安全 : Cisco NAC Appliance (Clean Access)

NAC(CCA) :如何在CAM/CAS升级到4.1.6以后解决认证错误

2015 年 8 月 28 日 - 机器翻译
其他版本: PDFpdf | 英语 (2014 年 10 月 2 日) | 反馈


目录


简介

本文描述如何改正在Clean Access管理器(CAM) /Clean接入服务器(CAS)的证书错误有版本4.1.6的。

先决条件

要求

思科建议您有升级进程的知识思科网络准入控制(美洲台)设备的。

使用的组件

本文档中的信息根据与CAM/CAS的Cisco NAC设备版本4.1.6。

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您使用的是真实网络,请确保您已经了解所有命令的潜在影响。

规则

有关文档规则的详细信息,请参阅 Cisco 技术提示规则

步骤

这些证书错误在/perfigo/logs/perfigo-redirect.log0.log.0/perfigo/logs/perfigo-log0.log.0被找到。

这是验证错误的示例:

SEVERE: RMISocketFactory:Creating RMI socket failed to host 
        10.1.20.10:sun.security.validator.ValidatorException: 
        Certificate chaining error
Aug 1, 2008 1:41:22 PM com.perfigo.wlan.web.admin.ConnectorClient connect
SEVERE: Communication Exception : java.rmi.ConnectIOException: Exception  
        creating connection to: 10.1.20.10; nested exception is: 
 javax.net.ssl.SSLHandshakeException:  
        sun.security.validator.ValidatorException: Certificate chaining error

这些错误是在4.1.6做的安全性增强结果。在4.1.6, CAS和CAM彼此作为客户端和服务器并且必须互相委托。每一个要求根和中间证书从其他。例如,如果CAS有Verisign认证和CAM有一Perfigo (临时)证书, CAS和CAM需要Verisign一系列(根和半成品)和Perfigo根。

完成这些步骤为了改正证书错误:

  1. 备份不是临时证书的所有已安装证书。

    1. 在CAM,请打开Web接口,并且去Administration > CCA Manager> SSL > X509证书

      /image/gif/paws/107909/416CertFix_01.gif

    2. 在CAS,请去直接地Web接口通过https:// <CAS IP>/admin,然后去Administration > SSL > X509证书

      /image/gif/paws/107909/416CertFix_02.gif

    3. 从选择选择出口CSR/Private密钥/证书操作下拉列表。

    4. 点击在预装证书旁边当前查找的出口,并且保存此文件。

    5. 点击在当前安装的专用密钥旁边查找的出口,并且保存此文件。

  2. 在备份,如果CAS和CAM已经不使用临时证书后,生成他们。

    1. 在CAM,请打开Web接口,并且去Administration > CCA Manager> SSL > X509证书

    2. 在CAS,请去直接地Web接口通过https:// <CAS IP>/admin,然后去Administration > SSL > X509证书

    3. 选择生成从下拉列表的临时证书

    4. 填写列出的字段,并且单击生成

      注意: 这不再要求重新启动生效。

  3. 从CAS和CAM取消所有信任证书权限。此步骤使更加容易管理和改进安全。

    1. 在CAM,去Administration > CCA Manager> SSL >信任证书权限

    2. 在CAS,请去Administration > SSL >信任证书权限

    3. 创建过滤器排除Perfigo证书。

      /image/gif/paws/107909/416CertFix_03.gif

    4. 从添加过滤器下拉列表选择辨别名称

      /image/gif/paws/107909/416CertFix_04.gif

    5. 选择包含不从在辨别名称旁边出现的下拉列表。

      416CertFix_05.gif

    6. 在文本字段键入Perfigo,然后单击过滤器

      /image/gif/paws/107909/416CertFix_06.gif

    7. 从在删除选择的按钮旁边查找的下拉列表选择100。

    8. 在删除选择的下拉列表之下单击复选框为了选择所有证书权限(CA)列表的。

    9. 点击选择的删除为了删除在列表的所有CA。

    10. 请继续点击方框,并且点击选择的删除,直到所有CA删除。

  4. 在您删除所有CA后,必须导入根和中间证书。

    1. 在CAM,去Administration > CCA Manager> SSL >信任证书权限

    2. 在CAS,请去Administration > SSL >信任证书权限

    3. 单击浏览,并且首先选择根证明。

      注意: 应该设置主题和发布者对同一个值。

    4. 点击导入,并且CA在如下列表应该出现。

    5. 执行所有半成品证书的同一个步骤。

  5. 安装该CAS和CAM的证书您备份在第一步。

    1. 在CAM,请打开Web接口,并且去Administration > CCA Manager> SSL > X509证书

    2. 在CAS,请去直接地Web接口通过https:// <CAS IP>/admin,然后去Administration > SSL > X509证书

    3. 从下拉列表选择进口证明书

    4. 单击从step1浏览,并且选择保存的证书。

    5. 点击加载

    6. 单击浏览再,并且选择从step1保存的专用密钥。

    7. 从文件类型下拉列表选择专用密钥,然后单击加载

    8. 单击验证并且安装上传的证书

    注意: 此错误消息不将由这些步骤修复:

    SEVERE: SSLFilter:access deniedCN=cas1.domain.com, 
            OU=Information Technologies, O=Company, ST=State, 
            C=US:Netscape cert type does not permit use for SSL client 
    

    如果日志包含此消息,您必须与证书供应商联系。必须补发证书Netscape Cert类型字段设置为SSL服务器和SSL客户端。

相关的思科支持社区讨论

思科支持社区是您提问、解答问题、分享建议以及与工作伙伴协作的论坛。


相关信息


Document ID: 107909