Actualizar certificado de autenticación VPN SAML de acceso seguro (certificado de proveedor de servicios)

Introducción

Este documento describe los pasos necesarios para actualizar el certificado del proveedor de identidad (IdP) con el nuevo certificado del proveedor de servicios de acceso seguro.

Antecedentes

El certificado de lenguaje de marcado de aserción de seguridad de acceso seguro (SAML) de Cisco utilizado para la autenticación de red privada virtual (VPN) vencerá pronto y se puede actualizar en el IdP actual utilizado para autenticar usuarios de VPN en caso de que validen este certificado.

Puede encontrar más información al respecto en la sección Anuncios de acceso seguro.

Este documento cubre los pasos para confirmar si los IdPs configurados realizan la validación del certificado: Entra ID (Azure AD), PingIdentity, Cisco DUO, OKTA.

Prerequisites

Requirements

• Acceso al panel de Cisco Secure Access.
• Acceso a su panel de IdP.

Panel de Cisco Secure Access

Nota: Asegúrese de que después de hacer el siguiente paso que es activar el Nuevo Certificado de Acceso Seguro, si su IdP está haciendo esta Validación de Certificado, actualice su IdP con el nuevo Certificado; de lo contrario, la Autenticación VPN para Usuarios de Acceso Remoto puede fallar.  Si confirma que su IdP está haciendo esta Validación de Certificado, le recomendamos que active el nuevo certificado en Secure Access y lo cargue en su IdP durante el horario no laborable.

En el panel de acceso seguro, la única acción requerida es ir a Secure > Certificates > SAML Authentication > Service Provider certificates, en el certificado "New" haga clic en "Activate".

Una vez que haya hecho clic en Activar, podrá descargar el nuevo certificado de acceso seguro para importarlo en su IdP si está realizando la validación del certificado.

ID de Microsoft Entry (Microsoft Azure)

El Id. de entrada (Azure AD) no realiza la validación de certificados de forma predeterminada.

Si el ID de entrada de IdP tiene el valor "Certificado de verificación (opcional)" establecido en "Requerido = sí", haga clic en Editar y "Cargar certificado" para cargar el nuevo certificado VPN SAML de acceso seguro.

 

PingIdentity

PingIdentity no está realizando la validación de certificados de forma predeterminada.

Si en IdP Identity el valor Enforce Signed AuthnRequest está configurado en "Enabled ", haga clic en Edit y cargue el nuevo Certificado VPN SAML de Secure Access.

Cisco DUO

Cisco DUO realiza la validación de la solicitud de firma de forma predeterminada; sin embargo, no requiere que se realice ninguna acción en el propio DUO a menos que se habilite el cifrado de aserción.

para la firma de solicitud, el DUO puede descargar el nuevo certificado mediante el enlace de ID de entidad de metadatos proporcionado por el administrador.

Respuesta de firma y acción de aserción

Configuración de ID de entidad

No se requiere ninguna acción en este paso, el DUO puede extraer el nuevo certificado del enlace de ID de entidad: https://<entry-id>.vpn.sse.cisco.com/saml/sp/metadata/<profile_name>.

Cifrado de aserción

Si en el IdP de Cisco DUO el valor "Encriptación de aserción" tiene marcada la opción "Cifrar la aserción SAML", haga clic en "Elegir archivo" y cargue el nuevo certificado VPN SAML de acceso seguro.

OKTA

OKTA no está realizando la validación de certificados de forma predeterminada. No existe ninguna opción en General > Configuración SAML que diga "Certificado de firma".

Si en el IdP OKTA hay un valor bajo General > Configuración SAML, que dice "Cifrado de afirmación de certificado de firma" significa que OKTA está haciendo la Validación de Certificado. Haga clic en "Editar configuración SAML", haga clic en Certificado de firma y cargue el nuevo Certificado VPN SAML de acceso seguro.

Información Relacionada

• Centro de ayuda de Secure Access (Guía del usuario)
• Soporte Técnico y Documentación - Cisco Systems
• Página Comunidad de Secure Access
• Nuevo certificado de autenticación SAML de acceso seguro para VPN