Instalar um certificado assinado por CA de terceiros no ISE

Opções de download

  • PDF     (1.2 MB)
    Ver no Adobe Reader em vários dispositivos
  • ePub     (1.1 MB)
    Ver em vários aplicativos no iPhone, iPad, Android, Sony Reader ou Windows Phone
  • Mobi (Kindle)     (766.4 KB)
    Ver no dispositivo Kindle ou no aplicativo Kindle em vários dispositivos
Atualizado:2 de novembro de 2023
ID do documento:200295

Linguagem imparcial

O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.

Sobre esta tradução

A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.

    Introdução

    Este documento descreve como instalar um certificado assinado por uma autoridade de certificação (CA) de terceiros no Cisco Identity Services Engine (ISE).

    Pré-requisitos

    Requisitos

    A Cisco recomenda que você tenha conhecimento da infraestrutura básica de chave pública.

    Componentes Utilizados

    As informações neste documento são baseadas no Cisco Identity Services Engine (ISE) Release 3.0. A mesma configuração se aplica às versões 2.X

    As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a rede estiver ativa, certifique-se de que você entenda o impacto potencial de qualquer comando.

    Informações de Apoio

    Esse processo é o mesmo, independentemente da função do certificado final (autenticação EAP, Portal, Admin e pxGrid).

    Configurar

    Etapa 1. Gerar CSR (Certificate Signing Request, Solicitação de assinatura de certificado).

    Para gerar o CSR, navegue para Administration > Certificates > Certificate Signing Requests e clique em Generate Certificate Signing Requests (CSR).

    Install a third-party CA certificate in ISE - Click Generate Certificate Signing Requests (CSR)

    1. Na seção Uso, selecione a função a ser usada no menu suspenso. Se o certificado for usado para várias funções, você poderá selecionar Multiuso. Depois que o certificado é gerado, as funções podem ser alteradas, se necessário.

    2. Selecione o nó para o qual o certificado pode ser gerado.

    3. Preencha as informações conforme necessário (Unidade organizacional, Organização, Cidade, Estado e País).

    Observação: no campo Nome comum (CN), o ISE preenche automaticamente o nó Nome de domínio totalmente qualificado (FQDN).

    Caracteres curinga:

    • Se o objetivo for gerar um certificado curinga, marque a caixa Permitir certificados curinga

    • Se o certificado for usado para autenticações EAP, o símbolo * não deverá estar no campo CN do assunto, pois os solicitantes do Windows rejeitam o certificado do servidor.

    • Mesmo quando Validate Server Identity está desabilitado no solicitante, o handshake SSL pode falhar quando o * está no campo CN. 

    • Em vez disso, um FQDN genérico pode ser usado no campo CN e, em seguida, o *.domain.com pode ser usado no campo Nome DNS da SAN (Nome alternativo do assunto).

    Observação: algumas Autoridades de Certificação (CA) podem adicionar o curinga (*) ao CN do certificado automaticamente, mesmo que ele não esteja presente no CSR. Neste cenário, uma solicitação especial deve ser feita para evitar essa ação.

    Exemplo de CSR de certificado de servidor individual:

    Install a third-party CA certificate in ISE - CSR example for individual server certificate

    Exemplo de CSR curinga:

    Install a third-party CA certificate in ISE - Wildcard CSR example

    Observação: cada endereço IP do(s) nó(s) de implantação pode ser adicionado ao campo SAN para evitar um aviso de certificado quando você acessa o servidor por meio do endereço IP.

    Depois que o CSR é criado, o ISE exibe uma janela pop-up com a opção de exportá-lo. Depois de exportado, esse arquivo deve ser enviado à autoridade de certificação para assinatura.

    Install a third-party CA certificate in ISE - Export option to download CSR

    Etapa 2. Importar uma Nova Cadeia de Certificados.

    A Autoridade de Certificação retorna o certificado de servidor assinado junto com a cadeia completa de certificados (Raiz/Intermediário). Depois de recebido, siga estas etapas para importar os certificados para o servidor ISE:

    1. Para importar qualquer certificado raiz e (ou) intermediário fornecido pela CA, navegue para Administração > Certificados > Certificados de Confiabilidade.

    2. Clique em Importar e escolha o certificado Raiz e/ou Intermediário e marque as caixas de seleção relevantes conforme foram aplicadas ao envio.
    3. Para importar o certificado do servidor, navegue para Administração > Certificados > Solicitações de assinatura de certificado.

    4. Selecione o CSR criado anteriormente e clique em Bind Certificate.

    5. Selecione o novo local do certificado e o ISE vinculará o certificado à chave privada criada e armazenada no banco de dados.

    Observação: se a função de administrador tiver sido selecionada para esse certificado, os serviços do servidor ISE específicos serão reiniciados.

