Cisco Identity Services Engine ユーザ ガイド リリース 1.1.1
証明書の管理
証明書の管理
発行日;2013/01/21 | 英語版ドキュメント(2012/08/16 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 18MB) | フィードバック

目次

証明書の管理

ローカル サーバ証明書

ローカル証明書の表示

ローカル証明書の追加

サーバ証明書のインポート

自己署名証明書の生成

証明書署名要求の生成

CA 署名付き証明書のバインド

ローカル証明書の編集

ローカル証明書の削除

ローカル証明書のエクスポート

証明書署名要求

証明書署名要求の表示およびエクスポート

証明書署名要求の削除

認証局証明書

認証局証明書の表示

認証局証明書の追加

認証局証明書の編集

認証局証明書の削除

認証局証明書のエクスポート

証明書チェーンのインポート

プライマリ ノードでの証明書信頼リストの作成

ルートおよび CA 証明書のプライマリ ノードの CTL へのインポート

CA 署名付き証明書のセカンダリ ノードからプライマリ ノードの CTL へのインポート

自己署名証明書のセカンダリ ノードからプライマリ ノードの CTL へのインポート

Simple Certificate Enrollment Protocol プロファイル

Simple Certificate Enrollment Protocol プロファイルの追加および変更

Simple Certificate Enrollment Protocol プロファイルの削除

OCSP サービス

OCSP 証明書のステータスの値

OCSP のハイ アベイラビリティ

OCSP 障害

OCSP サービスの表示

OCSP サービスの追加、編集、または複製

OCSP サービスの削除

OCSP 統計情報カウンタ

OCSP のモニタリング

OCSP モニタリング レポート

証明書の管理

Cisco Identity Services Engine(ISE)では、公開キー インフラストラクチャ(PKI)を使用して、次のことに対する安全な通信を提供します。

Transport Layer Security(TLS)関連 Extensible Authentication Protocol(EAP)プロトコルのクライアントおよびサーバ認証

クライアント ブラウザと管理サーバ間の HTTPS 通信

ISE には、PKI クレデンシャルを管理するための Web インターフェイスが備えられています。クレデンシャルには次の 2 種類があります。

ローカル証明書:EAP サプリカント、外部ポリシー サーバ、管理クライアントなどの他のエンティティに対する ISE サーバの識別に使用されます。ローカル証明書は、ID 証明書とも呼ばれます。信頼性を証明するために、ローカル証明書とともに秘密キーが ISE に格納されます。

Cisco ISE はローカル証明書の有効期限を識別し、監査ログに警告を記録します。有効期限は、ローカル証明書のリスト ページ([管理(Administration)] > [システム(System)] > [証明書(Certificates)] > [ローカル証明書(Local Certificates)])にも表示されます。監査ログ メッセージは catalina.out ファイルに記録されます。このファイルは、サポート バンドルの一部としてダウンロードできます([操作(Operations)] > [トラブルシューティング(Troubleshoot)] > [ログのダウンロード(Download Logs)])。 catalina.out ファイルは support\apache_logs ディレクトリにあります。ローカル証明書の有効期限の警告に関する情報を提供する監査ログ メッセージには、次の 2 種類があります。

証明書の有効期限まで 90 日未満:AuditMessage: 34100: Certificate.ExpirationInDays, Certificate.IssuedBy, Certificate.CertificateName, Certificate.IssuedTo

証明書の有効期限が切れている:AuditMessage: 34101: Certificate.ExpirationDate, Certificate.IssuedBy, Certificate.CertificateName, Certificate.IssuedTo

認証局証明書:ISE に提示されるリモート証明書の検証に使用されます。認証局証明書には、証明書信頼リスト(CTL)階層を形成する依存関係があります。この階層は最上位のルート認証局(CA)を使用して証明書に接続し、証明書の信頼性を検証します。

分散展開では、セカンダリ ノードをプライマリ ノードに登録するときに、セカンダリ ノードが有効な証明書を提示する必要があります。通常、セカンダリ ノードはローカル HTTPS 証明書を提示します。セカンダリ ノードとの直接接続を必要とする展開操作の認証を提供するには、セカンダリ ノードの HTTPS 証明書を検証するために使用できる適切な信頼証明書をプライマリ ノードの CTL に入力する必要があります。展開でセカンダリ ノードを登録する前に、プライマリ ノードの CTL に入力する必要があります。プライマリ ノードの CTL に入力しない場合は、ノードの登録が失敗します。また、ノードの登録は、何らかの理由で証明書の検証が失敗した場合にも失敗します。


) バックアップをスタンドアロン ISE ノードまたはプライマリ管理 ISE ノードから取得した後で、展開内の 1 つ以上のノードで証明書設定を変更した場合、データを復元するには別のバックアップを取得する必要があります。このようにする代わりに、古いバックアップを使用してデータを復元しようとした場合は、ノード間の通信ができなくなることがあります。


この章は、次の内容で構成されています。

「ローカル サーバ証明書」

「証明書署名要求」

「認証局証明書」

「Simple Certificate Enrollment Protocol プロファイル」

「OCSP サービス」

ローカル サーバ証明書

インストール後、デフォルトで、ISE によって自己署名ローカル証明書と秘密キーが生成され、サーバに格納されます。証明書ベースの認証では、ISE はインストール時に作成されたデフォルトの自己署名証明書を使用してクライアントに対して自身を認証します。この自己署名証明書は、HTTPS プロトコルと EAP プロトコルの両方について、クライアントを認証するために使用されます。この自己署名証明書は 1 年間有効であり、キーの長さは 1024 ビットに設定されています。生成時に、EAP プロトコルと HTTPS プロトコルの両方について、この証明書が使用されます。この定義は、他のローカル証明書をインポートまたは生成した後に変更できます。自己署名証明書では、ISE というホスト名が一般名(CN)として使用されます。これは、HTTPS 通信に必要であるためです。


) ノードで HTTPS ローカル証明書を変更した場合、そのノードに接続されている既存のブラウザ セッションは、新しい証明書に自動的には切り替えられません。新しい証明書を表示するには、ブラウザを再起動する必要があります。この注記は、Firefox と Internet Explorer 8 の両方のブラウザに適用されます。


現在、Cisco ISE では初期インストール後に自己署名証明書が自動的に作成されます。CA 署名付き証明書をインストールし、HTTPS と EAP のいずれかまたは両方で使用するように設定することを強く推奨します。CA 証明書と秘密キーをインポートするか、CA に CA 署名付き証明書を要求できます。CA 署名付き証明書を要求するには、Cisco ISE ユーザ インターフェイスから証明書署名要求(CSR)を生成し、エクスポートして CA に送信する必要があります。証明書は CA によって署名され、返されます。CA から返された証明書は、CSR とともに ISE に格納されている秘密キーとバインドする必要があります。この証明書は、秘密キーとバインドした後、HTTPS と EAP の一方または両方に対して設定できます。

ISE には、次の操作を実行できる Web インターフェイスが備えられています。

ローカル証明書とその秘密キーを、クライアント ブラウザを実行しているシステム上にあるファイルからインポートします。秘密キーは、暗号化することも非暗号化することもできます。秘密キーを暗号化した場合は、復号化するためのパスワードを指定する必要があります。ISE にインポートした後、秘密キーを Extensible Authentication Protocol-Transport Layer Security(EAP-TLS)相互認証、またはブラウザ クライアントと管理サーバ間の HTTPS 通信、あるいはその両方の証明書として指定できます。ISE では、基本の X509 証明書形式の証明書をチェックし、秘密キーが証明書の公開キーと一致するかどうかをチェックして複製の証明書を防ぎます。


