In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.
Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.
Dieses Dokument beschreibt die Best Practices und proaktiven Verfahren zur Verlängerung von Zertifikaten auf der Cisco Identity Services Engine (ISE).
Cisco empfiehlt, dass Sie über Kenntnisse in folgenden Bereichen verfügen:
"Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die potenziellen Auswirkungen aller Befehle verstehen."
Hinweis: Dieses Dokument ist nicht als Diagnosehandbuch für Zertifikate vorgesehen.
Dieses Dokument beschreibt die Best Practices und proaktiven Verfahren zur Verlängerung von Zertifikaten auf der Cisco Identity Services Engine (ISE). Außerdem wird erläutert, wie Sie Alarme und Benachrichtigungen einrichten, um Administratoren vor drohenden Ereignissen wie dem Ablauf eines Zertifikats zu warnen.
Als ISE-Administrator werden Sie feststellen, dass ISE-Zertifikate ablaufen. Wenn Ihr ISE-Server über ein abgelaufenes Zertifikat verfügt, können schwerwiegende Probleme auftreten, wenn Sie das abgelaufene Zertifikat nicht durch ein neues, gültiges Zertifikat ersetzen.
Hinweis: Wenn das für das Extensible Authentication Protocol (EAP) verwendete Zertifikat abläuft, können alle Authentifizierungen fehlschlagen, da die Clients dem ISE-Zertifikat nicht mehr vertrauen. Wenn das ISE-Administratorzertifikat abläuft, ist das Risiko noch größer: Ein Administrator kann sich nicht mehr bei der ISE anmelden, und die verteilte Bereitstellung kann nicht mehr funktionieren und sich nicht mehr replizieren.
Der ISE-Administrator muss ein neues, gültiges Zertifikat auf der ISE installieren, bevor das alte Zertifikat abläuft. Dieser proaktive Ansatz verhindert oder minimiert Ausfallzeiten und vermeidet Auswirkungen auf Ihre Endbenutzer. Sobald der Zeitraum für das neu installierte Zertifikat beginnt, können Sie EAP/Admin oder eine andere Rolle für das neue Zertifikat aktivieren.
Sie können die ISE so konfigurieren, dass sie Alarme generiert und den Administrator benachrichtigt, neue Zertifikate zu installieren, bevor die alten Zertifikate ablaufen.
Hinweis: In diesem Dokument wird das ISE-Administratorzertifikat als selbstsigniertes Zertifikat verwendet, um die Auswirkungen der Zertifikatverlängerung darzustellen. Für Produktionssysteme wird dieser Ansatz jedoch nicht empfohlen. Es ist besser, ein Zertifizierungsstellenzertifikat sowohl für die EAP- als auch für die Admin-Rolle zu verwenden.
Wenn die ISE installiert wird, generiert sie ein selbstsigniertes Zertifikat. Das selbstsignierte Zertifikat wird für den administrativen Zugriff und die Kommunikation innerhalb der verteilten Bereitstellung (HTTPS) sowie für die Benutzerauthentifizierung (EAP) verwendet. Verwenden Sie in einem Live-System ein CA-Zertifikat anstelle eines selbstsignierten Zertifikats.
Tipp: Weitere Informationen finden Sie im Abschnitt zur Zertifikatsverwaltung in Cisco ISE im Cisco Identity Services Engine Hardware Installation Guide, Release 3.0.
Das Format für ein ISE-Zertifikat muss Privacy Enhanced Mail (PEM) oder Distinguished Encoding Rules (DER) sein.
Um das erste selbstsignierte Zertifikat anzuzeigen, navigieren Sie in der ISE-GUI zu Administration > System> Certificates> System Certificates (Administration > System > Zertifikate > Systemzertifikate), wie in der Abbildung dargestellt.
Wenn Sie ein Serverzertifikat über eine Zertifikatsignierungsanfrage (CSR, Certificate Signing Request) auf der ISE installieren und das Zertifikat für das Admin- oder EAP-Protokoll ändern, ist das selbstsignierte Serverzertifikat weiterhin vorhanden, befindet sich jedoch im Status „Not in-use“ (Nicht verwendet).
Vorsicht: Bei Änderungen am Admin-Protokoll ist ein Neustart der ISE-Services erforderlich, was zu einigen Minuten Ausfallzeit führt. EAP-Protokolländerungen lösen keinen Neustart der ISE-Services aus und verursachen keine Ausfallzeiten.
Angenommen, das installierte Zertifikat läuft bald ab. Ist es besser, das Zertifikat ablaufen zu lassen, bevor Sie es verlängern, oder das Zertifikat vor Ablauf zu wechseln? Sie müssen das Zertifikat vor Ablauf ändern, damit Sie Zeit haben, den Austausch des Zertifikats zu planen und die durch den Austausch verursachten Ausfallzeiten zu bewältigen.
Wann müssen Sie das Zertifikat ändern? Rufen Sie ein neues Zertifikat mit einem Startdatum ab, das vor dem Ablaufdatum des alten Zertifikats liegt. Der Zeitraum zwischen diesen beiden Daten ist das Änderungszeitfenster.
Vorsicht: Wenn Sie Admin aktivieren, wird der Dienst auf dem ISE-Server neu gestartet, und es treten einige Minuten Ausfallzeit auf.
