Installare un certificato di terze parti firmato dall'autorità di certificazione in ISE

Opzioni per il download

  • PDF     (1.2 MB)
    Visualizza con Adobe Reader su diversi dispositivi
  • ePub     (1.1 MB)
    Visualizza in diverse app su iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (769.9 KB)
    Visualizza su dispositivo Kindle o tramite app Kindle su più dispositivi
Aggiornato:2 novembre 2023
ID documento:200295

Linguaggio senza pregiudizi

La documentazione per questo prodotto è stata redatta cercando di utilizzare un linguaggio senza pregiudizi. Ai fini di questa documentazione, per linguaggio senza di pregiudizi si intende un linguaggio che non implica discriminazioni basate su età, disabilità, genere, identità razziale, identità etnica, orientamento sessuale, status socioeconomico e intersezionalità. Le eventuali eccezioni possono dipendere dal linguaggio codificato nelle interfacce utente del software del prodotto, dal linguaggio utilizzato nella documentazione RFP o dal linguaggio utilizzato in prodotti di terze parti a cui si fa riferimento. Scopri di più sul modo in cui Cisco utilizza il linguaggio inclusivo.

Informazioni su questa traduzione

Cisco ha tradotto questo documento utilizzando una combinazione di tecnologie automatiche e umane per offrire ai nostri utenti in tutto il mondo contenuti di supporto nella propria lingua. Si noti che anche la migliore traduzione automatica non sarà mai accurata come quella fornita da un traduttore professionista. Cisco Systems, Inc. non si assume alcuna responsabilità per l’accuratezza di queste traduzioni e consiglia di consultare sempre il documento originale in inglese (disponibile al link fornito).

    Introduzione

    In questo documento viene descritto come installare un certificato firmato da un'Autorità di certificazione (CA) di terze parti in Cisco Identity Services Engine (ISE).

    Prerequisiti

    Requisiti

    Cisco raccomanda la conoscenza delle infrastrutture a chiave pubblica di base.

    Componenti usati

    Il riferimento delle informazioni contenute in questo documento è Cisco Identity Services Engine (ISE) versione 3.0. La stessa configurazione si applica alle release 2.X

    Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.

    Premesse

    Questo processo è lo stesso indipendentemente dal ruolo del certificato finale (autenticazione EAP, portale, amministrazione e pxGrid).

    Configurazione

    Passaggio 1. Generare una richiesta di firma del certificato (CSR).

    Per generare CSR, selezionare Amministrazione > Certificati > Richieste di firma certificato, quindi fare clic su Genera richieste di firma certificato (CSR).

    Install a third-party CA certificate in ISE - Click Generate Certificate Signing Requests (CSR)

    1. Nella sezione Utilizzo selezionare il ruolo da utilizzare dal menu a discesa. Se il certificato viene utilizzato per più ruoli, è possibile selezionare Multiuso. Una volta generato il certificato, i ruoli possono essere modificati, se necessario.

    2. Selezionare il nodo per il quale è possibile generare il certificato.

    3. Compilare le informazioni necessarie (unità organizzativa, organizzazione, città, stato e paese).

    Nota: nel campo CN (Common Name), ISE compila automaticamente il nome di dominio completo (FQDN) del nodo.

    Caratteri jolly:

    • Se l'obiettivo è generare un certificato con caratteri jolly, selezionare la casella Consenti certificati con caratteri jolly

    • Se il certificato viene utilizzato per le autenticazioni EAP, il simbolo * non deve essere presente nel campo CN soggetto in quanto i supplicant Windows rifiutano il certificato server.

    • Anche quando la funzione Convalida identità server è disabilitata sul supplicant, l'handshake SSL può non riuscire quando * è nel campo CN. 

    • È invece possibile utilizzare un nome di dominio completo (FQDN) generico nel campo CN e quindi *.domain.com nel campo Nome DNS alternativo soggetto (SAN).

    Nota: alcune autorità di certificazione (CA) possono aggiungere automaticamente il carattere jolly (*) nel CN del certificato anche se non è presente nel CSR. In questo scenario, è necessario inviare una richiesta speciale per impedire questa azione.

    Esempio di CSR del certificato del server singolo:

    Install a third-party CA certificate in ISE - CSR example for individual server certificate

    Esempio di CSR con caratteri jolly:

    Install a third-party CA certificate in ISE - Wildcard CSR example

    Nota: è possibile aggiungere al campo SAN ogni indirizzo IP del nodo o dei nodi di distribuzione per evitare di ricevere un avviso di certificato quando si accede al server tramite l'indirizzo IP.

    Una volta creato il CSR, ISE visualizza una finestra pop-up con l'opzione di esportazione. Una volta esportato, il file deve essere inviato alla CA per la firma.

    Install a third-party CA certificate in ISE - Export option to download CSR

    Passaggio 2. Importa una nuova catena di certificati.

    L'autorità di certificazione restituisce il certificato del server firmato insieme alla catena di certificati completa (radice/intermedio). Una volta ricevuti, eseguire la procedura seguente per importare i certificati nel server ISE:

    1. Per importare i certificati radice e/o intermedi forniti dalla CA, selezionare Amministrazione > Certificati > Certificati protetti.

    2. Fare clic su Importa, quindi scegliere il certificato radice e/o intermedio e selezionare le caselle di controllo appropriate per l'invio.
    3. Per importare il certificato del server, selezionare Amministrazione > Certificati > Richieste di firma del certificato.

