証明書発行元(Certificate Issuer)
|
フレンドリ名(Friendly Name)
|
証明書のフレンドリ名を入力します。これはオプションのフィールドです。フレンドリ名を入力しない場合は、次の形式でデフォルト名が生成されます。
common-name#issuer#nnnnn
|
ステータス(Status)
|
ドロップダウンリストから [有効(Enabled)] または [無効(Disabled)] を選択します。証明書が無効になっている場合、Cisco ISE は信頼の確立に証明書を使用しません。
|
説明(Description)
|
(任意)説明を入力します。
|
使用方法(Usage)
|
ISE 内の認証用に信頼する(Trust for authentication within ISE)
|
この証明書で(他の Cisco ISE ノードまたは LDAP サーバーからの)サーバー証明書を確認する場合は、このチェックボックスをオンにします。
|
クライアント認証および syslog 用に信頼する(Trust for client authentication and Syslog)
|
([ISE 内の認証用に信頼する(Trust for authentication within ISE)] チェックボックスをオンにした場合に限り適用可能)この証明書を使用して次を行う場合は、このチェックボックスをオンにします。
|
シスコ サービスの認証用に信頼する(Trust for authentication of Cisco Services)
|
フィードサービスなどの外部シスコサービスを信頼するためにこの証明書を使用する場合は、このチェックボックスをオンにします。
|
証明書ステータスの検証(Certificate Status Validation)
|
Cisco ISE は、特定の CA が発行するクライアントまたはサーバー証明書の失効ステータスをチェックする 2 とおりの方法をサポートしています。1 つめの方法は、Online Certificate Status Protocol(OCSP)を使用して証明書を検証することです(OCSP
は、CA によって保持される OCSP サービスに要求を行います)。2 つめの方法は、Cisco ISE に CA からダウンロードした証明書失効リスト(CRL)と照合して証明書を検証することです。どちらの方法も、OCSP を最初に使用してステータスを判断できないときに限り
CRL を使用する場合に使用できます。
|
OCSP サービスに対して検証する(Validate Against OCSP Service)
|
OCSP サービスに対して証明書を検証するには、このチェックボックスをオンにします。このボックスをオンにするには、まず OCSP サービスを作成する必要があります。
|
OCSP が不明なステータスを返した場合は要求を拒否する(Reject the request if OCSP returns UNKNOWN status)
|
証明書ステータスが OCSP サービスによって判断されなかった場合に要求を拒否するには、このチェックボックスをオンにします。このチェックボックスをオンにした場合、OCSP サービスによって不明なステータス値が返されると、Cisco ISE は現在評価しているクライアントまたはサーバー証明書を拒否します。
|
OCSP応答側が到達不能な場合は要求を拒否する(Reject the request if OCSP Responder is unreachable)
|
OCSP 応答側が到達不能な場合に Cisco ISE が要求を拒否するには、このチェックボックスをオンにします。
|
CRL のダウンロード(Download CRL)
|
Cisco ISE で CRL をダウンロードするには、このチェックボックスをオンにします。
|
CRL 配信 URL(CRL Distribution URL)
|
CA から CRL をダウンロードするための URL を入力します。認証局証明書で指定されている場合、このフィールドは自動的に読み込まれます。URL は「http」、「https」、または「ldap」で始まる必要があります。
|
CRL の取得(Retrieve CRL)
|
CRL は、自動的または定期的にダウンロードできます。ダウンロードの時間間隔を設定します。
|
ダウンロードが失敗した場合は待機する(If download failed, wait)
|
Cisco ISE が CRL を再度ダウンロードするまでに Cisco ISE に必要な試行を待機する必要がある時間間隔を設定します。
|
CRL を受信しない場合 CRL 検証をバイパスする(Bypass CRL Verification if CRL is not Received)
|
このチェックボックスをオンにした場合、クライアント要求は CRL が受信される前に受け入れられます。このチェックボックスをオフにした場合、選択した CA によって署名された証明書を使用するすべてのクライアント要求は、Cisco ISE によって
CRL ファイルが受信されるまで拒否されます。
|
CRL がまだ有効でないか、または期限切れの場合は無視する(Ignore that CRL is not yet valid or expired)
|
Cisco ISE で開始日と期限日を無視し、まだアクティブでないかまたは期限切れの CRL を引き続き使用し、CRL の内容に基づいて EAP-TLS 認証を許可または拒否する場合は、このチェックボックスをオンにします。
Cisco ISE で [有効日(Effective Date)] フィールドの開始日と [次の更新(Next Update)] フィールドの期限日を CRL ファイルでチェックする場合は、このチェックボックスをオフにします。CRL がまだアクティブではないか、または期限切れの場合、その
CA によって署名された証明書を使用するすべての認証は拒否されます。
|