Configurazione del portale di provisioning dei certificati ISE 2.0

Opzioni per il download

  • PDF     (1.3 MB)
    Visualizza con Adobe Reader su diversi dispositivi
  • ePub     (1.2 MB)
    Visualizza in diverse app su iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (934.6 KB)
    Visualizza su dispositivo Kindle o tramite app Kindle su più dispositivi
Aggiornato:23 aprile 2018
ID documento:200534

Linguaggio senza pregiudizi

La documentazione per questo prodotto è stata redatta cercando di utilizzare un linguaggio senza pregiudizi. Ai fini di questa documentazione, per linguaggio senza di pregiudizi si intende un linguaggio che non implica discriminazioni basate su età, disabilità, genere, identità razziale, identità etnica, orientamento sessuale, status socioeconomico e intersezionalità. Le eventuali eccezioni possono dipendere dal linguaggio codificato nelle interfacce utente del software del prodotto, dal linguaggio utilizzato nella documentazione RFP o dal linguaggio utilizzato in prodotti di terze parti a cui si fa riferimento. Scopri di più sul modo in cui Cisco utilizza il linguaggio inclusivo.

Informazioni su questa traduzione

Cisco ha tradotto questo documento utilizzando una combinazione di tecnologie automatiche e umane per offrire ai nostri utenti in tutto il mondo contenuti di supporto nella propria lingua. Si noti che anche la migliore traduzione automatica non sarà mai accurata come quella fornita da un traduttore professionista. Cisco Systems, Inc. non si assume alcuna responsabilità per l’accuratezza di queste traduzioni e consiglia di consultare sempre il documento originale in inglese (disponibile al link fornito).

    Introduzione

    In questo documento vengono descritte la configurazione e la funzionalità del portale di provisioning dei certificati di Identity Services Engine (ISE).

    Prerequisiti

    Requisiti

    Cisco raccomanda la conoscenza di base dei seguenti argomenti:

    • ISE
    • Server Certificati e Autorità di certificazione (CA).

    Componenti usati

    Le informazioni fornite in questo documento si basano sulle seguenti versioni software e hardware:

    • Identity Service Engine 2.0
    • PC con Windows 7

    Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.

    Premesse

    Il portale di provisioning dei certificati è una nuova funzionalità introdotta in ISE 2.0 che può essere utilizzata dai dispositivi terminali per registrare e scaricare certificati di identità dal server. e rilascia certificati ai dispositivi che non possono passare attraverso il flusso di caricamento.

    Ad esempio, i dispositivi come i terminali POS non possono essere sottoposti al flusso BYOD (Bring Your Own Device) e devono ricevere certificati manualmente.

    Il portale di provisioning dei certificati consente a un gruppo privilegiato di utenti di caricare una richiesta di certificato (CSR) per tali dispositivi; generare una coppia di chiavi e quindi scaricare il certificato.

    Con ISE, è possibile creare modelli di certificato modificati e gli utenti finali possono selezionare un modello di certificato adatto per scaricare un certificato. Per questi certificati, ISE opera come server CA (Certification Authority) e possiamo ottenere il certificato firmato dalla CA interna ISE.

    Il portale per il provisioning dei certificati ISE 2.0 supporta il download dei certificati nei seguenti formati:

    • formato PKCS12 (compresa la catena di certificati; un file per la catena di certificati e la chiave)
    • Formato PKCS12 (un file per certificato e chiave)
    • Certificato (catena inclusa) in formato PEM (Privacy Enhanced Electronic Mail), chiave in formato PEM PKCS8.
    • Certificato in formato PEM, chiave in formato PEM PKCS8:

    Limitazioni 

    Attualmente ISE supporta solo queste estensioni in un CSR per firmare un certificato.

    • AttributiDirectoryOggetto
    • NomeAlternativoSoggetto
    • utilizzoChiave
    • identificatoreChiaveOggetto
    • identitàcontrollo
    • sintassiChiaveEstesa
    • CERT_TEMPLATE_OID (OID personalizzato per specificare il modello utilizzato in genere nel flusso BYOD)

    Nota: La CA interna di ISE è progettata per supportare funzionalità che utilizzano certificati come BYOD, pertanto le funzionalità sono limitate. Cisco sconsiglia di usare ISE come CA aziendale.

    Configurazione

    Per utilizzare la funzionalità di provisioning dei certificati nella rete, è necessario abilitare il servizio CA interno ISE e configurare un portale per il provisioning dei certificati.

    Passaggio 1. Sulla GUI ISE, selezionare Amministrazione > Sistema > Certificati > Autorità di certificazione > CA interna e per abilitare le impostazioni della CA interna sul nodo ISE, fare clic su Abilita Autorità di certificazione.

    Passaggio 2. Creare i modelli di certificato in Amministrazione > Sistema > Certificati > Modelli di certificato > Aggiungi.

    Immettere i dettagli in base al requisito e fare clic su Invia, come mostrato in questa immagine.

    Nota: È possibile visualizzare l'elenco dei modelli di certificato creati in Amministrazione > Sistema > Certificati > Modelli di certificato, come illustrato in questa immagine.