) また、別の ISE サーバから証明書と秘密キーをエクスポートしたときに、インポート オプションを選択することもできます。別の ISE サーバから秘密キーをエクスポートするときに、秘密キーを暗号化するためのパスワードを指定する必要があります。証明書は、Privacy Enhanced Mail(PEM)形式および Distinguished Encoding Rules(DER)形式でのみインポートできます。


ISE に格納されているローカル証明書とその有効期限を表示します。

ローカル証明書を編集します。フレンドリ名、説明、およびプロトコルの関連付け(HTTPS と EAP の一方または両方)を変更できます。自己署名証明書の更新を要求して、有効期限を延長できます。

ローカル証明書を削除します。

自己署名証明書を生成します。

CSR を作成します。

クライアント ブラウザを実行しているシステム上にあるファイルに CSR をエクスポートし、証明書に署名する CA に CSR を転送します。

CSR を削除します。

CA 証明書をその秘密キーにバインドします。

ローカル証明書を複製の証明書で置き換えます。

この項では、次のトピックを扱います。

「ローカル証明書の表示」

「ローカル証明書の追加」

「ローカル証明書の編集」

「ローカル証明書の削除」

「ローカル証明書のエクスポート」

ローカル証明書の表示

[ローカル証明書(Local Certificate)] ページに、ISE に追加されたすべてのローカル証明書が一覧表示されます。

前提条件:

各 ISE 管理者アカウントには、1 つまたは複数の管理ロールが割り当てられています。次の手順で説明されている操作を実行するには、スーパー管理者またはシステム管理者のロールが割り当てられている必要があります。さまざまな管理ロールの詳細と、各ロールに関連付けられている権限については、 「Cisco ISE 管理者グループのロールおよび役割」 を参照してください。

ローカル証明書のリストを表示するには、次の手順を実行します。


ステップ 1 [管理(Administration)] > [システム(System)] > [証明書(Certificates)] を選択します。

ステップ 2 左側の [証明書操作(Certificate Operations)] ナビゲーション ペインで、[ローカル証明書(Local Certificates)] をクリックします。

[ローカル証明書(Local Certificate)] ページが表示され、図 13-1 に示すように、ローカル証明書に関する次の情報が表示されます。

[フレンドリ名(Friendly Name)]:証明書の名前。

[プロトコル(Protocol)]:証明書を使用するプロトコル。

[発行先(Issued To)]:証明書の発行先の証明書サブジェクトまたは CN。

通常、一般名は ISE ノードの完全修飾ドメイン名です。

[発行元(Issued By)]:証明書を発行したサーバ。

[有効開始日(Valid From)]:証明書が作成された日付。

[有効期限(Expiration Date)]:証明書の有効期限。

[有効期限切れステータス(Expiration Status)]:証明書有効期限切れのステータスに関する情報を表します。このカラムに表示される情報メッセージのアイコンとカテゴリは、次の 5 つです。

1. アクティブ(緑色のアイコン)

2. 有効期限まで 90 日未満(青色のアイコン)

3. 有効期限まで 60 日未満(黄色のアイコン)

4. 有効期限まで 30 日未満(オレンジ色のアイコン)

5. 有効期限切れ(赤色のアイコン)

図 13-1 ローカル証明書のリスト ページ

 


 

ローカル証明書の追加


) 秘密キーはローカル データベースに格納されず、関連ノードからコピーされないため、ISE 展開で分散セットアップに複数のノードがある場合は、展開の各ノードにローカル証明書を個別に追加する必要があります。


次のいずれかの方法でローカル証明書を ISE に追加できます。

「サーバ証明書のインポート」

「自己署名証明書の生成」

「証明書署名要求の生成」および「CA 署名付き証明書のバインド」

サーバ証明書のインポート

ローカル証明書をインポートする前に、クライアント ブラウザを実行しているシステム上にローカル証明書および秘密キーのファイルがあることを確認します。


) ノードで HTTPS ローカル証明書を変更した場合、そのノードに接続されている既存のブラウザ セッションは、新しい証明書に自動的には切り替えられません。新しい証明書を表示するには、ブラウザを再起動する必要があります。この注記は、Firefox と Internet Explorer 8 の両方のブラウザに適用されます。


前提条件:

各 ISE 管理者アカウントには、1 つまたは複数の管理ロールが割り当てられています。次の手順で説明されている操作を実行するには、スーパー管理者またはシステム管理者のロールが割り当てられている必要があります。さまざまな管理ロールの詳細と、各ロールに関連付けられている権限については、 「Cisco ISE 管理者グループのロールおよび役割」 を参照してください。

インポートするローカル証明書に基本制約拡張が含まれていて CA フラグが true に設定されている場合は、キー使用拡張が存在することと、keyEncipherment ビットと keyAgreement ビットの一方または両方が設定されていることを確認してください。

サーバ証明書をインポートするには、次の手順を実行します。


ステップ 1 [管理(Administration)] > [システム(System)] > [証明書(Certificates)] を選択します。

ステップ 2 左側の [証明書操作(Certificate Operations)] ナビゲーション ペインで、[ローカル証明書(Local Certificates)] をクリックします。


) ローカル証明書をセカンダリ ノードにインポートするには、[管理(Administration)] > [システム(System)] > [サーバ証明書(Server Certificate)] を選択します。


[ローカル証明書(Local Certificate)] ページが表示されます。

ステップ 3 [追加(Add)] > [ローカル サーバ証明書のインポート(Import Local Server Certificate)] を選択します。

図 13-2 に示すように、[ローカル サーバ証明書のインポート(Import Local Server Certificate)] ページが表示されます。

図 13-2 [ローカル サーバ証明書のインポート(Import Local Server Certificate)] ページ

 

ステップ 4 [参照(Browse)] をクリックして、クライアント ブラウザを実行しているシステムから証明書ファイルと秘密キーを選択します。

秘密キーが暗号化されている場合は、[パスワード(Password)] に入力して復号化します。

ステップ 5 証明書のフレンドリ名を指定する場合は、秘密キー パスワードの下の [フレンドリ名(Friendly Name)] フィールドに入力します。名前を指定しない場合は、 <common name> # <issuer> # <nnnnn> という形式の名前が自動的に作成されます。 <nnnnn> は一意の 5 桁の番号です。

ステップ 6 Cisco ISE によって証明書拡張の検証が行われるようにするには、[証明書拡張の検証の有効化(Enable Validation of Certificate Extensions)] オプションを有効にします。


) [証明書拡張の検証の有効化(Enable Validation of Certificate Extensions)] オプションが有効のときに、インポートする証明書に基本制約拡張が含まれていて認証局(CA)フラグが true に設定されている場合は、キー使用拡張が存在することと、「keyEncipherment」ビットと「keyAgreement」ビットの一方または両方が設定されていることを確認してください。


ステップ 7 [プロトコル(Protocol)] グループ ボックスで次のとおりに操作します。

この証明書を EAP プロトコルでの ISE ノードの識別に使用する場合は、[EAP] チェックボックスをオンにします。

この証明書を Web サーバ(GUI)の認証に使用する場合は、[管理インターフェイス(Management Interface)] チェックボックスをオンにします。


) [管理インターフェイス(Management Interface)] チェックボックスをオンにする場合は、証明書サブジェクトの CN の値がノードの完全修飾ドメイン名(FQDN)であることを確認してください。完全修飾ドメイン名でない場合、インポート プロセスは失敗します。


