ISEでの証明書更新の設定

はじめに

このドキュメントでは、Cisco Identity Services Engine（ISE）で証明書を更新するためのベストプラクティスとプロアクティブな手順について説明します。

前提条件

要件

次の項目に関する知識があることが推奨されます。

• X509 証明書
• Cisco ISE と証明書の設定

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づいています。

• Cisco ISE リリース 3.0.0.458
• アプライアンスまたは VMware

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな（デフォルト）設定で作業を開始しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。

背景説明

  注：このドキュメントは、証明書の診断ガイドではありません。

このドキュメントでは、Cisco Identity Services Engine（ISE）で証明書を更新するためのベストプラクティスとプロアクティブな手順について説明します。また、証明書の期限切れなどの差し迫ったイベントについて管理者に警告できるように、アラームと通知を設定する方法についても説明します。 ISE 管理者は、いずれは ISE 証明書が期限切れになる状況を経験します。ISEサーバの証明書が期限切れになると、期限切れの証明書を新しい有効な証明書で置き換えない限り、重大な問題が発生する可能性があります。

  注：拡張認証プロトコル(EAP)に使用される証明書の有効期限が切れると、クライアントがISE証明書を信頼しなくなるため、すべての認証が失敗する可能性があります。ISE管理証明書の有効期限が切れると、リスクはさらに大きくなります。管理者はISEにログインできなくなり、分散導入が機能しなくなり、複製が停止する可能性があります。

ISE管理者は、古い証明書が期限切れになる前に、新しい有効な証明書をISEにインストールする必要があります。このプロアクティブなアプローチにより、ダウンタイムを防止または最小限に抑え、エンドユーザーへの影響を回避できます。新しくインストールされた証明書の期間が始まると、新しい証明書でEAP/Adminまたはその他のロールを有効にできます。

古い証明書が期限切れになる前にアラームを発生させ、新しい証明書のインストールを管理者に通知するように ISE を設定できます。

  注：このドキュメントでは、証明書の更新の影響を示すために自己署名証明書としてISE管理証明書を使用しますが、この方法は実稼働システムには推奨されません。EAPおよび管理者ロールの両方にCA証明書を使用することをお勧めします。

設定

ISE 自己署名証明書の表示

ISE をインストールすると、自己署名証明書が生成されます。自己署名証明書は、管理アクセス、分散型展開内の通信（HTTPS）、およびユーザー認証（EAP）に使用されます。実稼働システムでは、自己署名証明書ではなく CA 証明書を使用してください。

  ヒント：詳細については、『Cisco Identity Services Engine Hardware Installation Guide, Release 3.0』の「Certificate Management in Cisco ISE」セクションを参照してください。

ISE 証明書の形式は、プライバシー強化メール（PEM）または Distinguished Encoding Rules（DER）にする必要があります。

最初の自己署名証明書を表示するには、図のように、ISE GUI で [Administration] > [System] > [Certificates] > [System Certificates] に移動します。

証明書署名要求（CSR）を介して ISE にサーバー証明書をインストールし、Admin または EAP プロトコルに関して証明書を変更しても、自己署名サーバー証明書は残りますが、未使用のステータスになります。

  注意：管理プロトコルを変更する場合は、ISEサービスを再起動する必要があります。再起動すると、数分間のダウンタイムが発生します。EAP プロトコルの変更は、ISE サービスの再起動がトリガーされず、ダウンタイムが発生しません。

証明書を変更する時期の特定

インストールされた証明書がもうすぐ期限切れになるとします。証明書が期限切れになってから更新するのと、証明書が期限切れになる前に変更するのとどちらが適切だと思いますか。証明書の切り替えを計画し、切り替えによるダウンタイムを管理する時間を確保するために、有効期限が切れる前に証明書を変更する必要があります。

