. PEAP) erfordern, und Serveridentität validieren ausgewählt ist, validiert der Supplicant die Zertifikatkette mithilfe der Zertifikate, die er im lokalen Vertrauensspeicher als Teil des Authentifizierungsprozesses hat. Im Rahmen des SSL-Handshake-Prozesses stellt die ISE ihr Zertifikat sowie alle Root- und (oder) Zwischenzertifikate in ihrer Kette vor. Wenn die Kette unvollständig ist, kann die Supplicant die Serveridentität nicht validieren. Um zu überprüfen, ob die Zertifikatskette an den Client zurückgegeben wird, können Sie die folgenden Schritte ausführen:

    1. Um während der Authentifizierung eine Aufzeichnung von ISE (TCPDump) zu erstellen, navigieren Sie zu Operations > Diagnostic Tools > General Tools > TCP Dump.

    2. Laden Sie die Erfassung herunter und wenden Sie den Filter ssl.handshake.Certificates in Wireshark an, um eine Access-Challenge zu finden.

    3. Navigieren Sie nach der Auswahl zu Erweitern Radius-Protokoll > Attributwertpaare > EAP-Nachricht Letztes Segment > Extensible Authentication Protocol > Secure Sockets Layer > Zertifikat > Zertifikate.

     Zertifikatskette in der Erfassung.

    Install a third-party CA certificate in ISE - Troubleshoot - Certificate chain in the capture

    Wenn die Kette unvollständig ist, navigieren Sie zu ISE Administration > Certificates > Trusted Certificates, und überprüfen Sie, ob die Root- und (oder) Intermediate-Zertifikate vorhanden sind. Wenn die Zertifikatskette erfolgreich bestanden wurde, muss die Kette selbst mithilfe der hier beschriebenen Methode als gültig überprüft werden. 

    Öffnen Sie jedes Zertifikat (Server, Intermediate und Root), und überprüfen Sie die Vertrauenskette, indem Sie die Subject Key Identifier (SKI) jedes Zertifikats mit der Authority Key Identifier (AKI) des nächsten Zertifikats in der Kette abgleichen.

    Beispiel einer Zertifikatskette. 

    Install a third-party CA certificate in ISE - Troubleshoot - Certificate chain example

    ISE-Zertifikatkette ist korrekt, aber Endpunkt lehnt ISE-Serverzertifikat während der Authentifizierung ab

    Wenn die ISE während des SSL-Handshakes ihre vollständige Zertifikatkette präsentiert und der Supplicant die Zertifikatkette immer noch ablehnt, besteht der nächste Schritt darin, zu überprüfen, ob die Root- und/oder Intermediate-Zertifikate im lokalen Vertrauensspeicher des Clients vorhanden sind.

    Um dies von einem Windows-Gerät aus zu überprüfen, navigieren Sie zu mmc.exe Datei > Snap-In hinzufügen-entfernen. Wählen Sie in der Spalte Verfügbare Snap-Ins die Option Zertifikate aus, und klicken Sie auf Hinzufügen. Wählen Sie entweder Mein Benutzerkonto oder Computerkonto je nach verwendetem Authentifizierungstyp (Benutzer oder Computer) aus, und klicken Sie dann auf OK.

    Wählen Sie in der Konsolenansicht die Option Vertrauenswürdige Stammzertifizierungsstellen und Erweiterte Zertifizierungsstellen aus, um das Vorhandensein eines Stammzertifikats und eines erweiterten Zertifikats im lokalen Vertrauensspeicher zu überprüfen.

    Install a third-party CA certificate in ISE - Troubleshoot - Verify Root and Intermediate certificates are present

    Um auf einfache Weise zu überprüfen, ob es sich um ein Problem mit der Serveridentitätsprüfung handelt, deaktivieren Sie unter der Konfiguration des Komponentenprofils die Option Serverzertifikat validieren, und testen Sie es erneut.

    Install a third-party CA certificate in ISE - Troubleshoot - Uncheck Validate Server Certificate option

    Zugehörige Informationen

    Revisionsverlauf

    Überarbeitung Veröffentlichungsdatum Kommentare
    2.0
    02-Nov-2023
    Rezertifizierung
    1.0
    23-Aug-2021
    Erstveröffentlichung
    TAC Authored

    Beiträge von Cisco Ingenieuren

    • Antonio Torres
      Cisco TAC Engineer
    • Abhishek Tomar
      Cisco TAC Engineer

    War dieses Dokument hilfreich?

    FeedbackFeedback

    Cisco kontaktieren

    Dieses Dokument gilt für folgende Produkte.