ステップ 8 [オーバーライド ポリシー(Override Policy)] 領域の [証明書の置き換え(Replace Certificate)] チェックボックスは、既存の証明書を複製の証明書で置き換える場合にオンにします。証明書が複製であると見なされるのは、既存の証明書とサブジェクトまたは発行者が同一であり、シリアル番号も同一である場合です。このオプションを選択すると、証明書の内容が更新されますが、その証明書に対する既存のプロトコル選択は維持されます。


) Cisco ISE が FIPS モードで動作するように設定されている場合は、証明書のサイズが 2048 ビットであることと、SHA-1 または SHA-256 の暗号化を使用することが必要です。


ステップ 9 [送信(Submit)] をクリックしてローカル証明書をインポートします。

ローカル証明書をプライマリ ISE ノードにインポートするときに、展開内のそのノードで管理インターフェイス オプションが有効になっている場合は、そのノード上のアプリケーション サーバが自動的に再起動されます。これに該当しない場合は、プライマリ ISE ノードに接続されているセカンダリ ノードを再起動する必要があります。

セカンダリ ノードを再起動するには、コマンドライン インターフェイス(CLI)で次のコマンドを入力します。

a. application stop ise

b. application start ise

これらのコマンドの詳細については、『 Cisco Identity Services Engine CLI Reference Guide, Release 1.1.x 』を参照してください。


 

自己署名証明書の生成

前提条件:

各 ISE 管理者アカウントには、1 つまたは複数の管理ロールが割り当てられています。次の手順で説明されている操作を実行するには、スーパー管理者またはシステム管理者のロールが割り当てられている必要があります。さまざまな管理ロールの詳細と、各ロールに関連付けられている権限については、 「Cisco ISE 管理者グループのロールおよび役割」 を参照してください。

自己署名証明書を生成するには、次の手順を実行します。


ステップ 1 [管理(Administration)] > [システム(System)] > [証明書(Certificates)] を選択します。

ステップ 2 左側の [証明書操作(Certificate Operations)] ナビゲーション ペインで、[ローカル証明書(Local Certificates)] をクリックします。


) セカンダリ ノードから自己署名証明書を生成するには、[管理(Administration)] > [システム(System)] > [サーバ証明書(Server Certificate)] を選択します。


[ローカル証明書(Local Certificate)] ページが表示されます。

ステップ 3 [追加(Add)] > [自己署名証明書の生成(Generate Self Signed Certificate)] を選択します。

図 13-3 に示すように、[自己署名証明書の生成(Generate Self Signed Certificate)] ページが表示されます。

図 13-3 自己署名証明書の生成ページ

 

ステップ 4 次の情報を入力します。

[証明書サブジェクト(Certificate Subject)]:証明書に関連付けられているエンティティを識別する識別名(DN)。 DN には一般名(CN)値が含まれている必要があります。

必要な [キーの長さ(Key Length)]:有効な値は 512、1024、2048、4096 です。(Cisco ISE を FIPS 準拠のポリシー管理エンジンとして展開する場合は、2048 ビット以上のキーの長さを指定する必要があります)。

[署名するダイジェスト(Digest to Sign With)]:SHA-1 または SHA-256 を使用して証明書を暗号化および復号化できます。

証明書の [有効期限(Expiration)]。期間を日、週、月、または年単位で指定できます。

証明書のフレンドリ名を指定する場合は、秘密キー パスワードの下の [フレンドリ名(Friendly Name)] フィールドに入力します。名前を指定しない場合は、 <common name> # <issuer> # <nnnnn> という形式の名前が自動的に作成されます。 <nnnnn> は一意の 5 桁の番号です。

ステップ 5 [プロトコル(Protocol)] グループ ボックスで次のとおりに操作します。

この証明書を EAP プロトコルでの ISE ノードの識別に使用する場合は、[EAP] チェックボックスをオンにします。

この証明書を Web サーバ(GUI)の認証に使用する場合は、[管理インターフェイス(Management Interface)] チェックボックスをオンにします。この機能を初めて有効にする場合は、Cisco ISE を再起動する必要もあります。


) [管理インターフェイス(Management Interface)] チェックボックスをオンにする場合は、証明書サブジェクトの CN の値がノードの FQDN であることを確認してください。そうでない場合、自己署名証明書は生成されません。


ステップ 6 [オーバーライド ポリシー(Override Policy)] 領域の [証明書の置き換え(Replace Certificate)] チェックボックスは、既存の証明書を複製の証明書で置き換える場合にオンにします。証明書が複製であると見なされるのは、既存の証明書とサブジェクトまたは発行者が同一であり、シリアル番号も同一である場合です。このオプションを選択すると、証明書の内容が更新されますが、その証明書に対する既存のプロトコル選択は維持されます。

ステップ 7 [送信(Submit)] をクリックしてローカル証明書をインポートします。

ローカル証明書をプライマリ ISE ノードにインポートするときに、展開内のそのノードで管理インターフェイス オプションが有効になっている場合は、そのノード上のアプリケーション サーバが自動的に再起動されます。これに該当しない場合は、プライマリ ISE ノードに接続されているセカンダリ ノードを再起動する必要があります。

セカンダリ ノードを再起動するには、コマンドライン インターフェイス(CLI)で次のコマンドを入力します。

a. application stop ise

b. application start ise

これらのコマンドの詳細については、『 Cisco Identity Services Engine CLI Reference Guide, Release 1.1.1 』を参照してください。


 


) 自己署名証明書を使用しており、Cisco ISE ノードのホスト名を変更する必要がある場合、ISE では、ホスト名の変更後も引き続き古いホスト名の自己署名証明書が使用されます。Cisco ISE ノードの管理ユーザ インターフェイスにログインし、古いホスト名の既存の自己署名証明書を削除し、新しい自己署名証明書を生成する必要があります。


証明書署名要求の生成

前提条件:

各 ISE 管理者アカウントには、1 つまたは複数の管理ロールが割り当てられています。次の手順で説明されている操作を実行するには、スーパー管理者またはシステム管理者のロールが割り当てられている必要があります。さまざまな管理ロールの詳細と、各ロールに関連付けられている権限については、 「Cisco ISE 管理者グループのロールおよび役割」 を参照してください。

証明書署名要求(CSR)を生成するには、次の手順を実行します。


ステップ 1 [管理(Administration)] > [システム(System)] > [証明書(Certificates)] を選択します。

ステップ 2 左側の [証明書操作(Certificate Operations)] ナビゲーション ペインで、[ローカル証明書(Local Certificates)] をクリックします。


) セカンダリ ノードから CSR を生成するには、[管理(Administration)] > [システム(System)] > [サーバ証明書(Server Certificate)] を選択します。


[ローカル証明書(Local Certificate)] ページが表示されます。

ステップ 3 [追加(Add)] > [証明書署名要求の生成(Generate Certificate Signing Request)] を選択します。

図 13-4 に示すように、[証明書署名要求の生成(Generate Certificate Signing Request)] ページが表示されます。

図 13-4 証明書署名要求の生成

 

ステップ 4 証明書サブジェクトおよび必要なキーの長さを入力します。証明書サブジェクトは、証明書に関連付けられているエンティティを識別する識別名(DN)です。DN には一般名の値が含まれている必要があります。識別名の要素は次のとおりです。

C = 国

S = テスト州または都道府県

L = テスト地名(都市)

O = 組織名

OU = 組織ユニット名

CN = 一般名

E = 電子メール アドレス

CSR の証明書サブジェクトの例は、「CN=Host-ISE.cisco.com, OU=Cisco O=security, C=US, S=NC, L=RTP, e=test@test.com.」のようになります。


