セキュリティ : Cisco Identity Services Engine

Cisco Identity Services Engine コンフィギュレーション ガイドの認証 更新

2015 年 11 月 26 日 - 機械翻訳について
その他のバージョン: PDFpdf | 英語版 (2015 年 8 月 22 日) | フィードバック

概要

この資料は最良 の 方法および予防的 な手順を Cisco Identity Services Engine (ISE)の認証を更新する記述したものです。 それはまたアラームおよび通知を設定する方法を検討します従って管理者は認証満了のようなやがて起こるイベントの警告されます。

: この資料は認証のためのトラブルシューティングガイドであるように意図されていません。

ロジャー ノーベルによって貢献される、Cisco TAC エンジニア。

前提条件

要件

次の項目に関する知識があることが推奨されます。

  • X509 認証
  • 認証が付いている Cisco ISE の設定

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づくものです。

  • Cisco ISE リリース 1.2.0.899
  • アプライアンスか VMware

背景説明

ISE 管理者として、結局 ISE 認証が切れるというファクトに出会います。 ISE サーバに期限 の 切れた 認証がある場合、深刻な問題は新しいのと期限 の 切れた 認証を取り替えなければ、有効な証明書起こるかもしれません。

: Extensible Authentication Protocol (EAP)のために使用する認証が切れる場合、すべての認証はクライアントが ISE 認証をもう信頼しないので失敗するかもしれません。 HTTPS プロトコル 認証が切れる場合、リスクはより大きいです: 管理者は ISE にログインにもうでき分散配備は機能し、複製し終えるかもしれません。

この例では、ISE に 1 か月以内に切れる認証局 (CA) サーバからのインストール済み認証があります。 ISE 管理者は ISE で古い認証が切れる前に新しいの、有効な証明書インストールする必要があります。 この予防的 な アプローチは防ぎか、またはダウンタイムを最小に し、エンドユーザの影響を避けます。 最近インストール済み認証の時間が始まれば、新しい認証の EAP や HTTPS プロトコルを有効に することができます。

古い認証が切れる前にアラームを生成し、新しい認証をインストールするために管理者を知らせるように ISE を設定できます。

: この資料は自己署名証明書と認証 更新の影響を示すために HTTPS を使用しますがこのアプローチはライブ システムのために推奨されません。 EAP および HTTPS プロトコル両方のために CA 認証を使用することがより適切です。

設定

ISE 自己署名証明書を表示して下さい

ISE はインストールされているとき、自己署名証明書を生成します。 自己署名証明書は管理 アクセスと分散配備(HTTPS)内の通信のために、またユーザ認証(EAP)のために使用されます。 ライブ システムでは、自己署名証明書の代りに CA 認証を使用して下さい。

ヒントCisco Identity Services Engine ハードウェアインストールガイドCisco ISE セクションの証明書管理を、その他の情報に関してはリリース 1.2 参照して下さい。

ISE 認証のための形式はプライバシー強化メール(PEM)または顕著なエンコード ルール(DER)である必要があります。

最初の自己署名証明書を、ナビゲート Administration > System> 認証に表示するために > ISE のローカル認証コンソール接続を行います:

証明書署名要求(CSR)によって ISE でサーバ証明をインストールし、HTTPS または EAP プロトコルのための認証を変更する場合、自己署名 サーバ証明はまだありませんが、もはや使用されます。

注意: HTTPS に関してはプロトコルが、ISE サービスの再始動必要となります変更します、ダウンタイムの数分を作成する。 EAP プロトコル変更は ISE サービスの再始動を引き起こさないし、ダウンタイムを引き起こしません。

認証をいつ変更するか判別して下さい

インストール済み認証がすぐに切れると仮定して下さい。 それを切れるように更新するまたは有効期限の前に認証をです前に認証がより適切変更するようにか。 認証スワップを計画し、スワップによって引き起こされるダウンタイムを管理する時間があるように有効期限の前に認証を変更する必要があります。

いつ認証を変更する必要がありますか。 古い認証の有効期限に先行する開始日が付いている新しい認証を得て下さい。 それら二つの日付間の時間は Change ウィンドウです。

