Segurança : Cisco Identity Services Engine Software

Gere um certificado para o ISE que liga aos nomes múltiplos

19 Setembro 2015 - Tradução por Computador
Outras Versões: Versão em PDFpdf | Inglês (22 Agosto 2015) | Feedback


Índice


Introdução

Quando os convidados são direcionados para o Canonical Name Record (CNAME) para Cisco Identity Services Engine (ISE) ou os patrocinadores recebem uma URL curta para acessar o portal do patrocinador no ISE, eles recebem um erro de certificado. Este documento oferece uma solução para este problema.

Nota: Contribuído por Vivek Santuka, engenheiro de TAC da Cisco.

Pré-requisitos

Requisitos

Você precisará de terminar este procedimento se:

  • Você quer reorientar convidados a uma URL genérica tal como guests.yourdomain.com em vez de ise.yourdomain.com

  • Você quer reorientar patrocinadores a uma URL genérica tal como sponsors.yourdomain.com em vez de ise.yourdomain.com

Componentes Utilizados

Este documento não se restringe a versões de software e hardware específicas.

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando.

Convenções

Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.

Problema

O ISE permite que somente um único certificado seja instalado para propósitos do gerenciamento. Este certificado é usado para todas as sessões de HTTP que terminam no ISE, incluindo sessões do convidado e do patrocinador. Desde que o nome do sujeito do certificado tem que conter o hostname do ISE, todas as sessões do convidado deverão ser reorientadas ao hostname do ISE. Isto não é às vezes desejável para a Segurança ou as outras razões. A maneira geral obter em torno desta é usar um certificado do convite. Contudo, o ISE não apoia essa ação alternativa.

Este documento descreve como criar um certificado para o ISE esse mapas aos nomes de DNS múltiplos.

Solução

O ISE permite que você instale um certificado com campos alternativos sujeitos múltiplos do nome (SAN). Um navegador que alcança o ISE que usa alguns dos nomes listados SAN aceitará o certificado sem nenhum erro enquanto confia CA que assinou o certificado.

O CSR para tal certificado não pode ser gerado do ISE GUI. Você precisará de usar o OpenSSL a fim gerar o certificado.

Conclua estes passos:

  1. Em um host onde o OpenSSL seja instalado, crie um arquivo de configuração com o seguinte índice. Neste exemplo, nós nomeá-lo-emos my-csr.cnf

    [ req ]
    default_bits        = 1024
    default_keyfile     = privatekey.pem
    distinguished_name  = req_distinguished_name
    req_extensions     = req_ext
     
    [ req_distinguished_name ]
    commonName            = Common Name (eg, YOUR name)
    commonName_max        = 100
     
    [ req_ext ]
    subjectAltName          = @alt_names
     
    [alt_names]
    DNS.1   = <FQDN of ISE>
    DNS.2   = sponsor.<yourdomain>
    DNS.3   = guest.<yourdomain>
  2. No arquivo de configuração:

    • DNS.1 e o commonName devem ser o mesmo.

    • Altere o DNS.2 e o DNS.3 como necessário.

    • Você pode adicionar mais sem como DNS.4, DNS.5, e assim por diante.

    • Não mude o valor do commonName no arquivo de configuração. O commonName real será ajustado na próxima etapa.

  3. Gere o CSR usando este comando:

    openssl req -new -nodes -out newise.csr -config csr.cnf
    
  4. Você será alertado incorporar o commonName para o certificado e então o comando criará dois arquivos - newise.csr e privatekey.pem. O primeiro arquivo contém o CSR que pode ser usado por CA a fim gerar um certificado.

  5. Uma vez que você tem o arquivo certificado, verifique os campos SAN usando o comando seguinte. Para este exemplo, o nome de arquivo de certificado é suposto para ser my-newise-cert.pem:

    openssl x509 -text -in my-newise-cert.pem
    

    Na saída do comando acima, procure a saída similar a:

    Certificate:
        Data:
            Version: 3 (0x2)
            Serial Number:
    (...)
            X509v3 extensions:
                X509v3 Subject Alternative Name: 
                    DNS:myise.mycompany.com, DNS:sponsor.mycompany.com, 
                       DNS:guest.mycompany.com.com
                X509v3 Basic Constraints: 
                    CA:FALSE
                X509v3 Key Usage: 
                    Digital Signature, Key Encipherment
    (...)
    
    
  6. Uma vez que verificado, use o arquivo certificado e o arquivo privatekey.pem a fim adicionar o certificado e o arquivo-chave privado ao ISE. Termine estas etapas a fim adicionar-las:

    1. No ISE GUI, vão à administração > aos Certificados > os Certificados locais.

    2. Clique adicionam, e escolhem o certificado de servidor local da importação.

    3. No campo do arquivo certificado, escolha o arquivo certificado gerado por CA.

    4. No campo do arquivo-chave privado, escolha o arquivo privatekey.pem gerado acima.

    5. Na seção de protocolo, escolha a interface de gerenciamento: Use o certificado para autenticar o servidor de Web (GUI).

    6. Clique em Submit.

Discussões relacionadas da comunidade de suporte da Cisco

A Comunidade de Suporte da Cisco é um fórum onde você pode perguntar e responder, oferecer sugestões e colaborar com colegas.


Informações Relacionadas


Document ID: 113675