Sécurité : Cisco Identity Services Engine Software

Générez un certificat pour ISE qui lie à de plusieurs noms

17 octobre 2015 - Traduction automatique
Autres versions: PDFpdf | Anglais (22 août 2015) | Commentaires


Contenu


Introduction

Lorsque des invités sont redirigés vers un enregistrement de nom canonique (CNAME) pour le Cisco Identity Services Engine (ISE) ou que des commanditaires reçoivent une URL raccourcie vers le portail des commanditaires sur ISE, une erreur de certificat se produit. Ce document présente une solution à ce problème.

Remarque: Contribué par Vivek Santuka, ingénieur TAC Cisco.

Conditions préalables

Conditions requises

Vous devrez remplir cette procédure si :

  • Vous voulez réorienter des invités à un URL générique tel que guests.yourdomain.com au lieu d'ise.yourdomain.com

  • Vous voulez réorienter des sponsors à un URL générique tel que sponsors.yourdomain.com au lieu d'ise.yourdomain.com

Composants utilisés

Ce document n'est pas limité à des versions de matériel et de logiciel spécifiques.

Les informations contenues dans ce document ont été créées à partir des périphériques d'un environnement de laboratoire spécifique. Tous les périphériques utilisés dans ce document ont démarré avec une configuration effacée (par défaut). Si votre réseau est opérationnel, assurez-vous que vous comprenez l'effet potentiel de toute commande.

Conventions

Pour plus d'informations sur les conventions utilisées dans ce document, reportez-vous à Conventions relatives aux conseils techniques Cisco.

Problème

ISE permet seulement un certificat simple à installer pour la Gestion. Ce certificat est utilisé pour toutes les sessions de HTTP se terminant sur ISE, y compris des sessions d'invité et de sponsor. Puisque le nom du sujet du certificat doit contenir l'adresse Internet d'ISE, toutes les sessions d'invité devront être réorientées à l'adresse Internet d'ISE. Ce n'est parfois pas desirable pour la Sécurité ou d'autres raisons. La manière générale de venir à bout ceci est d'utiliser un certificat de masque. Cependant, ISE ne prend en charge pas ce contournement.

Ce document décrit comment créer un certificat pour ISE ce des cartes à de plusieurs noms DNS.

Solution

ISE te permet pour installer un certificat avec de plusieurs champs alternatifs soumis du nom (SAN). Un navigateur atteignant l'ISE utilisant des noms énumérés l'uns des SAN recevra le certificat sans n'importe quelle erreur tant que elle fait confiance au CA qui a signé le certificat.

Le CSR pour un tel certificat ne peut pas être généré du GUI ISE. Vous devrez employer l'openSSL afin de générer le certificat.

Procédez comme suit :

  1. Sur un hôte où l'openSSL est installé, créez un fichier de configuration avec le contenu suivant. Dans cet exemple, nous le nommerons my-csr.cnf

    [ req ]
    default_bits        = 1024
    default_keyfile     = privatekey.pem
    distinguished_name  = req_distinguished_name
    req_extensions     = req_ext
     
    [ req_distinguished_name ]
    commonName            = Common Name (eg, YOUR name)
    commonName_max        = 100
     
    [ req_ext ]
    subjectAltName          = @alt_names
     
    [alt_names]
    DNS.1   = <FQDN of ISE>
    DNS.2   = sponsor.<yourdomain>
    DNS.3   = guest.<yourdomain>
  2. Dans le fichier de configuration :

    • DNS.1 et commonName devraient être identique.

    • Modifiez le DNS.2 et le DNS.3 au besoin.

    • Vous pouvez ajouter plus sans comme DNS.4, DNS.5, et ainsi de suite.

    • Ne changez pas la valeur du commonName dans le fichier de configuration. Le commonName réel sera placé dans l'étape suivante.

  3. Générez le CSR utilisant cette commande :

    openssl req -new -nodes -out newise.csr -config csr.cnf
    
  4. Vous serez incité à écrire le commonName pour le certificat et alors la commande créera deux fichiers - newise.csr et privatekey.pem. Le premier fichier contient le CSR qui peut être utilisé par le CA afin de générer un certificat.

  5. Une fois que vous avez le fichier du certificat, vérifiez les champs SAN utilisant la commande suivante. Pour cet exemple, on assume que le nom du fichier de certificat est my-newise-cert.pem :

    openssl x509 -text -in my-newise-cert.pem
    

    Dans la sortie de la commande ci-dessus, recherchez la sortie semblable à :

    Certificate:
        Data:
            Version: 3 (0x2)
            Serial Number:
    (...)
            X509v3 extensions:
                X509v3 Subject Alternative Name: 
                    DNS:myise.mycompany.com, DNS:sponsor.mycompany.com, 
                       DNS:guest.mycompany.com.com
                X509v3 Basic Constraints: 
                    CA:FALSE
                X509v3 Key Usage: 
                    Digital Signature, Key Encipherment
    (...)
    
    
  6. Une fois que vérifié, utilisez le fichier du certificat et le fichier privatekey.pem afin d'ajouter le certificat et le fichier principal privé à ISE. Terminez-vous ces étapes afin de les ajouter :

    1. Dans le GUI ISE, allez à la gestion > aux Certificats > les Certificats locaux.

    2. Cliquez sur Add, et choisissez le certificat de serveur local d'importation.

    3. Dans le domaine de fichier du certificat, choisissez le fichier du certificat généré par le CA.

    4. Dans le champ File de clé privée, choisissez le fichier privatekey.pem généré ci-dessus.

    5. Dans la section Protocole, choisissez l'interface de gestion : Certificat d'utilisation pour authentifier le web server (GUI).

    6. Cliquez sur Submit.

Conversations connexes de la communauté de soutien de Cisco

Le site Cisco Support Community est un forum où vous pouvez poser des questions, répondre à des questions, faire part de suggestions et collaborer avec vos pairs.


Informations connexes


Document ID: 113675