Die folgende Abbildung zeigt die Informationen für ein Zertifikat, das bald abläuft:
Dieses Verfahren beschreibt, wie das Zertifikat über eine CSR verlängert wird:
Sobald Sie das endgültige Zertifikat von Ihrer CA erhalten haben, müssen Sie es zur ISE hinzufügen:
Hinweis: Aktivieren Sie zu diesem Zeitpunkt nicht das EAP- oder Admin-Protokoll.
Hinweis: Wenn Sie selbstsignierte Zertifikate in einer verteilten Bereitstellung verwenden, muss das primäre selbstsignierte Zertifikat im vertrauenswürdigen Zertifikatspeicher des sekundären ISE-Servers installiert werden. Ebenso muss das sekundäre selbstsignierte Zertifikat im vertrauenswürdigen Zertifikatsspeicher des primären ISE-Servers installiert werden. Dadurch können sich die ISE-Server gegenseitig authentifizieren. Andernfalls kann die Bereitstellung unterbrochen werden. Wenn Sie Zertifikate von einer Drittanbieter-CA verlängern, überprüfen Sie, ob sich die Stammzertifikatskette geändert hat, und aktualisieren Sie den vertrauenswürdigen Zertifikatsspeicher in ISE entsprechend. Stellen Sie in beiden Szenarien sicher, dass die ISE-Knoten, Endpunktsteuerungssysteme und Supplicants die Stammzertifikatkette validieren können.
Die Cisco ISE benachrichtigt Sie, wenn das Ablaufdatum eines lokalen Zertifikats innerhalb von 90 Tagen liegt. Eine solche Vorabbenachrichtigung hilft Ihnen, abgelaufene Zertifikate zu vermeiden, die Zertifikatsänderung zu planen und Ausfallzeiten zu verhindern oder zu minimieren.
Die Benachrichtigung wird auf verschiedene Weise angezeigt:
Konfigurieren Sie die ISE für die E-Mail-Benachrichtigung bei Ablaufalarmen. Navigieren Sie in der ISE-Konsole zu Administration > System > Settings > SMTP Server (Administration > System > Einstellungen > SMTP-Server), identifizieren Sie den SMTP-Server (Simple Mail Transfer Protocol) und definieren Sie die anderen Servereinstellungen, sodass E-Mail-Benachrichtigungen für die Alarme gesendet werden:
Es gibt zwei Möglichkeiten, Benachrichtigungen einzurichten:
Hinweis: Deaktivieren Sie den Status für eine Kategorie, wenn Sie Alarme aus dieser Kategorie verhindern möchten.
Verwenden Sie diesen Abschnitt, um zu überprüfen, ob Ihre Konfiguration ordnungsgemäß funktioniert.
Überprüfen Sie, ob das Warnsystem ordnungsgemäß funktioniert. In diesem Beispiel generiert eine Konfigurationsänderung eine Warnung mit dem Schweregrad „Information“. (Ein Informationsalarm ist der niedrigste Schweregrad, während ein Zertifikatsablauf eine Warnung mit einem höheren Schweregrad generiert.)
Hier ein Beispiel für den E-Mail-Alarm, der von der ISE gesendet wird:
In diesem Verfahren wird beschrieben, wie Sie überprüfen, ob das Zertifikat richtig installiert ist, und wie Sie die EAP- und/oder Admin-Rollen ändern:
Vorsicht: Wenn Sie die Administratorverwendung aktivieren, startet der ISE-Dienst neu, was zu Serverausfällen führt.
CLI:> show application status ise
Wenn Sie das Zertifikat extern überprüfen möchten, können Sie die eingebetteten Microsoft Windows-Tools oder das OpenSSL-Toolkit verwenden.
OpenSSL ist eine Open-Source-Implementierung des SSL-Protokolls (Secure Sockets Layer). Wenn die Zertifikate Ihre eigene private CA verwenden, müssen Sie Ihr Root-CA-Zertifikat auf einem lokalen Computer ablegen und die OpenSSL-Option -CApath verwenden. Wenn Sie über eine Zwischenzertifizierungsstelle verfügen, müssen Sie diese ebenfalls im selben Verzeichnis ablegen.
Um allgemeine Informationen zum Zertifikat abzurufen und zu verifizieren, verwenden Sie:
openssl x509 -in certificate.pem -noout -text
openssl verify certificate.pem
Es kann auch nützlich sein, die Zertifikate mit dem OpenSSL-Toolkit zu konvertieren:
openssl x509 -in certificate.der -inform DER -outform PEM -out certificate.pem
Für diese Konfiguration sind derzeit keine spezifischen Diagnoseinformationen verfügbar.
Da Sie ein neues Zertifikat auf der ISE installieren können, bevor es aktiv ist, empfiehlt Cisco, das neue Zertifikat zu installieren, bevor das alte Zertifikat abläuft. Dieser Überschneidungszeitraum zwischen dem Ablaufdatum des alten Zertifikats und dem Startdatum des neuen Zertifikats gibt Ihnen Zeit, Zertifikate zu verlängern und ihre Installation ohne oder mit nur geringen Ausfallzeiten zu planen. Sobald das neue Zertifikat seinen gültigen Datumsbereich erreicht hat, aktivieren Sie EAP und/oder Admin. Denken Sie daran: Wenn Sie die Admin-Nutzung aktivieren, wird der Service neu gestartet.
Überarbeitung | Veröffentlichungsdatum | Kommentare |
---|---|---|
3.0 |
07-Sep-2023 |
Rezertifizierung |
2.0 |
04-Aug-2022 |
Erstveröffentlichung |
1.0 |
16-Jun-2021 |
Erstveröffentlichung |