注意: HTTPS を有効に する場合、により ISE サーバのサービス再始動を引き起こし、ダウンタイムの数分を経験します。

このイメージは CA によって発行される描写し、2013 年 11 月 29 日に切れます認証のための情報を:

生成する 証明書署名要求

このプロシージャは CSR を通して認証を更新する方法を記述します:

  1. ISE コンソールでは、追加するべきナビゲート > 生成する 証明書署名要求

  2. 認証 サブジェクト テキスト フィールドで入力する必要がある最小情報は ISEfqdn が ISE の完全修飾ドメイン名 (FQDN)の CN=ISEfqdn です。 O (組織)、OU (組織ユニット)、またはカンマの使用の認証 サブジェクトの C (国)のような追加フィールドを追加して下さい:



  3. 認証対象代替名(SAN)テキスト フィールド行の 1 つは ISE FQDN を繰り返す必要があります。 代替名かワイルドカード 認証を使用したいと思う場合第 2 SAN フィールドを追加できます。

  4. ポップアップウィンドウは CSR フィールドが正しく入力されるかどうか示します:



  5. CSR をエクスポートするために、左パネルの署名要求を『Certificate』 をクリック し、CSR を選択し、『Export』 をクリック して下さい:



  6. CSR はコンピュータで保存されます。 シグニチャのために CA にそれを入れて下さい。

証明書のインストール

CA から最終的な認証を受け取れば、ISE に認証を追加して下さい:

  1. ISE コンソールで、左パネルのローカル認証をクリックし、そして CA 署名入り認証を『Add』 をクリック し、結合 して下さい:



  2. 表示名テキスト フィールドで認証の簡単な、クリア説明を入力して下さい:

    : 現時点で EAP または HTTPS プロトコルを有効に しない で下さい。




  3. 古い 1 つが切れる前に新しい認証をインストールしているので、日付の範囲を将来報告するエラーを見ます(この例の 2013 年 11 月 23 日)。



  4. 継続するには [Yes] をクリックします。 認証はグリーンに今強調表示されるように、使用中インストールされています。 有効期限と有効な日付間のオーバーラップは黄色で強調表示されています:



: 分散配備で自己署名証明書を使用する場合、プライマリ 自己署名証明書はセカンダリ ISE サーバの信頼できる証明書 ストアにインストールする必要があります。  同様に、セカンダリ自己署名証明書はプライマリ ISE サーバの信頼できる証明書 ストアにインストールする必要があります。 これは ISE サーバが相互に互いを認証するようにします。  これなしで、配備は壊れるかもしれません。 サード パーティ CA からの認証を更新する場合、原証明 チェーンが変更した確かめ、ISE の信頼できる証明書 ストアをかどうかそれに応じてアップデートして下さい。 ISE ノード、エンドポイント オペレーティング システムおよび要求元が原証明 チェーンを検証できることを両方のシナリオで、確認して下さい。

システムを警告 することを設定して下さい

ローカル認証の有効期限が 90 日以内にあるとき Cisco ISE は知らせます。 そのような事前通告は期限 の 切れた 認証を避け、認証変更を計画し、ダウンタイムを防ぐか、または最小に するのを助けます。

通知は複数の方法に現われます:

  • カラー満了 Status アイコンはローカル認証 ページに書かれています。

  • Cisco ISE システム 診断レポートに満了 メッセージが現れます。

  • 有効期限アラームは 90 日および 60 日に、そして有効期限の前の最終的な 30 日の毎日生成されます。

有効期限アラームの電子メール通知のための ISE を設定して下さい。 ISE コンソールでは、電子メール通知がアラームのために送信 されるように Administration > システム > 設定 > SMTP サーバにナビゲート し、Simple Mail Transfer Protocol (SMTP) サーバを識別し、他のサーバ設定を定義して下さい:



通知を設定できること 2 つの方法があります:

  • 管理者を知らせるために Admin アクセスを使用して下さい:

    1. Administration > システム > Admin アクセス > 管理者 > 管理者ユーザへのナビゲート。

    2. アラーム 通知を受信する必要がある管理者ユーザがあるように電子メール チェックボックスの含システム アラームを確認して下さい。 アラーム 通知の送信側用の eメールアドレスは ise @ホスト名としてハードコードされます。



  • ユーザに通知するために ISE アラーム設定を設定して下さい:

    1. Administration > システム > 設定 > アラーム設定 > アラーム 設定へのナビゲート:



      : そのカテゴリからアラームを防ぎたい場合カテゴリのためのステータスをディセーブルにして下さい。

    2. アラーム 通知をクリックし知らせられるべきユーザの eメールアドレスを入力しコンフィギュレーション変更を保存して下さい。 変更はアクティブである 15 分前ににとるかもしれません。

確認

このセクションでは、設定が正常に機能していることを確認します。

システムを警告 することを確認して下さい

警告 システムが正しくはたらくことを確認して下さい。 この例では、コンフィギュレーション変更は情報の重大度とのアラートを生成します。 (情報 アラームは認証満了は警告のより高い重大度を生成するが、最も低い重大度です。)



これは ISE によって送信 される電子メール アラームの例です:

: この例では、ISE は黄色で強調表示されているように iseadmin@wlaaan.ch に電子メール アラーム メッセージを、二度送ります。 この eメールアドレスは説明された両方のメソッドによって通知を受信するために設定しますシステムの警告を設定されました。

認証変更を確認して下さい

このプロシージャは変更する方法を正しくインストールされていることを認証がおよび EAP や HTTPS のためのプロトコルを確認する方法を記述します:

  1. Administration > 認証への ISE コンソール、ナビゲートで > ローカル認証は、および詳細を表示するために新しい認証を選択します。

    注意: HTTPS プロトコルを有効に する場合、サーバ ダウンタイムを引き起こす ISE サービスは再起動します。





    この例では、HTTPS が ISE サービスを再開すると仮定して下さい。

  2. ISE サーバの認証 ステータスを確認するために、CLI にこのコマンドを入力して下さい:

    CLI:> show application status ise
  3. サービス全員がアクティブになると、管理者としてログインに試みて下さい。

  4. 分散デプロイメントシナリオに関しては、ステータスは ISE コンソールの Administration > システム > 配置 > ノードにナビゲート し、ノード ステータスを確認します。

  5. エンドユーザ 認証が正常であることを確認して下さい。 ISE コンソールで、オペレーション > 認証にナビゲート し、Protected Extensible Authentication Protocol (PEAP) /EAP 転送する 層 セキュリティ(TLS)認証のための認証を検討して下さい。

認証を確認して下さい

認証を外部にチェックしたいと思う場合 Microsoft Windows 組み込みツールか OpenSSL ツールキットを使用できます。

OpenSSL は Secure Sockets Layer (SSL) プロトコルのオープンソース実装です。 認証があなた自身の private CA を使用する場合、ローカルマシンに- CApath ルートCA認証を置き、OpenSSL オプションを使用して下さい。 中間 CA がある場合、同じディレクトリにそれを同様に置いて下さい。

認証についての概要を得、確認するため、使用:

openssl x509 -in certificate.pem -noout -text
openssl verify certificate.pem

また OpenSSL ツールキットが付いている認証を変換することも役立つかもしれません:

openssl x509 -in certificate.der -inform DER -outform PEM -out certificate.pem

トラブルシューティング

現在のところ、この設定に関する特定のトラブルシューティング情報はありません。

結論

アクティブである前に ISE で新しい認証をインストールできるので、Cisco は古い認証が切れる前に新しい認証をインストールすることを推奨します。 古い認証満了満了日と新しい認証 開始日間のこのオーバーラップ期間は認証を更新し、ダウンタイムがほとんどないインストールを計画する時間を与えます。 新しい認証が有効な日付の範囲を入力したら、EAP や HTTPS プロトコルを有効に して下さい。 サービス再始動があったら HTTPS を、覚えていて下さい有効に したり。


関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


Document ID: 116977