    Cuidado: Se o certificado importado for para o Nó de Administração Primário da implantação e se a função Admin estiver selecionada, os serviços em todos os nós serão reiniciados um após o outro. Isso é esperado e um tempo de inatividade é recomendado para executar essa atividade.

    Verificar

    Se a função de administrador foi selecionada durante a importação do certificado, você pode verificar se o novo certificado está no lugar carregando a página de admin no navegador. O navegador deve confiar no novo certificado de administrador, desde que a cadeia tenha sido criada corretamente e a cadeia de certificados seja confiável para o navegador.

    Install a third-party CA certificate in ISE - Verify certification path

    Para verificação adicional, selecione o símbolo de bloqueio no navegador e, no caminho do certificado, verifique se a cadeia completa está presente e é confiável para a máquina. Este não é um indicador direto de que a cadeia completa foi passada corretamente pelo servidor, mas um indicador de que o navegador pode confiar no certificado do servidor com base em seu repositório de confiança local.

    Troubleshooting

    O requerente não confia no certificado de servidor local do ISE durante uma autenticação dot1x

    Verifique se o ISE está passando a cadeia completa de certificados durante o processo de handshake SSL.

    Ao usar métodos EAP que exigem um certificado de servidor (ou seja, PEAP) e Validar Identidade do Servidor estiver selecionado, o requerente valida a cadeia de certificados usando os certificados que tem em seu armazenamento confiável local como parte do processo de autenticação. Como parte do processo de handshake SSL, o ISE apresenta seu certificado e também todos os certificados raiz e (ou) intermediários presentes em sua cadeia. O solicitante não poderá validar a identidade do servidor se a cadeia estiver incompleta. Para verificar se a cadeia de certificados é passada de volta para o cliente, você pode executar as próximas etapas:

    1. Para obter uma captura do ISE (TCPDump) durante a autenticação, navegue para Operations > Diagnostic Tools > General Tools > TCP Dump.

    2. Baixe/abra a captura e aplique o filtro ssl.handshake.certificates no Wireshark e encontre um desafio de acesso.

    3. Depois de selecionado, navegue para Expandir Protocolo Radius > Pares de valores de atributo > Último segmento de mensagem EAP > Protocolo de autenticação extensível > Secure Sockets Layer > Certificado > Certificados.

     Cadeia de certificados na captura.

    Install a third-party CA certificate in ISE - Troubleshoot - Certificate chain in the capture

    Se a cadeia estiver incompleta, navegue para Administração do ISE > Certificados > Certificados de Confiabilidade e verifique se os certificados Raiz e (ou) Intermediário estão presentes. Se a cadeia de certificados for aprovada com êxito, a própria cadeia deve ser verificada como válida usando o método descrito aqui. 

    Abra cada certificado (servidor, intermediário e raiz) e verifique a cadeia de confiança fazendo a correspondência do identificador da chave do assunto (SKI) de cada certificado com o identificador da chave da autoridade (AKI) do próximo certificado na cadeia.

    Exemplo de uma cadeia de certificados. 

    Install a third-party CA certificate in ISE - Troubleshoot - Certificate chain example

    A Cadeia de Certificados ISE está Correta, mas o Ponto de Extremidade Rejeita o Certificado do Servidor ISE durante a Autenticação

    Se o ISE estiver apresentando sua cadeia completa de certificados durante o handshake SSL e o requerente ainda estiver rejeitando a cadeia de certificados; a próxima etapa é verificar se os certificados Raiz e/ou Intermediário estão no Local Trust Store do cliente.

    Para verificar isso a partir de um dispositivo do Windows, navegue para mmc.exe Arquivo > Add-Remove Snap-in. Na coluna Snap-ins disponíveis, selecione Certificados e clique em Adicionar. Selecione Minha conta de usuário ou conta do computador, dependendo do tipo de autenticação em uso (Usuário ou Computador) e clique em OK.

    Na exibição do console, selecione Autoridades de Certificação Raiz Confiáveis e Autoridades de Certificação Intermediárias para verificar a presença de Certificado Raiz e Intermediário no armazenamento confiável local.

    Install a third-party CA certificate in ISE - Troubleshoot - Verify Root and Intermediate certificates are present

    Uma maneira fácil de verificar se este é um problema de verificação de identidade do servidor, desmarque Validar certificado do servidor na configuração do perfil do solicitante e teste-o novamente.

    Install a third-party CA certificate in ISE - Troubleshoot - Uncheck Validate Server Certificate option

    Informações Relacionadas

    Histórico de revisões

    Revisão Data de publicação Comentários
    2.0
    02-Nov-2023
    Recertificação
    1.0
    23-Aug-2021
    Versão inicial
    TAC Authored

    Colaborado por engenheiros da Cisco

    • Antonio Torres
      Engenheiro do Cisco TAC
    • Abhishek Tomar
      Engenheiro do Cisco TAC

    Este documento lhe foi útil?

    FeedbackFeedback

    Contate a Cisco

    Este documento se refere a estes produtos