安全 : Cisco Identity Services Engine Software

生成绑定对多名称ISE的一证书

2015 年 8 月 28 日 - 机器翻译
其他版本: PDFpdf | 英语 (2015 年 4 月 23 日) | 反馈


目录


简介

当访客重定向对一个规范名记录(CNAME)时思科身份服务引擎的(ISE)或赞助商给短URL为了到达ISE的赞助商门户,他们获得验证错误。本文提供一解决方案给此问题。

注意: 贡献用Vivek Santuka, Cisco TAC工程师。

先决条件

要求

您将需要完成此步骤,如果:

  • 您要重定向访客到通用的URL例如guests.yourdomain.com而不是ise.yourdomain.com

  • 您要重定向赞助商到通用的URL例如sponsors.yourdomain.com而不是ise.yourdomain.com

使用的组件

本文档不限于特定的软件和硬件版本。

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您使用的是真实网络,请确保您已经了解所有命令的潜在影响。

规则

有关文档规则的详细信息,请参阅 Cisco 技术提示规则

问题

ISE允许将安装的仅单个证书管理目的。此证书使用终止在ISE的所有HTTP会话,包括访客和赞助商会话。因为证书的主题名称必须包含ISE主机名,所有访客会话将需要重定向到ISE主机名。这为安全或其他原因有时不是理想。一般方式避过此将使用通配符证书。然而, ISE不支持该应急方案。

本文描述如何创建ISE的一证书该地图对多个DNS名。

解决方案

ISE允许您安装与多个主题替代方案名称(SAN)字段的一证书。到达ISE的浏览器使用任何列出的SAN名称将接受证书,不用任何错误,只要委托签署证书的CA。

这样证书的CSR不可能从ISE GUI生成。您将需要使用openssl为了生成证书。

完成这些步骤:

  1. 在openssl安装的主机上,请创建一个配置文件以以下内容。在本例中,我们将命名它我csr.cnf

    [ req ]
    default_bits        = 1024
    default_keyfile     = privatekey.pem
    distinguished_name  = req_distinguished_name
    req_extensions     = req_ext
     
    [ req_distinguished_name ]
    commonName            = Common Name (eg, YOUR name)
    commonName_max        = 100
     
    [ req_ext ]
    subjectAltName          = @alt_names
     
    [alt_names]
    DNS.1   = <FQDN of ISE>
    DNS.2   = sponsor.<yourdomain>
    DNS.3   = guest.<yourdomain>
  2. 在配置文件中:

    • DNS.1和公用名称应该是相同的。

    • 修改DNS.2和DNS.3如所需求。

    • 您能添加更多SAN作为DNS.4, DNS.5,等等。

    • 请勿更改值在配置文件的公用名称。实际公用名称在下一步将设置。

  3. 使用此命令,生成CSR :

    openssl req -new -nodes -out newise.csr -config csr.cnf
    
  4. 将提示您进入证书的公用名称命令然后将创建两个文件- newise.csr和privatekey.pem。第一个文件包含能由CA使用为了生成证书的CSR。

  5. 一旦有证书文件,使用以下命令,请验证SAN字段。对于此示例,证书文件名假设是我newise cert.pem :

    openssl x509 -text -in my-newise-cert.pem
    

    在上述命令的输出中,请寻找输出类似于:

    Certificate:
        Data:
            Version: 3 (0x2)
            Serial Number:
    (...)
            X509v3 extensions:
                X509v3 Subject Alternative Name: 
                    DNS:myise.mycompany.com, DNS:sponsor.mycompany.com, 
                       DNS:guest.mycompany.com.com
                X509v3 Basic Constraints: 
                    CA:FALSE
                X509v3 Key Usage: 
                    Digital Signature, Key Encipherment
    (...)
    
    
  6. 一旦验证,请使用证书文件和privatekey.pem文件为了添加证书和专用密钥文件到ISE。完成这些步骤为了添加他们:

    1. 在ISE GUI中,去Administration >证书>本地证书

    2. 单击添加,并且选择导入当地服务器证书

    3. 在证书文件领域,请选择CA生成的证书文件。

    4. 在专用密钥文件领域,请选择生成的privatekey.pem文件以上。

    5. 在协议部分,请选择管理接口:验证Web服务器的使用身份验证(GUI)

    6. 单击 submit

相关的思科支持社区讨论

思科支持社区是您提问、解答问题、分享建议以及与工作伙伴协作的论坛。


相关信息


Document ID: 113675