    4. Selezionare il CSR creato in precedenza e fare clic su Binding Certificate.

    5. Selezionare il percorso del nuovo certificato e ISE assocerà il certificato alla chiave privata creata e memorizzata nel database.

    Nota: se per questo certificato è stato selezionato il ruolo di amministratore, i servizi server ISE specifici verranno riavviati.

    Attenzione: se il certificato importato si riferisce al nodo di amministrazione principale della distribuzione e se è stato selezionato il ruolo Admin, i servizi su tutti i nodi verranno riavviati uno dopo l'altro. Questa operazione è prevista e per eseguirla si consiglia un tempo di inattività.

    Verifica

    Se il ruolo di amministratore è stato selezionato durante l'importazione del certificato, è possibile verificare che il nuovo certificato sia presente caricando la pagina di amministrazione nel browser. Il browser deve considerare attendibile il nuovo certificato di amministratore se la catena è stata creata correttamente e se è considerata attendibile dal browser.

    Install a third-party CA certificate in ISE - Verify certification path

    Per ulteriori verifiche, selezionare il simbolo del lucchetto nel browser e, sotto il percorso del certificato, verificare che l'intera catena sia presente e considerata attendibile dal computer. Questo non è un indicatore diretto che la catena completa sia stata passata correttamente dal server, ma un indicatore del browser in grado di considerare attendibile il certificato del server in base al relativo archivio attendibile locale.

    Risoluzione dei problemi

    Il richiedente non considera attendibile il certificato del server locale ISE durante un'autenticazione dot1x

    Verificare che ISE stia passando l'intera catena di certificati durante il processo di handshake SSL.

    Quando si utilizzano metodi EAP che richiedono un certificato server (PEAP) e si seleziona Convalida identità server, il richiedente convalida la catena di certificati utilizzando i certificati presenti nel proprio archivio attendibilità locale come parte del processo di autenticazione. Nell'ambito del processo di handshake SSL, ISE presenta il proprio certificato nonché qualsiasi certificato radice e/o intermedio presente nella propria catena. Il richiedente non sarà in grado di convalidare l'identità del server se la catena è incompleta. Per verificare che la catena di certificati venga restituita al client, è possibile eseguire la procedura seguente:

    1. Per acquisire un'immagine da ISE (TCP/IPump) durante l'autenticazione, selezionare Operazioni > Strumenti diagnostici > Strumenti generali > TCP Dump.

    2. Scaricare/aprire l'acquisizione e applicare il filtro ssl.handshake.certificates in Wireshark e trovare un access-challenge.

    3. Dopo aver selezionato questa opzione, selezionare Espandi protocollo Radius > Coppie valore attributo > Ultimo segmento messaggio EAP > Protocollo di autenticazione estensibile > SSL (Secure Sockets Layer) > Certificato > Certificati.

     Catena di certificati nell'acquisizione.

    Install a third-party CA certificate in ISE - Troubleshoot - Certificate chain in the capture

    Se la catena è incompleta, selezionare Amministrazione ISE > Certificati > Certificati attendibili e verificare che i certificati radice e/o intermedi siano presenti. Se la catena di certificati viene passata correttamente, è necessario verificarne la validità utilizzando il metodo descritto di seguito. 

    Aprire ogni certificato (server, intermedio e radice) e verificare la catena di attendibilità confrontando lo SKI (Subject Key Identifier) di ogni certificato con l'AKI (Authority Key Identifier) del certificato successivo nella catena.

    Esempio di catena di certificati. 

    Install a third-party CA certificate in ISE - Troubleshoot - Certificate chain example

    La catena di certificati ISE è corretta, ma l'endpoint rifiuta il certificato del server ISE durante l'autenticazione

    Se ISE presenta la catena di certificati completa durante l'handshake SSL e il supplicant rifiuta ancora la catena di certificati, il passaggio successivo consiste nel verificare che i certificati radice e/o intermedi si trovino nell'archivio di attendibilità locale del client.

    Per verificare questa condizione da un dispositivo Windows, passare a mmc.exe File > Aggiungi-Rimuovi snap-in. Dalla colonna Snap-in disponibili selezionare Certificati e fare clic su Aggiungi. Selezionare Account utente o account computer a seconda del tipo di autenticazione in uso (Utente o Computer) e quindi fare clic su OK.

    Nella visualizzazione della console selezionare Autorità di certificazione radice attendibili e Autorità di certificazione intermedie per verificare la presenza di certificati radice e intermedi nell'archivio attendibile locale.

    Install a third-party CA certificate in ISE - Troubleshoot - Verify Root and Intermediate certificates are present

    Per verificare in modo semplice se si tratta di un problema di controllo dell'identità del server, deselezionare Convalida certificato server nella configurazione del profilo del supplicant e testarlo di nuovo.

    Install a third-party CA certificate in ISE - Troubleshoot - Uncheck Validate Server Certificate option

    Informazioni correlate

    Cronologia delle revisioni

    Revisione Data di pubblicazione Commenti
    2.0
    02-Nov-2023
    Certificazione
    1.0
    23-Aug-2021
    Versione iniziale
    TAC Authored

    Contributo dei tecnici Cisco

    • Antonio Torres
      Cisco TAC Engineer
    • Abhishek Tomar
      Cisco TAC Engineer

    Questo documento ti è stato utile?

    FeedbackFeedback

    Contattaci

    Questo documento si applica a questi prodotti