) [証明書サブジェクト(Certificate Subject)] フィールドに入力するときは、文字列を引用符でカプセル化しないでください。



) この CSR から生成された証明書を HTTPS 通信(管理インターフェイス)に使用する場合は、証明書サブジェクトの CN の値がノードの FQDN であることを確認してください。そうでない場合は、生成された証明書をバインドするときに管理インターフェイスを選択できません。


ステップ 5 SHA-1 または SHA-256 を使用して証明書を暗号化および復号化することを選択します。


) Cisco ISE が FIPS モードで動作するように設定されている場合は、証明書のサイズが 2048 ビットであることと、SHA-1 または SHA-256 の暗号化を使用することが必要です。


ステップ 6 [送信(Submit)] をクリックして CSR を生成します。

CSR とその秘密キーが生成され、ISE に保存されます。この CSR は、[証明書署名要求(Certificate Signing Requests)] ページで表示できます。CSR をエクスポートし、CA に送信して署名を取得できます。


 

CA 署名付き証明書のバインド

CSR が CA によって署名され、返された後、このプロセスを使用して CA 署名付き証明書を秘密キーにバインドします。バインド機能を使用して、展開内の別の Cisco ISE ボックスからエクスポートした CA 署名付き証明書とそのそれぞれの秘密キーをインポートすることもできます。

前提条件:

各 ISE 管理者アカウントには、1 つまたは複数の管理ロールが割り当てられています。次の手順で説明されている操作を実行するには、スーパー管理者またはシステム管理者のロールが割り当てられている必要があります。さまざまな管理ロールの詳細と、各ロールに関連付けられている権限については、 「Cisco ISE 管理者グループのロールおよび役割」 を参照してください。

バインドする証明書に基本制約拡張が含まれていて CA フラグが true に設定されている場合は、キー使用拡張が存在することと、keyEncipherment ビットと keyAgreement ビットの一方または両方が設定されていることを確認してください。

CA 署名付き証明書をバインドするには、次の手順を実行します。


ステップ 1 [管理(Administration)] > [システム(System)] > [証明書(Certificates)] を選択します。

ステップ 2 左側の [証明書操作(Certificate Operations)] ナビゲーション ペインで、[ローカル証明書(Local Certificates)] をクリックします。


) CA 署名付き証明書をセカンダリ ノードにバインドするには、[管理(Administration)] > [システム(System)] > [サーバ証明書(Server Certificate)] を選択します。


[ローカル証明書(Local Certificate)] ページが表示されます。

ステップ 3 [追加(Add)] > [CA 証明書のバインド(Bind CA Certificate)] を選択します。

図 13-5 に示すように、[CA 署名付き証明書のバインド(Bind CA Signed Certificate)] ページが表示されます。

図 13-5 CA 署名付き証明書のバインド

 

ステップ 4 [参照(Browse)] をクリックし、CA 署名付き証明書を選択します。

ステップ 5 証明書のフレンドリ名を指定する場合は、秘密キー パスワードの下の [フレンドリ名(Friendly Name)] フィールドに入力します。名前を指定しない場合は、 <common name> # <issuer> # <nnnnn> という形式の名前が自動的に作成されます。 <nnnnn> は一意の 5 桁の番号です。

ステップ 6 Cisco ISE によって証明書拡張の検証が行われるようにするには、[証明書拡張の検証の有効化(Enable Validation of Certificate Extensions)] オプションを有効にします。


) [証明書拡張の検証の有効化(Enable Validation of Certificate Extensions)] オプションが有効のときに、インポートする証明書に基本制約拡張が含まれていて認証局(CA)フラグが true に設定されている場合は、キー使用拡張が存在することと、「keyEncipherment」ビットと「keyAgreement」ビットの一方または両方が設定されていることを確認してください。


ステップ 7 [プロトコル(Protocol)] グループ ボックスで次のとおりに操作します。

この証明書を EAP プロトコルでの ISE ノードの識別に使用する場合は、[EAP] チェックボックスをオンにします。

この証明書を Web サーバ(GUI)の認証に使用する場合は、[管理インターフェイス(Management Interface)] チェックボックスをオンにします。


) [管理インターフェイス(Management Interface)] チェックボックスをオンにする場合は、証明書サブジェクトの CN の値がノードの FQDN であることを確認してください。完全修飾ドメイン名でない場合、バインド操作は失敗します。


ステップ 8 [オーバーライド ポリシー(Override Policy)] 領域の [証明書の置き換え(Replace Certificate)] チェックボックスは、既存の証明書を複製の証明書で置き換える場合にオンにします。証明書が複製であると見なされるのは、既存の証明書とサブジェクトまたは発行者が同一であり、シリアル番号も同一である場合です。このオプションを選択すると、証明書の内容が更新されますが、その証明書に対する既存のプロトコル選択は維持されます。

ステップ 9 [送信(Submit)] をクリックし、CA 署名付き証明書をバインドします。


 

ローカル証明書の編集

前提条件:

各 ISE 管理者アカウントには、1 つまたは複数の管理ロールが割り当てられています。次の手順で説明されている操作を実行するには、スーパー管理者またはシステム管理者のロールが割り当てられている必要があります。さまざまな管理ロールの詳細と、各ロールに関連付けられている権限については、 「Cisco ISE 管理者グループのロールおよび役割」 を参照してください。

ローカル証明書を編集するには、次の手順を実行します。


ステップ 1 [管理(Administration)] > [システム(System)] > [証明書(Certificates)] を選択します。

ステップ 2 左側の [証明書操作(Certificate Operations)] ナビゲーション ペインで、[ローカル証明書(Local Certificates)] をクリックします。


) ローカル証明書をセカンダリ ノードで編集するには、[管理(Administration)] > [システム(System)] > [サーバ証明書(Server Certificate)] を選択します。


[ローカル証明書(Local Certificate)] ページが表示されます。

ステップ 3 編集する証明書の隣のチェックボックスをオンにして、[編集(Edit)] をクリックします。

ページが更新され、図 13-6 に示すように、ローカル証明書に関する情報が一覧表示されます。

図 13-6 ローカル証明書の編集ページ

 

次の情報を編集できます。

フレンドリ名(Friendly Name)

説明(Description)

プロトコル(Protocols)

有効期限 TTL(Expiration TTL)(証明書が自己署名の場合)

ステップ 4 同じ証明書サブジェクトの証明書が多数ある場合にこの証明書を識別しやすいように、フレンドリ名を入力します。

ステップ 5 任意で説明を入力します。

ステップ 6 [プロトコル(Protocol)] グループ ボックスで次のとおりに操作します。

この証明書を EAP プロトコルでの ISE ノードの識別に使用する場合は、[EAP] チェックボックスをオンにします。

この証明書を Web サーバ(GUI)の認証に使用する場合は、[管理インターフェイス(Management Interface)] チェックボックスをオンにします。


) [管理インターフェイス(Management Interface)] チェックボックスをオンにする場合は、証明書サブジェクトの CN の値がノードの FQDN であることを確認してください。そうでない場合、編集操作は失敗します。


たとえば、現在 local_certificate_1 が EAP に対して指定されており、local_certificate_2 の編集時に [EAP] チェックボックスをオンにした場合、local_certificate_2 への変更を保存した後は、local_certificate_1 の EAP への関連付けは解除されています。

ステップ 7 自己署名証明書を更新するには、[自己署名証明書の更新(Renew Self Signed Certificate)] チェックボックスをオンにして、有効期限存続可能時間(TTL)を日、週、月、または年単位で入力します。

