Introduzione
In questo documento viene descritto come installare un certificato firmato da un'Autorità di certificazione (CA) di terze parti in Cisco Identity Services Engine (ISE).
Prerequisiti
Requisiti
Cisco raccomanda la conoscenza delle infrastrutture a chiave pubblica di base.
Componenti usati
Le informazioni di questo documento si basano su Cisco Identity Services Engine (ISE) versione 3.0. La stessa configurazione si applica alle versioni 2.X
Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.
Premesse
Questo processo è lo stesso indipendentemente dal ruolo del certificato finale (autenticazione EAP, portale, amministrazione e pxGrid).
Configurazione
Passaggio 1. Generare una richiesta di firma del certificato (CSR).
Per generare CSR, selezionare Amministrazione > Certificati > Richieste di firma certificato, quindi fare clic su Genera richieste di firma certificato (CSR).
- Nella sezione Utilizzo selezionare il ruolo da utilizzare dal menu a discesa. Se il certificato viene utilizzato per più ruoli, è possibile selezionare Multiuso. Una volta generato il certificato, i ruoli possono essere modificati, se necessario.
- Selezionare il nodo per il quale è possibile generare il certificato.
- Compilare le informazioni necessarie (unità organizzativa, organizzazione, città, stato e paese).
Nota: Nel campo CN (Common Name), ISE compila automaticamente il nome di dominio completo (FQDN) del nodo.
Caratteri jolly:
- Se l'obiettivo è generare un certificato con caratteri jolly, selezionare la casella Consenti certificati con caratteri jolly.
- Se il certificato viene utilizzato per le autenticazioni EAP, il simbolo * non deve essere presente nel campo CN soggetto in quanto i supplicant Windows rifiutano il certificato server.
- Anche quando la funzione Convalida identità server è disabilitata sul supplicant, l'handshake SSL può non riuscire quando * è nel campo CN.
- È invece possibile utilizzare un nome di dominio completo (FQDN) generico nel campo CN e quindi
*.domain.com
nel campo Nome DNS alternativo soggetto (SAN).
Nota: Alcune Autorità di certificazione (CA) possono aggiungere automaticamente il carattere jolly (*) nel CN del certificato anche se non è presente nel CSR. In questo scenario, è necessario inviare una richiesta speciale per impedire questa azione.
Esempio di CSR del certificato del server singolo:
Esempio di CSR con caratteri jolly:
Nota: È possibile aggiungere al campo SAN ogni indirizzo IP del nodo o dei nodi di distribuzione per evitare che venga visualizzato un avviso di certificato quando si accede al server tramite l'indirizzo IP.
Una volta creato il CSR, ISE visualizza una finestra popup con l'opzione di esportazione. Una volta esportato, il file deve essere inviato all'autorità di certificazione per la firma.
Passaggio 2. Importare una nuova catena di certificati.
L'autorità di certificazione restituisce il certificato del server firmato insieme alla catena di certificati completa (radice/intermedio). Una volta ricevuti, eseguire la procedura seguente per importare i certificati nel server ISE:
- Per importare i certificati radice e/o intermedi forniti dalla CA, selezionare Amministrazione > Certificati > Certificati protetti.
- Fare clic su Importa, quindi scegliere il certificato radice e/o intermedio e selezionare le caselle di controllo appropriate per l'invio.
- Per importare il certificato del server, selezionare Amministrazione > Certificati > Richieste di firma del certificato.
- Selezionare il CSR creato in precedenza e fare clic su Binding Certificate.
- Selezionare il percorso del nuovo certificato e ISE assocerà il certificato alla chiave privata creata e memorizzata nel database.
Nota: Se per questo certificato è stato selezionato il ruolo di amministratore, i servizi server ISE specifici verranno riavviati.
Attenzione: Se il certificato importato è per il nodo di amministrazione principale della distribuzione e se è selezionato il ruolo Admin, i servizi su tutti i nodi verranno riavviati uno dopo l'altro. Questa operazione è prevista e per eseguirla si consiglia un tempo di inattività.
