在ISE上配置證書續訂

下載選項

  • PDF     (1.2 MB)
    在多種裝置上使用 Adobe Reader 檢視
  • ePub     (872.7 KB)
    在 iPhone、iPad、Android、Sony Reader 或 Windows Phone 上的各種應用程式中檢視
  • Mobi (Kindle)     (641.8 KB)
    在 Kindle 裝置或多部裝置的 Kindle 應用程式上檢視
已更新: 2024 年 10 月 10 日
文件 ID:217191

無偏見用語

本產品的文件集力求使用無偏見用語。針對本文件集的目的,無偏見係定義為未根據年齡、身心障礙、性別、種族身分、民族身分、性別傾向、社會經濟地位及交織性表示歧視的用語。由於本產品軟體使用者介面中硬式編碼的語言、根據 RFP 文件使用的語言,或引用第三方產品的語言,因此本文件中可能會出現例外狀況。深入瞭解思科如何使用包容性用語。

關於此翻譯

思科已使用電腦和人工技術翻譯本文件,讓全世界的使用者能夠以自己的語言理解支援內容。請注意,即使是最佳機器翻譯,也不如專業譯者翻譯的內容準確。Cisco Systems, Inc. 對這些翻譯的準確度概不負責,並建議一律查看原始英文文件(提供連結)。

    簡介

    本文件說明更新 Cisco Identity Services Engine (ISE) 憑證的最佳作法和主動式程序。

    必要條件

    需求

    思科建議您瞭解以下主題:

    • X509 憑證
    • 使用憑證設定 Cisco ISE

    採用元件

    本文中的資訊係根據以下軟體和硬體版本:

    • Cisco ISE 版本 3.0.0.458
    • 設備或 VMware

    本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除(預設)的組態來啟動。如果您的網路運作中,請確保您瞭解任何指令可能造成的影響。

    背景資訊

      注意:本文檔並非旨在作為證書的診斷指南。

    本文件說明更新 Cisco Identity Services Engine (ISE) 憑證的最佳作法和主動式程序。它還審查如何設定警報和通知,以便管理員收到即將發生的事件(如證書過期)的警告。 身為 ISE 系統管理員,您終究會面臨 ISE 憑證到期的事實。如果您的ISE伺服器有過期證書,除非您用新的有效證書替換過期證書,否則可能會出現嚴重問題。

      注意:如果用於可擴展身份驗證協定(EAP)的證書過期,由於客戶端不再信任ISE證書,所有身份驗證都可能失敗。如果ISE管理員證書過期,風險甚至更大:管理員無法再登入到ISE,並且分散式部署可以停止運行和複製。

    ISE管理員必須在舊證書到期之前在ISE上安裝新的有效證書。此主動方法可防止或有效減少停機時間,以及避免對一般使用者造成影響。一旦新安裝的憑證開始使用期間,您就可以在新憑證上啟用EAP/Admin或任何其他角色。

    您可以設定 ISE,使其產生警示並通知系統管理員在舊憑證到期之前安裝新的憑證。

      注意:本文檔使用ISE管理員證書作為自簽名證書以演示證書續訂的影響,但建議不要在生產系統中使用此方法。最好為EAP和Admin角色都使用CA證書。

    設定

    檢視 ISE 自我簽署憑證

    安裝 ISE 後,此平台會產生自我簽署憑證。此自我簽署憑證可用來進行系統管理存取和分散式部署 (HTTPS) 的內部溝通,以及用來進行使用者驗證 (EAP)。在實際運作的系統中,請使用 CA 憑證而非自我簽署憑證。

      提示:請參閱思科身份服務引擎硬體安裝指南3.0版思科ISE中的證書管理部分,瞭解更多資訊。

    ISE 憑證的格式必須為隱私增強郵件 (PEM) 或辨別編碼規則 (DER)。

    若要檢視初始的自我簽署憑證,請在 ISE GUI 中導覽至「系統管理」>「系統」>「憑證」>「系統憑證」,如下圖所示。

    View ISE Self-Signed Certificates

    如果您透過憑證簽署要求 (CSR) 在 ISE 上安裝伺服器憑證,並變更系統管理員或 EAP 通訊協定的憑證,則自我簽署伺服器憑證仍會存在,但處於「未使用」狀態。