    Passaggio 3. Per configurare il portale di provisioning dei certificati ISE, selezionare Amministrazione > Gestione portale dispositivi > Provisioning certificati > Crea, come mostrato nell'immagine:

    Passaggio 4. Nel nuovo portale certificati espandere le impostazioni del portale, come illustrato nell'immagine.

    porta HTTPS Porta che deve essere utilizzata dal portale di provisioning dei certificati per HTTPS.
    Interfacce consentite Le interfacce su cui ISE deve eseguire l'ascolto per questo portale.
    Tag gruppo di certificati Tag del certificato da utilizzare per il portale di provisioning dei certificati che indica il certificato di sistema da utilizzare per il portale.
    Metodo di autenticazione  Selezionare la sequenza di archiviazione delle identità che autentica l'accesso al portale. Per impostazione predefinita, certificate_request_sequence è in uso.
    Gruppi autorizzati È possibile controllare l'insieme di utenti che possono accedere al portale di provisioning dei certificati spostando nella tabella scelta un insieme specifico di gruppi AD e di utenti interni. Solo gli utenti che fanno parte del gruppo scelto hanno accesso al portale.
    Nome di dominio completo (FQDN) È inoltre possibile assegnare un FQDN specifico a questo portale. Gli utenti che accedono all'FQDN tramite http/https vengono reindirizzati a questo portale. L'FQDN deve essere univoco e non condiviso con altri portali.
    Timeout di inattività Il valore definisce il timeout di inattività per il portale.

    Nota: La configurazione dell'origine identità può essere verificata in Amministrazione > Gestione identità > Sequenza origine identità.

    Passaggio 5. Configurare le impostazioni della pagina di accesso.

    Passaggio 6. Configurare le impostazioni della pagina AUP.

    Passaggio 7. È anche possibile aggiungere il banner di accesso al post.

    Passaggio 8. In Impostazioni portale di provisioning dei certificati specificare i modelli di certificato consentiti.

    Passaggio 9. Scorrere fino all'inizio della pagina e fare clic su Salva per salvare le modifiche.

    Inoltre, il portale può essere ulteriormente personalizzato passando alla scheda di personalizzazione della pagina del portale, in cui è possibile modificare il testo AUP, il banner di accesso post e altri messaggi in base ai requisiti.

    Verifica

    Fare riferimento a questa sezione per verificare che la configurazione funzioni correttamente.

    Se ISE è configurato correttamente per il provisioning dei certificati, è possibile richiedere/scaricare un certificato dal portale di provisioning dei certificati ISE seguendo questi passaggi.

    Passaggio 1. Aprire il browser e passare all'FQDN del portale di provisioning dei certificati configurato in precedenza o all'URL del test di provisioning dei certificati. L'utente viene reindirizzato al portale, come mostrato nell'immagine seguente:

    Passaggio 2. Accedere con nome utente e password.

    Passaggio 3. Dopo aver completato l'autenticazione, accettare l'autenticazione automatica e viene visualizzata la pagina di provisioning del certificato.

    Passaggio 4. La pagina di provisioning dei certificati fornisce la funzionalità per scaricare i certificati in tre modi:

    • Certificato singolo (senza richiesta di firma del certificato)
    • Certificato singolo (con richiesta di firma del certificato)
    • Certificati in blocco

    Genera certificato singolo senza richiesta di firma certificato

    • Per generare un singolo certificato senza CSR, selezionare l'opzione Genera singolo certificato (senza richiesta di firma del certificato).

    • Inserire il nome comune (CN).

    Nota: Il CN specificato deve corrispondere al nome utente del richiedente. Il richiedente fa riferimento al nome utente utilizzato per accedere al portale. Solo gli utenti amministratori possono creare un certificato per un CN diverso.

    • Immettere l'indirizzo MAC del dispositivo per il quale viene generato il certificato.

    • Scegliere il modello di certificato appropriato.

    • Scegliere il formato desiderato per il download del certificato.

    • Immettere una password per il certificato e fare clic su Ggenerare.

    • Viene generato e scaricato un singolo certificato.

    Genera certificato singolo con richiesta di firma certificato

    • Per generare un singolo certificato senza CSR, selezionare l'opzione Genera singolo certificato (con richiesta di firma del certificato).

    • Copiare e incollare il contenuto CSR dal file del Blocco note in Dettagli richiesta firma certificato.

    • Immettere l'indirizzo MAC del dispositivo per il quale viene generato il certificato.

    • Scegliere il modello di certificato appropriato.

    • Scegliere il formato desiderato per il download del certificato.

    • Immettere una password per il certificato e fare clic su Genera.

    • Verrà generato e scaricato un singolo certificato.

    Genera certificati in blocco

    È possibile generare certificati collettivi per più indirizzi MAC se si caricano file CSV che contengono i campi CN e indirizzo MAC.

    Nota: Il CN specificato deve corrispondere al nome utente del richiedente. Il richiedente fa riferimento al nome utente utilizzato per accedere al portale. Solo gli utenti amministratori possono creare un certificato per un CN diverso.

    • Per generare un singolo certificato senza CSR, selezionare l'opzione Genera singolo certificato (con richiesta di firma del certificato).

    • Caricare il file CSV per la richiesta in blocco.

    • Scegliere il modello di certificato appropriato.
    • Scegliere il formato desiderato per il download del certificato.

    • Immettere una password per il certificato e fare clic su Genera.

    • Viene generato e scaricato un file zip di certificati in blocco.

    Risoluzione dei problemi

    Al momento non sono disponibili informazioni specifiche per la risoluzione dei problemi di questa configurazione.

    TAC Authored

    Contributo dei tecnici Cisco

    • Prachi Chauhan
      Cisco TAC Engineer
    • Shrikant Sundaresh
      Cisco TAC Engineer
    • Surendra Reddy
      Cisco TAC Engineer

    Questo documento ti è stato utile?

    FeedbackFeedback

    Contattaci

    Questo documento si applica a questi prodotti