Verifica
Se il ruolo di amministratore è stato selezionato durante l'importazione del certificato, è possibile verificare che il nuovo certificato sia presente caricando la pagina di amministrazione nel browser. Il browser deve considerare attendibile il nuovo certificato di amministratore se la catena è stata creata correttamente e se è considerata attendibile dal browser.
Per ulteriori verifiche, selezionare il simbolo del lucchetto nel browser e, sotto il percorso del certificato, verificare che l'intera catena sia presente e considerata attendibile dal computer. Questo non è un indicatore diretto che la catena completa sia stata passata correttamente dal server, ma un indicatore del browser in grado di considerare attendibile il certificato del server in base al relativo archivio attendibile locale.
Risoluzione dei problemi
Il richiedente non considera attendibile il certificato del server locale ISE durante un'autenticazione dot1x
Verificare che ISE stia passando l'intera catena di certificati durante il processo di handshake SSL.
Quando si utilizzano metodi EAP che richiedono un certificato server (PEAP) e si seleziona Convalida identità server, il richiedente convalida la catena di certificati utilizzando i certificati presenti nel proprio archivio attendibilità locale come parte del processo di autenticazione. Nell'ambito del processo di handshake SSL, ISE presenta il proprio certificato nonché qualsiasi certificato radice e/o intermedio presente nella propria catena. Il richiedente non sarà in grado di convalidare l'identità del server se la catena è incompleta. Per verificare che la catena di certificati venga restituita al client, è possibile eseguire la procedura seguente:
- Per acquisire un'immagine da ISE (TCP/IPump) durante l'autenticazione, selezionare Operazioni > Strumenti diagnostici > Strumenti generali > TCP Dump.
- Scaricare/aprire l'acquisizione e applicare il filtro ssl.handshake.certificates in Wireshark e trovare un access-challenge.
- Dopo aver selezionato questa opzione, selezionare Espandi protocollo Radius > Coppie valore attributo > Ultimo segmento messaggio EAP > Protocollo di autenticazione estensibile > SSL (Secure Sockets Layer) > Certificato > Certificati.
Catena di certificati nell'acquisizione.
Se la catena è incompleta, selezionare Amministrazione ISE > Certificati > Certificati attendibili e verificare che i certificati radice e/o intermedi siano presenti. Se la catena di certificati viene passata correttamente, è necessario verificarne la validità utilizzando il metodo descritto di seguito.
Aprire ogni certificato (server, intermedio e radice) e verificare la catena di attendibilità confrontando lo SKI (Subject Key Identifier) di ogni certificato con l'AKI (Authority Key Identifier) del certificato successivo nella catena.
Esempio di catena di certificati.
La catena di certificati ISE è corretta, ma l'endpoint rifiuta il certificato del server ISE durante l'autenticazione
se ISE presenta la catena di certificati completa durante l'handshake SSL e il richiedente rifiuta ancora la catena di certificati; il passaggio successivo consiste nel verificare che i certificati radice e/o intermedi siano presenti nell'archivio attendibilità locale del client.
Per verificare questa condizione da un dispositivo Windows, passare a mmc.exe File > Aggiungi-Rimuovi snap-in. Dalla colonna Snap-in disponibili selezionare Certificati e fare clic su Aggiungi. Selezionare Account utente o account computer a seconda del tipo di autenticazione in uso (Utente o Computer) e quindi fare clic su OK.
Nella visualizzazione della console selezionare Autorità di certificazione radice attendibili e Autorità di certificazione intermedie per verificare la presenza di certificati radice e intermedi nell'archivio attendibile locale.
Per verificare in modo semplice se si tratta di un problema di controllo dell'identità del server, deselezionare Convalida certificato server nella configurazione del profilo del supplicant e testarlo di nuovo.
Informazioni correlate