      注意:對於管理協定更改,需要重新啟動ISE服務,這會造成幾分鐘的停機時間。變更 EAP 通訊協定不會觸發 ISE 服務重新啟動,也不會發生停機情況。

    判斷變更憑證的時機

    假設安裝的憑證即將到期。應該等到憑證到期再來更新,還是在到期之前先變更憑證比較好?您必須在到期前變更憑證,以便有時間規劃憑證交換,並管理交換所造成的任何停機時間。

    何時必須變更憑證?請取得開始日期早於舊憑證到期日期的新憑證。這兩個日期之間的時間間隔即為變更期間。

      注意:如果啟用管理,則它會導致ISE伺服器上的服務重新啟動,並且您會經歷幾分鐘的停機時間。

    此圖描述即將到期之憑證的相關資訊:

    Determine When to Change the Certificate

    產生憑證簽署要求

    此程序說明如何透過 CSR 更新憑證:

    1. 在ISE控制檯中,導航到管理>系統>證書>證書簽名請求,然後按一下生成證書簽名請求

    2. 您必須在「憑證主體」文字欄位中輸入的最少資訊為 CN=ISEfqdn,其中 ISEfqdn 是 ISE 的完整網域名稱 (FQDN)。使用逗號在「憑證主體」中新增其他欄位,例如:O(組織)、OU(組織單位)或 C(國家/地區):

      Generate Certificate Signing Request
    3. 「主體別名 (SAN)」文字欄位行必須重複輸入 ISE FQDN。如果您想要使用別名或萬用字元憑證,可以新增第二個 SAN 欄位。

    4. 點選生成,系統將顯示彈出窗口,指示CSR欄位是否正確完成:

      Successfully Generated CSR

    5. 若要匯出 CSR,請在左側面板中按一下「憑證簽署要求」,選取您的 CSR,然後按一下「匯出」

      Certificate Signing Requests
    6. CSR儲存在您的電腦上。請將其提交至您的 CA 以供簽署。

    安裝憑證

    從 CA 收到最終憑證後,您必須將憑證新增至 ISE:

    1. 在ISE控制檯中,導航到管理>系統>證書>證書簽名請求,然後選中CRS上的覈取方塊並按一下繫結證書

      Install Certificate

    2. 「易記名稱」文字欄位中輸入簡單且清楚的憑證說明, 然後點擊「提交」。

        注意:此時請勿啟用EAP或Admin協定。

    3. 在「系統憑證」下,您具有非使用中的新憑證,如下所示:

      New Certificate Not in Use
    4. 因為新憑證是在舊憑證到期之前安裝,因此您會看到報告未來日期範圍的錯誤:

      Certificate Warning

    5. 按一下Yes繼續操作。憑證現在已安裝,但未使用,如綠色反白所示。

      Certificate Now Installed

      注意:如果您在分散式部署中使用自簽名證書,則必須將主要自簽名證書安裝到輔助ISE伺服器的受信任證書儲存中。同樣地,次要的自我簽署憑證也必須安裝到主要 ISE 伺服器的受信任憑證存放區。這可讓 ISE 伺服器彼此相互驗證。   否則部署可能會中斷。如果您從第三方 CA 更新憑證,請驗證根憑證鏈結是否已變更,並據此更新 ISE 中的受信任憑證存放區。在這兩種情況下,請確保ISE節點、終端控制系統和Supplicant客戶端能夠驗證根證書鏈。

    設定警示系統

    Cisco ISE 會在距離本機憑證到期日期不到 90 天時通知您。此提前通知可協助您避免憑證到期、規劃憑證變更,以及防止或有效減少停機時間。

    通知會以各種方式出現:

    • 彩色到期狀態圖示會出現在「本機憑證」頁面上。

    • 到期訊息會出現在 Cisco ISE 系統診斷報告中。

    • 系統會在 90 天和 60 天時產生到期警示,並在到期之前的最後 30 天每日產生警示。

    設定 ISE 以取得到期警示的電子郵件通知。在 ISE 主控台中,導覽至「系統管理」>「系統」>「設定」>「SMTP 伺服器」,找出簡易郵件傳輸通訊協定 (SMTP) 伺服器,然後定義另一個伺服器設定,以便傳送警示的電子郵件通知:



    Configure Alerting System

    您可以透過兩種方式設定通知:

    1. 使用系統管理員存取權以通知系統管理員:

      1. 導覽至「系統管理」>「系統」>「系統管理員存取權」>「系統管理員」>「系統管理員使用者」。

      2. 為需要收到警示通知的系統管理員使用者勾選「在電子郵件中包含系統警示」核取方塊。警示通知寄件者的電子郵件地址已硬式編碼為 ise@hostname。

        Set-Up Notifications Option 1

    2. 設定 ISE 警示設定以通知使用者:

      1. 導覽至「系統管理」>「系統」>「設定」>「警示設定」>「警示組態」,如下圖所示。

        Set-Up Notifications Option 2

          :如果要防止某個類別發出警報,請停用該類別的「狀態」。

      2. 選擇Certificate Expiration,然後按一下Alarm Notification。輸入要通知使用者電子郵件地址,然後儲存配置更改。更改最多可能需要15分鐘才能啟用。

        Alarm Settings

    驗證

    使用本節內容,確認您的組態是否正常運作。

    驗證警示系統

    驗證警示系統是否可以正常運作。在此範例中,組態變更會產生嚴重性等級為「資訊」的警示。(「訊息」警示的嚴重性最低,而憑證到期則會產生更高的「警告」嚴重性等級。)

    Verify Alerting System



    這是 ISE 傳送之電子郵件警示的範例:

    Email Alarm Example

    驗證憑證變更

    此程式說明如何驗證憑證是否正確安裝,以及如何變更EAP和/或Admin角色:

    1. 在 ISE 主控台上,導覽至「系統管理」>「憑證」>「系統憑證」,然後選取新的憑證以檢視詳細資料。

        注意:如果啟用管理員使用情況,ISE服務將重新啟動,這將導致伺服器停機。


      Verify Certificate Change


    2. 若要驗證 ISE 伺服器的憑證狀態,請在 CLI 中輸入此命令:

      CLI:> show application status ise
    3. 當所有服務均處於作用中狀態時,請嘗試以系統管理員身分登入。

    4. 對於分散式部署方案,請導航到管理>系統>部署。確認節點有綠色圖示。將游標置於圖示上,以確認圖例顯示已連線。

    5. 檢查一般使用者驗證是否成功。為此,請導航到操作> RADIUS > Livelogs。  您可以找到特定身份驗證嘗試,並驗證這些嘗試是否已成功進行身份驗證。

    驗證憑證

    如果想要從外部檢查憑證,可您以使用內嵌的 Microsoft Windows 工具或 OpenSSL 工具組。

    OpenSSL 是安全通訊端層 (SSL) 通訊協定的開放原始碼實作。如果憑證使用您自己的私人 CA,則您必須將 CA 根憑證置於本機電腦上並使用 OpenSSL 選項 -CApath。如果您有中繼 CA,也必須將其置於相同的目錄中。

    若要取得有關憑證的一般資訊並驗證憑證,請使用:

    openssl x509 -in certificate.pem -noout -text
    openssl verify certificate.pem

    使用OpenSSL工具包轉換證書也會很有用:

    openssl x509 -in certificate.der -inform DER -outform PEM -out certificate.pem

    疑難排解

    目前沒有適用於此組態的特定診斷資訊。

    結論

    由於您可以在 ISE 處於作用中狀態前於 ISE 上安裝新的憑證,因此思科建議您在舊憑證到期之前安裝新的憑證。在舊憑證到期日期與新憑證開始日期之間的重疊期間,您將有時間更新憑證並規劃憑證的安裝作業,而且幾乎沒有停機時間。新憑證進入有效日期範圍後,請啟用 EAP 和/或系統管理員。請記住,如果您啟用「系統管理員使用情況」,服務將會重新啟動。

    修訂記錄

    修訂 發佈日期 意見
    4.0
    10-Oct-2024
    增加了法律免責宣告和替代文本。 已更新樣式要求和格式。
    3.0
    07-Sep-2023
    重新認證
    2.0
    04-Aug-2022
    初始版本
    1.0
    16-Jun-2021
    初始版本
    TAC Authored

    由思科工程師貢獻

    • Abhishek Tomar
      Technical Consulting Engineer
    • Roger Nobel
      Technical Consulting Engineer

    這份文件是否有所幫助?

    Feedback意見

    讓思科協助您

    本文件適用於這些產品