ステップ 8 [保存(Save)] をクリックして変更を保存します。

展開内のそのノードで管理インターフェイス オプションが有効になっている場合は、そのノード上のアプリケーション サーバが自動的に再起動されます。これに該当しない場合は、プライマリ ISE ノードに接続されているセカンダリ ノードを再起動する必要があります。

セカンダリ ノードを再起動するには、コマンドライン インターフェイス(CLI)で次のコマンドを入力します。

a. application stop ise

b. application start ise

これらのコマンドの詳細については、『 Cisco Identity Services Engine CLI Reference Guide, Release 1.1.x 』を参照してください。


 

ローカル証明書の削除

前提条件:

各 ISE 管理者アカウントには、1 つまたは複数の管理ロールが割り当てられています。次の手順で説明されている操作を実行するには、スーパー管理者またはシステム管理者のロールが割り当てられている必要があります。さまざまな管理ロールの詳細と、各ロールに関連付けられている権限については、 「Cisco ISE 管理者グループのロールおよび役割」 を参照してください。

ローカル証明書を削除するには、次の手順を実行します。


ステップ 1 [管理(Administration)] > [システム(System)] > [証明書(Certificates)] を選択します。

ステップ 2 左側の [証明書操作(Certificate Operations)] ナビゲーション ペインで、[ローカル証明書(Local Certificates)] をクリックします。


) ローカル証明書をセカンダリ ノードから削除するには、[管理(Administration)] > [システム(System)] > [サーバ証明書(Server Certificate)] を選択します。


[ローカル証明書(Local Certificate)] ページが表示されます。

ステップ 3 削除する証明書の隣にあるチェックボックスをオンにし、[削除(Delete)] をクリックします。

ステップ 4 ポップアップ ダイアログボックスに次の情報が表示されます。

選択されている項目を削除しますか?(Are you sure you want to delete the selected item(s)?)

ステップ 5 [OK] をクリックして、ローカル証明書を削除します。


 

ローカル証明書のエクスポート

選択したローカル証明書、または証明書と秘密キーをエクスポートできます。

前提条件:

各 ISE 管理者アカウントには、1 つまたは複数の管理ロールが割り当てられています。次の手順で説明されている操作を実行するには、スーパー管理者またはシステム管理者のロールが割り当てられている必要があります。さまざまな管理ロールの詳細と、各ロールに関連付けられている権限については、 「Cisco ISE 管理者グループのロールおよび役割」 を参照してください。

ローカル証明書をエクスポートするには、次の手順を実行します。


ステップ 1 [管理(Administration)] > [システム(System)] > [証明書(Certificates)] を選択します。

ステップ 2 左側の [証明書操作(Certificate Operations)] ナビゲーション ペインで、[ローカル証明書(Local Certificates)] をクリックします。


) ローカル証明書をセカンダリ ノードからエクスポートするには、[管理(Administration)] > [システム(System)] > [サーバ証明書(Server Certificate)] を選択します。


[ローカル証明書(Local Certificate)] ページが表示されます。

ステップ 3 エクスポートする証明書の隣にあるチェックボックスをオンにし、[エクスポート(Export)] をクリックします。

図 13-7 に示すように、[エクスポートする証明書コンポーネントの選択(Select Certificate Components to Export)] ダイアログボックスが表示されます。

図 13-7 ローカル証明書のエクスポート

 

証明書のみをエクスポートするか、または証明書と秘密キーをエクスポートするかを選択できます。

値が公開される可能性があるため、証明書に関連付けられている秘密キーのエクスポートは推奨しません。秘密キーをエクスポートする必要がある場合は、秘密キーの暗号化パスワードを指定してください。このパスワードは、証明書を別の ISE サーバにインポートするときに指定して、秘密キーを復号化する必要があります。


) エクスポートする証明書が、以前に暗号化された秘密キーとともに ISE にインポートされた証明書である場合は、2 回目にエクスポートするときに同じパスワードを再度使用する必要はありません。


ステップ 4 エクスポートする証明書コンポーネントを選択します。

ステップ 5 秘密キーをエクスポートする場合は、パスワードを入力します。パスワードは、8 文字以上にする必要があります。

ステップ 6 [OK] をクリックして、クライアント ブラウザを実行しているファイル システムに証明書を保存します。

証明書のみをエクスポートする場合、証明書は Privacy Enhanced Mail 形式で保存されます。証明書と秘密キーの両方をエクスポートする場合、証明書は Privacy Enhanced Mail 形式の証明書と暗号化された秘密キー ファイルを含む .zip ファイルとしてエクスポートされます。


 

証明書署名要求

作成した CSR のリストは、[証明書署名要求(Certificate Signing Requests)] ページで使用できます。CA から署名を取得するには、クライアント ブラウザを実行しているローカル ファイル システムに CSR をエクスポートする必要があります。その後 CA に証明書を送信します。証明書は CA によって署名され、返されます。[証明書署名要求(Certificate Signing Requests)] ページでは、ローカル ファイル システムに CSR をエクスポートできます。


) ISE 展開で分散セットアップに複数のノードがある場合は、展開内の各ノードから CSR を個別にエクスポートする必要があります。


この項では、次のトピックを扱います。

「証明書署名要求の表示およびエクスポート」

「証明書署名要求の削除」

証明書署名要求の表示およびエクスポート

前提条件:

各 ISE 管理者アカウントには、1 つまたは複数の管理ロールが割り当てられています。次の手順で説明されている操作を実行するには、スーパー管理者またはシステム管理者のロールが割り当てられている必要があります。さまざまな管理ロールの詳細と、各ロールに関連付けられている権限については、 「Cisco ISE 管理者グループのロールおよび役割」 を参照してください。

CSR を表示するには、次の手順を完了します。


ステップ 1 [管理(Administration)] > [システム(System)] > [証明書(Certificates)] を選択します。

ステップ 2 左側の [証明書操作(Certificate Operations)] ナビゲーション ペインで、[証明書署名要求(Certificate Signing Requests)] をクリックします。


) セカンダリ ノードから CSRs を表示またはエクスポートするには、[管理(Administration)] > [システム(System)] > [証明書署名要求(Certificate Signing Requests)] を選択します。


図 13-8 に示すように、CSR のリストを含む [証明書署名要求(Certificate Signing Requests)] ページが表示されます。

図 13-8 証明書署名要求

 

ステップ 3 エクスポートする証明書の隣にあるチェックボックスをオンにし、[エクスポート(Export)] をクリックします。

ステップ 4 [OK] をクリックして、クライアント ブラウザを実行しているファイル システムにファイルを保存します。


 

証明書署名要求の削除

前提条件:

各 ISE 管理者アカウントには、1 つまたは複数の管理ロールが割り当てられています。次の手順で説明されている操作を実行するには、スーパー管理者またはシステム管理者のロールが割り当てられている必要があります。さまざまな管理ロールの詳細と、各ロールに関連付けられている権限については、 「Cisco ISE 管理者グループのロールおよび役割」 を参照してください。

CSR を削除するには、次の手順を実行します。


ステップ 1 [管理(Administration)] > [システム(System)] > [証明書(Certificates)] を選択します。

ステップ 2 左側の [証明書操作(Certificate Operations)] ナビゲーション ペインで、[証明書署名要求(Certificate Signing Requests)] をクリックします。


) セカンダリ ノードから CSR を削除するには、[管理(Administration)] > [システム(System)] > [証明書署名要求(Certificate Signing Requests)] を選択します。


CSR のリストを含む [証明書署名要求(Certificate Signing Requests)] ページが表示されます。

ステップ 3 削除する証明書の隣にあるチェックボックスをオンにし、[削除(Delete)] をクリックします。

次のメッセージが表示されます。

選択されている項目を削除しますか?(Are you sure you want to delete the selected item(s)?)

