Einleitung
In diesem Dokument wird beschrieben, wie Sie ein von einer Zertifizierungsstelle eines Drittanbieters unterzeichnetes Zertifikat in der Cisco Identity Services Engine (ISE) installieren.
Voraussetzungen
Anforderungen
Cisco empfiehlt, dass Sie über Kenntnisse der grundlegenden Public Key-Infrastruktur verfügen.
Verwendete Komponenten
Die Informationen in diesem Dokument basieren auf Cisco Identity Services Engine (ISE) Version 3.0. Die gleiche Konfiguration gilt für Version 2.x
Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die möglichen Auswirkungen aller Befehle kennen.
Hintergrundinformationen
Dieser Prozess ist unabhängig von der endgültigen Zertifikatrolle (EAP-Authentifizierung, Portal, Admin und pxGrid) identisch.
Konfigurieren
Schritt 1: Erstellen einer Zertifikatsignierungsanforderung (CSR)
Um den CSR zu generieren, navigieren Sie zu Administration > Certificates > Certificate Signing Requests, und klicken Sie auf Generate Certificate Signing Requests (CSR).
- Wählen Sie im Abschnitt "Verwendung" aus dem Dropdown-Menü die zu verwendende Rolle aus. Wenn das Zertifikat für mehrere Rollen verwendet wird, können Sie Mehrfachverwendung auswählen. Sobald das Zertifikat generiert wurde, können die Rollen bei Bedarf geändert werden.
- Wählen Sie den Knoten aus, für den das Zertifikat generiert werden kann.
- Geben Sie die erforderlichen Informationen ein (Organisationseinheit, Organisation, Stadt, Bundesland und Land).
Anmerkung: Im Feld "Common Name (CN)" wird der vollqualifizierte Domänenname (Fully Qualified Domain Name, FQDN) des Knotens automatisch vom ISE ausgefüllt.
Platzhalter:
- Wenn Sie ein Platzhalterzertifikat generieren möchten, aktivieren Sie das Kontrollkästchen Platzhalterzertifikate zulassen.
- Wenn das Zertifikat für EAP-Authentifizierungen verwendet wird, darf das Symbol * nicht im Feld Betreff-CN enthalten sein, da Windows-Supplicants das Serverzertifikat ablehnen.
- Selbst wenn Serveridentität überprüfen auf dem Supplicant deaktiviert ist, kann der SSL-Handshake fehlschlagen, wenn sich das Feld * im CN-Feld befindet.
- Stattdessen kann im CN-Feld ein generischer FQDN verwendet werden. Anschließend kann der FQDN im DNS-Feld "Subject Alternative Name (SAN)" (Alternativer Name des Antragstellers) verwendet
*.domain.com
werden.
Anmerkung: Einige Zertifizierungsstellen (Certificate Authorities, CA) können den Platzhalter (*) automatisch in der CN des Zertifikats hinzufügen, selbst wenn er nicht im CSR vorhanden ist. In diesem Szenario ist eine spezielle Anforderung erforderlich, um diese Aktion zu verhindern.
Einzelnes Serverzertifikat CSR-Beispiel:
Beispiel für Platzhalter-CSR:
Anmerkung: Jede(r) Bereitstellungsknoten-IP-Adresse kann dem SAN-Feld hinzugefügt werden, um eine Zertifikatwarnung zu vermeiden, wenn Sie über die IP-Adresse auf den Server zugreifen.
Nachdem der CSR erstellt wurde, zeigt die ISE ein Popup-Fenster mit der Option zum Exportieren an. Nach dem Exportieren muss diese Datei zur Signierung an die Zertifizierungsstelle gesendet werden.
Schritt 2: Importieren einer neuen Zertifikatskette
Die Zertifizierungsstelle gibt das signierte Serverzertifikat zusammen mit der vollständigen Zertifikatkette (Root/Intermediate) zurück. Führen Sie nach Erhalt die folgenden Schritte aus, um die Zertifikate in Ihren ISE-Server zu importieren:
- Um von der Zertifizierungsstelle bereitgestellte Stamm- und (oder) Zwischenzertifikate zu importieren, navigieren Sie zu Administration > Certificates > Trusted Certificates.
- Klicken Sie auf Importieren, und wählen Sie dann das Stamm- und/oder Zwischenzertifikat aus, und aktivieren Sie die entsprechenden Kontrollkästchen, die zum Einreichen angewendet wurden.
- Um das Serverzertifikat zu importieren, navigieren Sie zu Administration > Certificates > Certificate Signing Requests.
- Wählen Sie den zuvor erstellten CSR aus, und klicken Sie auf Zertifikat binden.
- Wählen Sie den neuen Zertifikatspeicherort aus, und ISE bindet das Zertifikat an den privaten Schlüssel, der in der Datenbank erstellt und gespeichert wurde.
Anmerkung: Wenn die Admin-Rolle für dieses Zertifikat ausgewählt wurde, starten die jeweiligen ISE-Serverdienste neu.
