2015 年 11 月 25 日 - 機械翻訳について
その他のバージョン: PDFpdf | 英語版 (2015 年 8 月 22 日) | フィードバック


目次


概要

このドキュメントでは、Clean Access Manager(CAM)/Clean Access Server(CAS)バージョン 4.1.6 の証明書エラーを修正する方法について説明します。

前提条件

要件

Cisco は Cisco Network Admission Control (NAC)アプライアンスのためのアップグレード プロセスのナレッジがあることを推奨します。

使用するコンポーネント

この文書に記載されている情報は CAM/CAS の Cisco NAC アプライアンス バージョン 4.1.6 に基づいています。

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。 ネットワークが稼働中の場合は、コマンドが及ぼす潜在的な影響を十分に理解しておく必要があります。

表記法

ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。

手順

これらの Certificate エラーは /perfigo/logs/perfigo-redirect.log0.log.0/perfigo/logs/perfigo-log0.log.0 にあります。

Certificate エラーの例はここにあります:

SEVERE: RMISocketFactory:Creating RMI socket failed to host 
        10.1.20.10:sun.security.validator.ValidatorException: 
        Certificate chaining error
Aug 1, 2008 1:41:22 PM com.perfigo.wlan.web.admin.ConnectorClient connect
SEVERE: Communication Exception : java.rmi.ConnectIOException: Exception  
        creating connection to: 10.1.20.10; nested exception is: 
 javax.net.ssl.SSLHandshakeException:  
        sun.security.validator.ValidatorException: Certificate chaining error

これらのエラーは 4.1.6 で行われるセキュリティ拡張の結果です。 4.1.6 では、CAS および CAM はクライアント および サーバとして互いに機能し、互いを信頼する必要があります。 各自は他からのルートおよび中間物認証を必要とします。 たとえば、CAS が持っていれば Verisign 認証におよび CAM は Perfigo (一時)認証が、CAS および CAM 必要 Verisign チェーン(ルートおよび中間物)および Perfigo ルート両方あります。

Certificate エラーを修正するためにこれらのステップを完了して下さい:

  1. 一時的な証明書ではないインストール済み認証をバックアップして下さい。

    1. CAM で、Webインターフェイスを開き、Administration > CCA マネージャ > SSL > X509 認証に行って下さい。

      /image/gif/paws/107909/416CertFix_01.gif

    2. CAS で、直接 Webインターフェイスに https:// <CAS IP>/admin によって行き、次に Administration > SSL > X509 認証に行って下さい。

      /image/gif/paws/107909/416CertFix_02.gif

    3. [Choose an action] ドロップダウン リストから [Export CSR/Private Key/Certificate] を選択します。

    4. click Export 現在インストール済み認証の隣に置き、このファイルを保存します。

    5. click Export 現在インストール済みプライベートキーの隣に置き、このファイルを保存します。

  2. CAS および CAM がまだ一時的な証明書を使用していなければ、バックアップがそれらを生成した後。

    1. CAM で、Webインターフェイスを開き、Administration > CCA マネージャ > SSL > X509 認証に行って下さい。

    2. CAS で、直接 Webインターフェイスに https:// <CAS IP>/admin によって行き、次に Administration > SSL > X509 認証に行って下さい。

    3. ドロップダウン リストから一時的な証明書を『Generate』 を選択 して下さい。

    4. リストされているフィールドに記入し『Generate』 をクリック して下さい。

      注: これはもはや再度ブートするが実施されるように要求しません。

  3. CAS および CAM からすべての信頼できる証明書機関を取除いて下さい。 このステップはセキュリティを管理し、向上することもっと簡単にします。

    1. CAM で、Administration > CCA マネージャ > SSL > 信頼できる証明書機関に行って下さい。

    2. CAS で、Administration > SSL > 信頼できる証明書機関に行って下さい。

    3. Perfigo 認証を除くためにフィルタを作成して下さい。

      /image/gif/paws/107909/416CertFix_03.gif

    4. 追加フィルタ ドロップダウン リストから識別名を選択して下さい。

      /image/gif/paws/107909/416CertFix_04.gif

    5. 含んでいますドロップダウン リストからない選択して下さい識別名の隣で現われる。

      416CertFix_05.gif

    6. テキスト フィールドの Perfigo を入力し、次にフィルタをクリックして下さい。

      /image/gif/paws/107909/416CertFix_06.gif

    7. 削除指定ボタンの隣にあるドロップダウン リストから 100 つを選択して下さい。

    8. リストの認証機関全員を(CA)選択するために削除指定ドロップダウン リストの下でチェックボックスをクリックして下さい。

    9. リストのすべての CA を削除するために Select 『Delete』 をクリック して下さい。

    10. ボックスをクリックし続けすべての CA が削除されるまで Select 『Delete』 をクリック して下さい。

  4. すべての CA を取除いた後、ルートおよび中間物認証はインポートする必要があります。

    1. CAM で、Administration > CCA マネージャ > SSL > 信頼できる証明書機関に行って下さい。

    2. CAS で、Administration > SSL > 信頼できる証明書機関に行って下さい。

    3. 『Browse』 をクリック し、原証明を最初に選択して下さい。

      注: サブジェクトおよび発行元は同じ値に設定 する必要があります。

    4. 『Import』 をクリック すれば、CA は下記のリストに現われる必要があります。

    5. あらゆる中間認証のための同じプロシージャを行って下さい。

  5. その第一歩に CAS および CAM 認証をバックアップされるインストールして下さい。

    1. CAM で、Webインターフェイスを開き、Administration > CCA マネージャ > SSL > X509 認証に行って下さい。

    2. CAS で、直接 Webインターフェイスに https:// <CAS IP>/admin によって行き、次に Administration > SSL > X509 認証に行って下さい。

    3. ドロップダウン リストから認証を『Import』 を選択 して下さい。

    4. 『Browse』 をクリック し、ステップ 1.から保存される認証を選択して下さい。

    5. 『Upload』 をクリック して下さい。

    6. 再度『Browse』 をクリック し、ステップ 1.から保存されたプライベートキーを選択して下さい。

    7. プライベートキーをファイルタイプ ドロップダウン リストから選択し、次に『Upload』 をクリック して下さい。

    8. [Verify and Install Uploaded Certificates] をクリックします。

    注: このエラーメッセージはこれらの手順によって固定されるべきではないです:

    SEVERE: SSLFilter:access deniedCN=cas1.domain.com, 
            OU=Information Technologies, O=Company, ST=State, 
            C=US:Netscape cert type does not permit use for SSL client 
    

    ログがこのメッセージが含まれている場合、認証 プロバイダに連絡して下さい。 認証は SSL 両方サーバおよび SSL クライアントに Netscape CERT Type フィールドが設定されていると再発行する必要があります。

関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


関連情報


Document ID: 107909