ステップ 4 [OK] をクリックして CSR を削除します。


 

認証局証明書

認証局(CA)証明書は、Cisco ISE に提示されるクライアントおよびサーバ証明書のアイデンティティを検証するために使用される信頼できる証明書です。CA によって発行されるデジタル証明書には、公開キーとユーザのアイデンティティが含まれています。CA からの認証局証明書を要求し、ISE にインポートする必要があります。複数の認証局証明書をインポートする場合は、認証局証明書によって証明書信頼リスト(CTL)が形成されます。クライアントによって認証要求が送信されると、ISE は CTL に対してクライアント証明書を検証します。クライアントの証明書が CTL に存在する CA によって発行されている場合、ISE はクライアントを認証します。

ISE には、次の操作を実行できる Web インターフェイスが備えられています。

クライアント ブラウザを実行しているシステム上にあるファイルから認証局証明書をインポートします。証明書ファイルには、Privacy Enhanced Mail または DER 形式の X509 証明書が含まれている必要があります。インポート後、TLS 関連 EAP プロトコルで直接信頼される証明書であることを示す拡張認証プロトコル証明書信頼リスト(EAP-CTL)として証明書を定義できます。

認証局証明書を検証します。

ISE ノード上の認証局証明書のリストを表示します。

認証局証明書を削除します。

認証局証明書を編集します。フレンドリ名と説明、EAP プロトコルに対する信頼指定、および証明書失効リスト(CRL)コンフィギュレーションを編集できます。

クライアント ブラウザを実行するシステム上にあるファイルに認証局証明書をエクスポートします。


) ステータスが変更された(たとえば、スタンドアロンに戻されたノード ステータス)ノードを登録解除する場合は、証明書信頼ストアを調べて、認証局証明書表にリストされている証明書が現在も適用されるかどうか、または現在も有効な証明書であるかどうかを確認する必要があります。分散展開に含まれなくなったために不要になった証明書は削除できます。ただし、ノードを登録解除した場合、対応する証明書ストアは ISE によって自動的に変更または更新されません。不要になった証明書はすべて手動で削除する必要があります。


この項では、次のトピックを扱います。

「認証局証明書の表示」

「認証局証明書の追加」

「認証局証明書の編集」

「認証局証明書の削除」

「認証局証明書のエクスポート」

「証明書チェーンのインポート」

「プライマリ ISE ノードでの証明書信頼リストの作成」

認証局証明書の表示

[認証局証明書(Certificate Authority Certificates)] ページに、ISE に追加されたすべての証明書が一覧表示されます。

前提条件:

各 ISE 管理者アカウントには、1 つまたは複数の管理ロールが割り当てられています。次の手順で説明されている操作を実行するには、スーパー管理者またはシステム管理者のロールが割り当てられている必要があります。さまざまな管理ロールの詳細と、各ロールに関連付けられている権限については、 「Cisco ISE 管理者グループのロールおよび役割」 を参照してください。

認証局証明書を表示するには、次の手順を実行します。


ステップ 1 [管理(Administration)] > [システム(System)] > [証明書(Certificates)] を選択します。

ステップ 2 左側の [証明書操作(Certificate Operations)] ナビゲーション ペインで、[認証局証明書(Certificate Authority Certificates)] をクリックします。

図 13-9 に示すように、[認証局証明書(Certificate Authority Certificates)] ページが表示されます。

図 13-9 認証局証明書

 

このページには、認証局証明書に関する次の情報が表示されます。

[フレンドリ名(Friendly Name)]:認証局証明書の名前。

[発行先(Issued To)]:証明書の発行先の証明書サブジェクトまたは会社名。

[発行元(Issued By)]:証明書を発行した CA。

[有効開始日(Valid From)]:証明書が発行された日付。

[有効期限(Expiration)]:認証局証明書の有効期限。

[有効期限切れステータス(Expiration Status)]:証明書有効期限切れのステータスに関する情報を表します。このカラムに表示される情報メッセージのアイコンとカテゴリは、次の 5 つです。

1. アクティブ(緑色のアイコン)

2. 有効期限まで 90 日未満(青色のアイコン)

3. 有効期限まで 60 日未満(黄色のアイコン)

4. 有効期限まで 30 日未満(オレンジ色のアイコン)

5. 有効期限切れ(赤色のアイコン)

認証局証明書の追加


) 認証局証明書を追加する前に、認証局証明書が、クライアント ブラウザを実行しているファイル システム上にあることを確認します。


前提条件:

各 ISE 管理者アカウントには、1 つまたは複数の管理ロールが割り当てられています。次の手順で説明されている操作を実行するには、スーパー管理者またはシステム管理者のロールが割り当てられている必要があります。さまざまな管理ロールの詳細と、各ロールに関連付けられている権限については、 「Cisco ISE 管理者グループのロールおよび役割」 を参照してください。

認証局証明書を追加するには、次の手順を実行します。


ステップ 1 [管理(Administration)] > [システム(System)] > [証明書(Certificates)] を選択します。

ステップ 2 左側の [証明書操作(Certificate Operations)] ナビゲーション ペインで、[認証局証明書(Certificate Authority Certificates)] をクリックします。

[認証局証明書(Certificate Authority Certificates)] ページが表示されます。

ステップ 3 [追加(Add)] をクリックします。

図 13-10 に示すように、[新しい信頼できる CA(認証局)証明書のインポート(Import a new Trusted CA (Certificate Authority) Certificate)] ページが表示されます。

図 13-10 信頼できる CA のインポート ページ

 

ステップ 4 [参照(Browse)] をクリックして、クライアント ブラウザを実行しているファイル システムから認証局証明書を選択します。

ステップ 5 証明書のフレンドリ名を指定する場合は、秘密キー パスワードの下の [フレンドリ名(Friendly Name)] フィールドに入力します。名前を指定しない場合は、 <common name> # <issuer> # <nnnnn> という形式の名前が自動的に作成されます。 <nnnnn> は一意の 5 桁の番号です。

ステップ 6 この証明書を信頼リストで使用する場合は、[クライアント認証用に信頼する(Trust for client authentication)] チェックボックスをオンにします。


) [クライアント認証用に信頼する(Trust for client authentication)] オプションと [証明書拡張の検証の有効化(Enable Validation of Certificate Extensions)] オプションの両方をオンにする場合は、「keyUsage」拡張が存在し、「keyCertSign」ビットが設定されていることと、基本制約拡張が存在し、CA フラグが true に設定されていることを確認してください。


ステップ 7 任意で説明を追加します。

ステップ 8 認証局証明書を保存するには、[送信(Submit)] をクリックします。

クライアント証明書ベースの認証が有効のときは、Cisco ISE によって、展開内の各ノード上のアプリケーション サーバが再起動されます。このときに、プライマリ管理ノード上のアプリケーション サーバが最初に起動され、その後で他のノードのアプリケーション サーバが 1 つずつ順に起動されます。

これらのコマンドの詳細については、『 Cisco Identity Services Engine CLI Reference Guide, Release 1.1.x 』を参照してください。


 

認証局証明書の編集

前提条件:

各 ISE 管理者アカウントには、1 つまたは複数の管理ロールが割り当てられています。次の手順で説明されている操作を実行するには、スーパー管理者またはシステム管理者のロールが割り当てられている必要があります。さまざまな管理ロールの詳細と、各ロールに関連付けられている権限については、 「Cisco ISE 管理者グループのロールおよび役割」 を参照してください。

認証局証明書を編集するには、次の手順を実行します。


ステップ 1 [管理(Administration)] > [システム(System)] > [証明書(Certificates)] を選択します。

ステップ 2 左側の [証明書操作(Certificate Operations)] ナビゲーション ペインで、[認証局証明書(Certificate Authority Certificates)] をクリックします。

[認証局証明書(Certificate Authority Certificates)] ページが表示されます。

ステップ 3 編集する証明書の隣のチェックボックスをオンにして、[編集(Edit)] をクリックします。

ページが更新され、図 13-11 に示すように、認証局証明書に関する情報が一覧表示されます。

図 13-11 認証局証明書の編集ページ

 

次の情報を編集できます。

フレンドリ名(Friendly Name)

説明(Description)

使用方法(Usage)

証明書失効リストの設定(Certificate Revocation List Configuration)

ステップ 4 この証明書を容易に識別するために一意の名前を入力します。

ステップ 5 任意で説明を入力します。

ステップ 6 この証明書を信頼リストで使用する場合は、[クライアント認証用に信頼する(Trust for client authentication)] チェックボックスをオンにします。


) [クライアント認証用に信頼する(Trust for client authentication)] オプションと [証明書拡張の検証の有効化(Enable Validation of Certificate Extensions)] オプションの両方をオンにする場合は、「keyUsage」拡張が存在し、「keyCertSign」ビットが設定されていることと、基本制約拡張が存在し、CA フラグが true に設定されていることを確認してください。


ステップ 7 証明書の検証において常に OCSP サービスが最初に試行されるように、[証明書ステータス検証(Certificate Status Validation)] グループ ボックスで、次のチェックボックスをオンにします。

a. OCSP サービスに対して検証する(Validate Against OCSP Service)

b. OCSP によって証明書ステータスを判別できなかった場合は要求を拒否する(Reject the request if certificate status could not be determined by OCSP)

OCSP サービスの詳細については、「OCSP サービス」を参照してください。

ステップ 8 [証明書失効リストの設定(Certificate Revocation List Configuration)] グループ ボックスで、次の手順を実行します。

a. ISE の [CRL のダウンロード(Download CRL)] チェックボックスをオンにして、CRL をダウンロードします。

b. [URL 配布(URL Distribution)] テキスト ボックスに、CA から CRL をダウンロードするための URL を入力します。認証局証明書で指定されている場合、このフィールドは自動的に読み込まれます。URL は、「http」または「https」で始まる必要があります。

CRL は、自動的または定期的にダウンロードできます。

c. 前の CRL 更新が期限切れになる前に CRL を自動的にダウンロードする場合は、ダウンロードの時間間隔を分、時間、日、または週単位で設定できます。

d. ISE が CRL のダウンロードを再試行するまでに待機する時間間隔を分、時間、日、または週単位で設定します。

e. [CRL を受信しない場合 CRL 検証をバイパスする(Bypass CRL Verification if CRL is not Received)] チェックボックスをオフにした場合、選択した CA によって署名された証明書を使用するすべてのクライアント要求は ISE が CRL ファイルを受信するまで拒否されます。このチェックボックスをオンにした場合、クライアント要求は CRL が受信される前に受け入れられます。

f. [まだ有効になっていないか、または有効期限が切れている CRL を無視する(Ignore CRL that is not yet valid or expired)] チェックボックスをオフにした場合、ISE は CRL ファイルについて [有効日(Effective Date)] フィールドの開始日および [次の更新(Next Update)] フィールドの有効期限をチェックします。CRL がまだアクティブではないか、または期限切れの場合、その CA によって署名された証明書を使用するすべての認証は拒否されます。このチェックボックスをオンにした場合、ISE は開始日および有効期限を無視し、まだアクティブでない、または有効期限が切れた CRL を引き続き使用し、CRL の内容に基づいて EAP-TLS 認証を許可または拒否します。

ステップ 9 [保存(Save)] をクリックして、認証局証明書に対する変更を保存します。

これらのコマンドの詳細については、『 Cisco Identity Services Engine CLI Reference Guide, Release 1.1.x 』を参照してください。


 

認証局証明書の削除

前提条件:

各 ISE 管理者アカウントには、1 つまたは複数の管理ロールが割り当てられています。次の手順で説明されている操作を実行するには、スーパー管理者またはシステム管理者のロールが割り当てられている必要があります。さまざまな管理ロールの詳細と、各ロールに関連付けられている権限については、 「Cisco ISE 管理者グループのロールおよび役割」 を参照してください。

認証局証明書を削除するには、次の手順を実行します。


ステップ 1 [管理(Administration)] > [システム(System)] > [証明書(Certificates)] を選択します。

ステップ 2 左側の [証明書操作(Certificate Operations)] ナビゲーション ペインで、[認証局証明書(Certificate Authority Certificates)] をクリックします。

[認証局証明書(Certificate Authority Certificates)] ページが表示されます。

ステップ 3 削除する証明書の隣にあるチェックボックスをオンにし、[削除(Delete)] をクリックします。

次のメッセージが表示されます。

削除してもよろしいですか?(Are you sure you want to delete?)

ステップ 4 [OK] をクリックして認証局証明書を削除します。

クライアント証明書ベースの認証が有効のときは、Cisco ISE によって、展開内の各ノード上のアプリケーション サーバが再起動されます。このときに、プライマリ管理ノード上のアプリケーション サーバが最初に起動され、その後で他のノードのアプリケーション サーバが 1 つずつ順に起動されます。


 

認証局証明書のエクスポート

前提条件:

各 ISE 管理者アカウントには、1 つまたは複数の管理ロールが割り当てられています。次の手順で説明されている操作を実行するには、スーパー管理者またはシステム管理者のロールが割り当てられている必要があります。さまざまな管理ロールの詳細と、各ロールに関連付けられている権限については、 「Cisco ISE 管理者グループのロールおよび役割」 を参照してください。

認証局証明書をエクスポートするには、次の手順を実行します。


ステップ 1 [管理(Administration)] > [システム(System)] > [証明書(Certificates)] を選択します。

ステップ 2 左側の [証明書操作(Certificate Operations)] ナビゲーション ペインで、[認証局証明書(Certificate Authority Certificates)] をクリックします。

[認証局証明書(Certificate Authority Certificates)] ページが表示されます。

ステップ 3 エクスポートする証明書の隣にあるチェックボックスをオンにし、[エクスポート(Export)] をクリックします。


) 一度に 1 つの証明書のみをエクスポートできます。


ステップ 4 クライアント ブラウザを実行しているファイル システムに Privacy Enhanced Mail ファイルを保存します。


 

証明書チェーンのインポート

証明書チェーンを含むファイルから証明書をインポートできます。ISE では、チェーンのインポートに Privacy Enhanced Mail 形式がサポートされており、各 Privacy Enhanced Mail エンコード証明書は、最初のルート CA 証明書から最後の証明書(エンド エンティティ)まで正しい順序で表示されます。たとえば、 n 個の証明書がある場合、証明書 1 ~ n - 1 は信頼リストに属するルートまたは CA 証明書であると見なされ、 n 番目の証明書はローカル証明書ストアからのエンド エンティティ証明書であると見なされます。関連付けられている秘密キー ファイルは、 n 番目の(エンド エンティティ)証明書に属します。この形式と規則に厳密に従っていることを確認します。