証明書はいつ変更する必要がありますか。開始日が古い証明書の失効日より前である新しい証明書を取得します。この 2 つの日付の間の期間が移行期間です。

  注意：管理者を有効にすると、ISEサーバでサービスが再起動し、数分間のダウンタイムが発生します。

次の図は、間もなく期限切れになる証明書の情報を示しています。

証明書署名要求の生成

次の手順では、CSR を介して証明書を更新する方法を説明します。

1. ISEコンソールで、Administration > System > Certificates > Certificate Signing Requestsの順に移動し、Generate Certificate Signing Requestをクリックします。
   
   
2. [Certificate Subject] テキスト フィールドに入力する必要がある最小限の情報は CN=ISEfqdn です。ここで、ISEfqdn は ISE の完全修飾ドメイン名（FQDN）です。O（組織）、OU（組織単位）、C（国）などのフィールドをカンマで区切って [Certificate Subject] に追加します。
   
   
   
3. [Subject Alternative Name (SAN)] テキスト フィールド行の 1 つで、ISE FQDN を繰り返す必要があります。代行名またはワイルドカード証明書を使用する場合、2 つ目の SAN フィールドを追加できます。
   
   
4. Generateをクリックすると、ポップアップウィンドウにCSRフィールドが正しく入力されているかどうかが示されます。
   
   
   
   
5. CSR をエクスポートするために、左側のパネルで [Certificate Signing Requests] をクリックし、CSR を選択し、[Export] をクリックします。
   
   
6. CSRはコンピュータに保存されます。それを署名用に CA に送信します。

証明書のインストール

CA から最終的な証明書を受信したら、その証明書を ISE に追加する必要があります。

1. ISEコンソールで、Administration > System >Certificates>Certificate Signing Requestsの順に移動し、CRSのチェックボックスを選択してBind Certificateをクリックします。
   
   
   
   
2. [Friendly Name] テキストフィールドに証明書の簡単でわかりやすい説明を入力し、[Submit] をクリックします。
   
   

     注：この時点では、EAPまたはAdminプロトコルを有効にしないでください。

3. [System Certificate] の下に、次に示すように未使用の新しい証明書があります。
   
   
4. 古い証明書が期限切れになる前に新しい証明書がインストールされるため、日付範囲の指定が未来になっていることを報告するエラーが表示されます。
   
   
   
   
5. 続行するには [Yes] をクリックします。緑色で強調表示されているように、証明書はインストールされていますが、使用中ではありません。
   
   

  注：分散導入で自己署名証明書を使用する場合は、プライマリの自己署名証明書をセカンダリISEサーバの信頼できる証明書ストアにインストールする必要があります。同様に、セカンダリ自己署名証明書をプライマリ ISE サーバの信頼できる証明書ストアにインストールする必要があります。これにより、ISE サーバは相互に認証できます。  これがないと、導入が中断する可能性があります。サードパーティ CA から証明書を更新する場合は、ルート証明書チェーンが変更されているかどうかを確認し、それに応じて ISE 内の信頼できる証明書ストアを更新します。両方のシナリオで、ISEノード、エンドポイント制御システム、サプリカントがルート証明書チェーンを検証できることを確認します。

警告システムの設定

Cisco ISE はローカル証明書の失効日が 90 日以内に迫ったときに通知します。このような事前通知により、証明書の期限切れを回避して、証明書の更新を計画し、ダウンタイムを阻止または最小限に抑えることができます。

この通知はいくつかの方法で表示されます。

• 色づけされた有効期限のステータスのアイコンが、[Local Certificates] ページに表示されます。
  
  
• 期限切れメッセージが Cisco ISE システム診断レポートに表示されます。
  
  
• 期限切れアラームは、期限切れの 90 日前と 60 日前に生成されたあと、期限切れ前の 30 日間は毎日生成されます。

期限切れアラームの電子メール通知を行うように ISE を設定します。ISE コンソールで、[Administration] > [System] > [Settings] > [SMTP Server] に移動して、Simple Mail Transfer Protocol（SMTP）サーバを特定し、アラームの電子メール通知が送信されるようにその他のサーバ設定を定義します。

