Introducción
Este documento describe cómo instalar un certificado firmado por una autoridad de certificación (CA) de terceros en Cisco Identity Services Engine (ISE).
Prerequisites
Requirements
Cisco recomienda que tenga conocimientos de la infraestructura básica de clave pública.
Componentes Utilizados
La información de este documento se basa en Cisco Identity Services Engine (ISE) versión 3.0. La misma configuración se aplica a las versiones 2.X
La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si tiene una red en vivo, asegúrese de entender el posible impacto de cualquier comando.
Antecedentes
Este proceso es el mismo independientemente del rol de certificado final (autenticación EAP, portal, administrador y pxGrid).
Configurar
Paso 1. Generar solicitud de firma de certificado (CSR).
Para generar el CSR, navegue hasta Administration > Certificates > Certificate Signing Requests y haga clic en Generate Certificate Signing Requests (CSR).
- En la sección Uso, seleccione el rol que se utilizará en el menú desplegable. Si el certificado se utiliza para varias funciones, puede seleccionar Multiuso. Una vez generado el certificado, las funciones se pueden cambiar si es necesario.
- Seleccione el nodo para el que se puede generar el certificado.
- Rellene la información según sea necesario (Unidad organizativa, Organización, Ciudad, Estado y País).
Nota: En el campo Nombre común (CN), ISE rellena automáticamente el nombre de dominio completo (FQDN) del nodo.
Comodines:
- Si el objetivo es generar un certificado comodín, marque la casilla Allow Wildcard Certificates.
- Si el certificado se utiliza para las autenticaciones EAP, el símbolo * no debe estar en el campo Asunto CN, ya que los solicitantes de Windows rechazan el certificado del servidor.
- Incluso cuando se inhabilita Validate Server Identity en el solicitante, el intercambio de señales SSL puede fallar cuando * está en el campo CN.
- En su lugar, se puede utilizar un FQDN genérico en el campo CN y, a continuación, el FQDN
*.domain.com
se puede utilizar en el campo Nombre DNS de nombre alternativo del sujeto (SAN).
Nota: Algunas entidades emisoras de certificados (CA) pueden agregar automáticamente el carácter comodín (*) en el CN del certificado, incluso si no está presente en el CSR. En este escenario, se requiere una solicitud especial para evitar esta acción.
Ejemplo de CSR de certificado de servidor individual:
Ejemplo de CSR de comodín:
Nota: Cada dirección IP de nodo de implementación se puede agregar al campo SAN para evitar una advertencia de certificado cuando acceda al servidor a través de la dirección IP.
Una vez creado el CSR, ISE muestra una ventana emergente con la opción de exportarlo. Una vez exportado, este archivo se debe enviar a la CA para su firma.
Paso 2. Importe una Nueva Cadena de Certificados.
La autoridad de certificación devuelve el certificado de servidor firmado junto con la cadena de certificado completa (raíz/intermedia). Una vez recibidos, realice los pasos siguientes para importar los certificados a su servidor ISE:
- Para importar cualquier certificado raíz y (o) intermedio proporcionado por la CA, navegue hasta Administration > Certificates > Trusted Certificates.
- Haga clic en Importar y luego elija el certificado raíz y/o intermedio y elija las casillas de verificación relevantes según se aplican para enviar.
- Para importar el certificado del servidor, navegue hasta Administration > Certificates > Certificate Signing Requests.
- Seleccione el CSR creado anteriormente y haga clic en Bind Certificate.
- Seleccione la nueva ubicación del certificado e ISE lo vincula a la clave privada creada y almacenada en la base de datos.
Nota: Si se ha seleccionado el rol de administrador para este certificado, se reinician los servicios de servidor ISE específicos.
Precaución: Si el certificado importado es para el nodo de administración principal de la implementación y se selecciona el rol de administrador, los servicios de todos los nodos se reinician uno tras otro. Se espera esto y se recomienda un tiempo de inactividad para realizar esta actividad.
Verificación
Si se seleccionó el rol de administrador durante la importación del certificado, puede comprobar que el nuevo certificado está instalado cargando la página de administración en el explorador. El explorador debe confiar en el nuevo certificado de administrador siempre que la cadena se haya creado correctamente y si el explorador confía en la cadena de certificados.
Para una verificación adicional, seleccione el símbolo de bloqueo en el navegador y, bajo la ruta del certificado, verifique que la cadena completa esté presente y que la máquina confíe en ella. Este no es un indicador directo de que el servidor transmitió correctamente la cadena completa, sino un indicador del explorador capaz de confiar en el certificado del servidor basado en su almacén de confianza local.
Troubleshoot
El solicitante no confía en el certificado de servidor local de ISE durante una autenticación dot1x
Verifique que ISE esté pasando la cadena de certificados completa durante el proceso de protocolo de enlace SSL.
Cuando se utilizan métodos EAP que requieren un certificado de servidor (es decir, PEAP) y se selecciona Validar identidad del servidor, el solicitante valida la cadena de certificados utilizando los certificados que tiene en su almacén de confianza local como parte del proceso de autenticación. Como parte del proceso de protocolo de enlace SSL, ISE presenta su certificado y también cualquier certificado raíz o intermedio presente en su cadena. El solicitante no podrá validar la identidad del servidor si la cadena está incompleta. Para comprobar que la cadena de certificados se devuelve al cliente, puede realizar los siguientes pasos:
- Para tomar una captura de ISE (TCPDump) durante la autenticación, navegue hasta Operaciones > Herramientas de diagnóstico > Herramientas generales > Volcado TCP.
- Descargue/abra la captura y aplique el filtro ssl.handshake.certificates en Wireshark y encuentre un desafío de acceso.
- Una vez seleccionada, navegue hasta Expandir protocolo Radius > Pares de valor de atributo > EAP-Mensaje último segmento > Protocolo de autenticación extensible > Capa de sockets seguros > Certificado > Certificados.
Cadena de certificados en la captura.
Si la cadena está incompleta, navegue hasta ISE Administration > Certificates > Trusted Certificates y verifique que los certificados raíz y (o) intermedios estén presentes. Si la cadena de certificados se pasa correctamente, se debe comprobar que la cadena en sí es válida mediante el método descrito aquí.
Abra cada certificado (servidor, intermedio y raíz) y verifique la cadena de confianza haciendo coincidir el identificador de clave de sujeto (SKI) de cada certificado con el identificador de clave de autoridad (AKI) del siguiente certificado de la cadena.
Ejemplo de una cadena de certificados.
La cadena de certificados de ISE es correcta, pero el terminal rechaza el certificado de servidor de ISE durante la autenticación
Si ISE presenta su cadena de certificados completa durante el intercambio de señales SSL y el solicitante sigue rechazando la cadena de certificados; el siguiente paso es verificar que los certificados raíz y/o intermedios estén en el almacén de confianza local del cliente.
Para verificar esto desde un dispositivo Windows, navegue hasta mmc.exe File > Add-Remove Snap-in. En la columna Complementos disponibles, seleccione Certificados y haga clic en Agregar. Seleccione Mi cuenta de usuario o cuenta de computadora dependiendo del tipo de autenticación en uso (Usuario o Equipo) y luego haga clic en Aceptar.
En la vista de consola, seleccione Entidades emisoras de certificados raíz de confianza y Entidades emisoras de certificados intermedias para comprobar la presencia del certificado raíz e intermedio en el almacén de confianza local.
Una manera fácil de verificar que este es un problema de Verificación de identidad del servidor, desmarque Validar certificado de servidor bajo la configuración del perfil del solicitante y pruébelo nuevamente.
Información Relacionada