在ISE中安装第三方CA签名证书

科技网编2022-06-07 15:598120

简介

本文档介绍在思科身份服务引擎(ISE)中安装第三方CA签名证书。 无论最终证书角色(EAP身份验证、门户、管理员和pxGrid)如何无法验证服务器身份,流程都是相同的。

先决条件要求

思科建议您了解基本公钥基础设施。

使用的组件

本文档中的信息基于思科身份服务引擎(ISE)版本3.0。相同的配置适用于版本2.X

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您的网络处于活动状态,请确保您了解所有命令的潜在影响。

配置步骤1.生成证书签名请求(CSR)。

要生成CSR,请导航至Administration > Certificates > Certificate Signing Requests,然后点击Generate Certificate Signing Requests(CSR)。

Install a third-party CA certificate in ISE - Click Generate Certificate Signing Requests (CSR)

在“使用”部分下,从下拉菜单中选择要使用的角色。如果证书用于多个角色,则可以选择“多用”。一旦生成证书,就可以根据需要更改角色。

选择将为其生成证书的节点。

根据需要填写信息(组织单位、组织、城市、州和国家/地区)。

注意:在公用名(CN)字段下,ISE自动填充节点的完全限定域名(FQDN)。

通配符:

注意:某些证书颁发机构(CA)可以自动在证书的CN中添加通配符(*),即使它不存在于CSR中。在此场景中,需要提出特殊请求以阻止此操作。

单个服务器证书CSR示例:

Install a third-party CA certificate in ISE - CSR example for individual server certificate

通配符CSR示例:

Install a third-party CA certificate in ISE - Wildcard CSR example

注意:每个部署节点的IP地址都可以添加到SAN字段,以避免在您通过IP地址访问服务器时出现证书警告。

创建CSR后,ISE将显示一个弹出窗口,其中包含用于导出该窗口的选项。导出后,此文件应发送到CA进行签名。

Install a third-party CA certificate in ISE - Export option to download CSR

步骤2.导入新证书链。

证书颁发机构将返回签名的服务器证书以及完整的证书链(根/中间)。 收到证书后无法验证服务器身份,请按照以下步骤将证书导入ISE服务器:

要导入CA提供的任何根证书和(或)中间证书,请导航至Administration > Certificates > Trusted Certificates。

单击Import,然后选择Root和/或Intermediate证书,并在申请提交时选择相关复选框。要导入服务器证书,请导航至管理>证书>证书签名请求。

选择之前创建的CSR,然后点击“绑定证书”。

选择新证书位置,ISE将证书绑定到数据库中创建和存储的私钥。

注意:如果已为此证书选择管理员角色,则特定ISE服务器服务会重新启动。

警告:如果导入的证书用于部署的主要管理节点,并且选择了管理员角色,则所有节点上的服务将依次重新启动。这是预期的,建议停机以执行此活动。

验证

如果在证书导入期间选择了管理员角色,您可以通过在浏览器中加载管理页面来验证新证书是否到位。 只要链构建正确且证书链受浏览器信任,浏览器就应信任新的管理员证书。

Install a third-party CA certificate in ISE - Verify certification path

要进行其他验证,请在浏览器中选择锁定符号,然后在证书路径下验证计算机是否存在并信任完整链。这不是服务器正确向下传递完整链的直接指示,而是浏览器能够根据其本地信任库信任服务器证书的指示。

故障排除请求方在dot1x身份验证期间不信任ISE本地服务器证书

验证ISE在SSL握手过程中是否传递完整证书链。

当使用需要服务器证书(即PEAP)和验证服务器身份的EAP方法时,请求方使用其在本地信任库中拥有的证书作为身份验证过程的一部分来验证证书链。作为SSL握手过程的一部分,ISE提供其证书以及其链中存在的任何根和(或)中间证书。如果链不完整,请求方将无法验证服务器身份。要验证证书链是否已传回到客户端,可执行以下步骤:

要在身份验证期间从ISE(TCPDump)捕获,请导航至Operations > Diagostic Tools > General Tools > TCP Dump。

下载/打开捕获,在Wireshark中应用ssl.handshake.certificates过滤器,并查找访问质询。

选中后,导航至Expand Radius Protocol > Attribute Value Pairs > EAP-Message Last segment > Extensible Authentication Protocol > Secure Sockets Layer > Certificate > Certificates。

捕获中的证书链。

Install a third-party CA certificate in ISE - Troubleshoot - Certificate chain in the capture

如果链不完整,请导航至ISE Administration > Certificates > Trusted Certificates,并验证根证书和(或)中间证书是否存在。如果证书链成功通过,则应使用此处概述的方法验证该链本身是否有效。

打开每个证书(服务器、中间和根),并通过将每个证书的主题密钥标识符(SKI)与链中下一个证书的颁发机构密钥标识符(AKI)进行匹配来验证信任链。

证书链示例。

Install a third-party CA certificate in ISE - Troubleshoot - Certificate chain example

ISE证书链正确,但终端在身份验证期间拒绝ISE的服务器证书

如果ISE在SSL握手期间呈现其完整的证书链,且请求方仍拒绝证书链;下一步是验证根证书和(或)中间证书是否在客户端本地信任库中。

要从Windows设备验证此操作,请导航至“mmc.exe文件”>“添加 — 删除管理单元”。从“可用管理单元”列中选择“证书”,然后单击“添加”。根据使用的身份验证类型(用户或机器)选择“我的用户帐户”或“计算机帐户”,然后单击“确定”。

在控制台视图下,选择Trusted Root Certification Authorities和Intermediate Certification Authorities,以验证本地信任存储中是否存在根证书和中间证书。

Install a third-party CA certificate in ISE - Troubleshoot - Verify Root and Intermediate certificates are present

验证这是服务器身份检查问题的简单方法,请取消选中请求方配置文件配置下的验证服务器证书,然后再次进行测试。

Install a third-party CA certificate in ISE - Troubleshoot - Uncheck Validate Server Certificate option

相关信息

itunes无法验证服务器的身份_无法验证服务器身份_无法验证身份,会话超时

评论区

热门文章

    最近发表

    标签列表