Vorsicht: Wenn das importierte Zertifikat für den Primären Administrationsknoten der Bereitstellung bestimmt ist und die Administratorrolle ausgewählt ist, starten die Dienste auf allen Knoten nacheinander neu. Dies wird erwartet, und es wird eine Ausfallzeit empfohlen, um diese Aktivität durchzuführen.
Überprüfung
Wenn die Admin-Rolle während des Zertifikatimports ausgewählt wurde, können Sie überprüfen, ob das neue Zertifikat vorhanden ist, indem Sie die Admin-Seite in den Browser laden. Der Browser muss dem neuen Admin-Zertifikat vertrauen, solange die Kette korrekt erstellt wurde und die Zertifikatkette vom Browser als vertrauenswürdig eingestuft wird.
Für eine zusätzliche Verifizierung wählen Sie das Sperrsymbol im Browser und überprüfen Sie unter dem Zertifikatpfad, ob die gesamte Kette vorhanden und vom Computer vertrauenswürdig ist. Dies ist kein direkter Hinweis darauf, dass die gesamte Kette vom Server korrekt weitergeleitet wurde, sondern ein Hinweis darauf, dass der Browser dem Serverzertifikat auf der Grundlage seines lokalen Vertrauensspeichers vertrauen kann.
Fehlerbehebung
Der Lieferant vertraut dem lokalen ISE-Serverzertifikat während einer 802.1x-Authentifizierung nicht.
Vergewissern Sie sich, dass die ISE während des SSL-Handshake-Prozesses die gesamte Zertifikatkette durchläuft.
Wenn EAP-Methoden verwendet werden, die ein Serverzertifikat (d. h. PEAP) erfordern, und Serveridentität validieren ausgewählt ist, validiert der Supplicant die Zertifikatkette mithilfe der Zertifikate, die er im lokalen Vertrauensspeicher als Teil des Authentifizierungsprozesses hat. Im Rahmen des SSL-Handshake-Prozesses stellt die ISE ihr Zertifikat sowie alle Root- und (oder) Zwischenzertifikate in ihrer Kette vor. Wenn die Kette unvollständig ist, kann die Supplicant die Serveridentität nicht validieren. Um zu überprüfen, ob die Zertifikatskette an den Client zurückgegeben wird, können Sie die folgenden Schritte ausführen:
- Um während der Authentifizierung eine Aufzeichnung von ISE (TCPDump) zu erstellen, navigieren Sie zu Operations > Diagnostic Tools > General Tools > TCP Dump.
- Laden Sie die Erfassung herunter und wenden Sie den Filter ssl.handshake.Certificates in Wireshark an, um eine Access-Challenge zu finden.
- Navigieren Sie nach der Auswahl zu Erweitern Radius-Protokoll > Attributwertpaare > EAP-Nachricht Letztes Segment > Extensible Authentication Protocol > Secure Sockets Layer > Zertifikat > Zertifikate.
Zertifikatskette in der Erfassung.
Wenn die Kette unvollständig ist, navigieren Sie zu ISE Administration > Certificates > Trusted Certificates, und überprüfen Sie, ob die Root- und (oder) Intermediate-Zertifikate vorhanden sind. Wenn die Zertifikatskette erfolgreich bestanden wurde, muss die Kette selbst mithilfe der hier beschriebenen Methode als gültig überprüft werden.
Öffnen Sie jedes Zertifikat (Server, Intermediate und Root), und überprüfen Sie die Vertrauenskette, indem Sie die Subject Key Identifier (SKI) jedes Zertifikats mit der Authority Key Identifier (AKI) des nächsten Zertifikats in der Kette abgleichen.
Beispiel einer Zertifikatskette.
ISE-Zertifikatkette ist korrekt, aber Endpunkt lehnt ISE-Serverzertifikat während der Authentifizierung ab
Wenn die ISE während des SSL-Handshakes ihre vollständige Zertifikatkette präsentiert und der Supplicant die Zertifikatkette immer noch ablehnt; Der nächste Schritt besteht darin, zu überprüfen, ob sich die Stammzertifikate und/oder Zwischenzertifikate im lokalen Vertrauensspeicher des Clients befinden.
Um dies von einem Windows-Gerät aus zu überprüfen, navigieren Sie zu mmc.exe Datei > Snap-In hinzufügen-entfernen. Wählen Sie in der Spalte Verfügbare Snap-Ins die Option Zertifikate aus, und klicken Sie auf Hinzufügen. Wählen Sie entweder Mein Benutzerkonto oder Computerkonto je nach verwendetem Authentifizierungstyp (Benutzer oder Computer) aus, und klicken Sie dann auf OK.
Wählen Sie in der Konsolenansicht die Option Vertrauenswürdige Stammzertifizierungsstellen und Erweiterte Zertifizierungsstellen aus, um das Vorhandensein eines Stammzertifikats und eines erweiterten Zertifikats im lokalen Vertrauensspeicher zu überprüfen.
Um auf einfache Weise zu überprüfen, ob es sich um ein Problem mit der Serveridentitätsprüfung handelt, deaktivieren Sie unter der Konfiguration des Komponentenprofils die Option Serverzertifikat validieren, und testen Sie es erneut.
Zugehörige Informationen