通知をセットアップするには、次の 2 つの方法があります。

1. 管理者に通知するには、管理者アクセスを使用します。
   
   
   1. [Administration] > [System] > [Admin Access] > [Administrators] > [Admin Users] に移動します。
      
      
   2. アラーム通知を受信する必要のある管理者ユーザの [Include system alarms in emails] チェックボックスをオンにします。アラーム通知の送信者の電子メール アドレスは ise@hostname としてハードコードされています。
      
      
      
      
2. ユーザに通知するには、ISE アラーム設定を構成します。
   
   
   1. 下図に示す [Administration] > [System] > [Settings] > [Alarm Settings] > [Alarm Configuration] に移動します。
      
      
      
      

        注：カテゴリのアラームを回避するには、そのカテゴリのステータスを無効にします。

   2. Certificate Expirationを選択し、Alarm Notificationをクリックします。通知するユーザの電子メールアドレスを入力して、設定変更を保存します。変更がアクティブになるまでに最大で15分かかる場合があります。
      
      

確認

ここでは、設定が正常に機能しているかどうかを確認します。

警告システムの確認

警告システムが正しく機能していることを確認します。この例では、設定の変更によって、情報の重大度を含むアラートが生成されます（情報アラームが最も低い重大度ですが、証明書の期限切れはそれよりも高い重大度である警告を生成します）。

ISE から送信される電子メール アラームの例を以下に示します。

証明書変更の確認

この手順では、証明書が正しくインストールされていることを確認する方法、およびEAPや管理者の役割を変更する方法について説明します。

1. ISE コンソールで [Administration] > [Certificates] > [System Certificates] に移動し、新しい証明書を選択して、詳細情報を表示します。
   
   

     注意: Admin Usageを有効にすると、ISEサービスが再起動するため、サーバのダウンタイムが発生します。

   
   
   
   
   
2. ISE サーバ上の証明書ステータスを確認するために、次のコマンドを CLI に入力します。
   
   

   CLI:> show application status ise

3. すべてのサービスがアクティブになったら、管理者としてログインします。
   
   
4. 分散導入シナリオの場合は、Administration > System > Deploymentの順に選択します。ノードに緑色のアイコンがあることを確認します。アイコンの上にカーソルを置き、凡例に[接続済み]と表示されていることを確認します。
   
   
5. エンドユーザー認証が成功することを確認します。これを行うには、Operations > RADIUS > Livelogsの順に移動します。  特定の認証の試みを見つけ、それらの試みが正常に認証されたことを確認できます。

証明書の確認

証明書を外部からチェックする場合は、組み込みの Microsoft Windows ツールまたは OpenSSL ツールキットを使用します。

OpenSSL はセキュア ソケット レイヤ（SSL）プロトコルのオープン ソース実装です。証明書で独自のプライベート CA が使用されている場合は、ローカル マシンにルート CA 証明書を配置して、OpenSSL オプション -CApath を使用する必要があります。中間 CA が存在する場合は、それも同じディレクトリに配置する必要があります。

証明書に関する一般情報を取得してそれを検証するには、以下を使用します。

openssl x509 -in certificate.pem -noout -text
openssl verify certificate.pem

OpenSSLツールキットを使用して証明書を変換することも役立ちます。

openssl x509 -in certificate.der -inform DER -outform PEM -out certificate.pem

トラブルシュート

現在のところ、この設定に関する特定の診断情報はありません。

結論

アクティブになる前に新しい証明書を ISE にインストールできるため、古い証明書が期限切れになる前に新しい証明書をインストールすることをお勧めします。古い証明書の失効日と新しい証明書の開始日の間の重複期間が、証明書を更新してそれらのインストールを最小限のダウンタイムでまたはダウンタイムなしで計画するための時間になります。新しい証明書が有効な日付範囲に入ったら、EAP か Admin または両方を有効にします。Admin の使用を有効にすると、サービスが再起動されることに注意してください。