証明書チェーンのインポートは、次の 2 つのステップのプロセスです。

証明書チェーン ファイルを認証局証明書リストにインポートします。証明書チェーンをインポートする方法については、「認証局証明書の追加」を参照してください。Cisco ISE は最後の証明書以外のすべての証明書を信頼できる証明書リストに配置します。

証明書チェーン ファイルをローカル証明書ストアにインポートします。証明書チェーンをインポートする方法については、「サーバ証明書のインポート」を参照してください。Cisco ISE は最後の証明書( n 番目の証明書)をローカル証明書ストアに配置します。

プライマリ ISE ノードでの証明書信頼リストの作成

分散展開では、セカンダリ ノードを登録する前に、セカンダリ ノードの HTTPS 証明書を検証するために使用できる適切な CA 証明書をプライマリ ノードの CTL に入力する必要があります。プライマリ ノードの CTL に入力する手順は、シナリオに応じて異なります。

セカンダリ ノードで HTTPS 通信に CA 署名付き証明書が使用されている場合は、適切な CA 証明書をプライマリ ノードの CTL にインポートできます。詳細については、「ルートおよび CA 証明書のプライマリ ノードの CTL へのインポート」を参照してください。

セカンダリ ノードで HTTPS 通信に CA 署名付き証明書が使用されている場合は、信頼に CA 証明書を利用する代わりに、セカンダリ ノードの CA 署名付き証明書をプライマリ ノードの CTL にインポートすることもできます。詳細については、「CA 署名付き証明書のセカンダリ ノードからプライマリ ノードの CTL へのインポート」を参照してください。

セカンダリ ノードで HTTPS 通信に自己署名証明書が使用されている場合は、セカンダリ ノードの自己署名証明書をプライマリ ノードの CTL にインポートできます。詳細については、「自己署名証明書のセカンダリ ノードからプライマリ ノードの CTL へのインポート」を参照してください。


) セカンダリ ノードをプライマリ ノードに登録した後で、登録されたセカンダリ ノードで HTTPS 証明書を変更した場合は、セカンダリ ノードの HTTPS 証明書を検証するために使用できる適切な CA 証明書を取得する必要があります。


ルートおよび CA 証明書のプライマリ ノードの CTL へのインポート

前提条件:

各 ISE 管理者アカウントには、1 つまたは複数の管理ロールが割り当てられています。次の手順で説明されている操作を実行するには、スーパー管理者またはシステム管理者のロールが割り当てられている必要があります。さまざまな管理ロールの詳細と、各ロールに関連付けられている権限については、 「Cisco ISE 管理者グループのロールおよび役割」 を参照してください。

ルートおよび CA 証明書をプライマリ ノードの CTL にインポートするには、次の手順を実行します。


ステップ 1 セカンダリ ノードのサーバ証明書に署名した認証局から適切な CA 証明書を取得し、プライマリ ノードの CTL にインポートする必要があります。ルート証明書およびすべての中間 CA 証明書を取得する必要はありません。セカンダリ ノードのサーバ証明書に直接署名した CA の CA 証明書を取得する必要があります。任意で、追加の上位レベルの署名者の CA 証明書をインポートできます。たとえば、3 層階層で、セカンダリ ノードのサーバ証明書が CA によって署名され、その後でルート CA によって署名される場合、ルート CA ではなく、セカンダリ ノードのサーバ証明書に署名した CA の CA 証明書をインポートする必要があります。証明書検証ソフトウェアは、セカンダリ ノードのサーバ証明書から、CA ストアで最上位の署名証明書へのパスを構築できる必要があります。

ステップ 2 プライマリ ノードの管理ユーザ インターフェイスにログインし、適切な CA 証明書をプライマリ ノードの CTL にインポートします。詳細については、「認証局証明書の追加」を参照してください。必要に応じて、このプロセスを繰り返して追加の CA 証明書を追加します。


 

CA 署名付き証明書のセカンダリ ノードからプライマリ ノードの CTL へのインポート

前提条件:

各 ISE 管理者アカウントには、1 つまたは複数の管理ロールが割り当てられています。次の手順で説明されている操作を実行するには、スーパー管理者またはシステム管理者のロールが割り当てられている必要があります。さまざまな管理ロールの詳細と、各ロールに関連付けられている権限については、 「Cisco ISE 管理者グループのロールおよび役割」 を参照してください。

CA 署名付き証明書をセカンダリ ノードからプライマリ ノードの CTL にインポートするには、次の手順を実行します。


ステップ 1 セカンダリ ノードとして登録するノードの管理ユーザ インターフェイスにログインし、HTTPS 通信に使用される CA 署名付き証明書を、クライアント ブラウザを実行しているファイル システムにエクスポートします。詳細については、「認証局証明書のエクスポート」を参照してください。


) [エクスポート(Export)] ダイアログボックスの [証明書のみをエクスポート(Export Certificate Only)] オプション ボタンをクリックします。


ステップ 2 プライマリ ノードの管理ユーザ インターフェイスにログインし、セカンダリ ノードの CA 署名付き証明書をプライマリ ノードの CTL にインポートします。詳細については、「認証局証明書の追加」を参照してください。


 

自己署名証明書のセカンダリ ノードからプライマリ ノードの CTL へのインポート

前提条件:

各 ISE 管理者アカウントには、1 つまたは複数の管理ロールが割り当てられています。次の手順で説明されている操作を実行するには、スーパー管理者またはシステム管理者のロールが割り当てられている必要があります。さまざまな管理ロールの詳細と、各ロールに関連付けられている権限については、 「Cisco ISE 管理者グループのロールおよび役割」 を参照してください。

自己署名証明書をセカンダリ ノードからプライマリ ノードの CTL にインポートするには、次の手順を実行します。


ステップ 1 セカンダリ ノードとして登録するノードの管理ユーザ インターフェイスにログインし、HTTPS 通信に使用される自己署名証明書を、クライアント ブラウザを実行しているファイル システムにエクスポートします。詳細については、「ローカル証明書のエクスポート」を参照してください。


) [エクスポート(Export)] ダイアログボックスの [証明書のみをエクスポート(Export Certificate Only)] オプション ボタンをクリックします。


ステップ 2 プライマリ ノードの管理ユーザ インターフェイスにログインし、セカンダリ ノードの自己署名証明書をプライマリ ノードの CTL にインポートします。詳細については、「認証局証明書の追加」を参照してください。


 

Simple Certificate Enrollment Protocol プロファイル

「Simple Certificate Enrollment Protocol プロファイルの追加および変更」

「Simple Certificate Enrollment Protocol プロファイルの削除」

Simple Certificate Enrollment Protocol プロファイルの追加および変更

ユーザがネットワークで登録できるさまざまなモバイル デバイスの証明書のプロビジョニング機能を有効にするために、Cisco ISE では 1 つ以上の Simple Certificate Enrollment Protocol(SCEP)認証局(CA)プロファイルを設定し、Cisco ISE で複数の CA の場所を指定できます。複数のプロファイルを使用できる利点は、ハイ アベイラビリティを実現し、指定した CA の場所の間でロード バランシングを実行できることです。特定の SCEP CA への要求に 3 回連続して応答がなかった場合、Cisco ISE は特定のサーバが使用不能であると宣言し、次に負荷が小さく応答時間が短い既知の CA に自動的に移動し、サーバがオンラインに復帰するまで、定期的なポーリングを開始します。

新しい SCEP CA プロファイルを追加するには、次の手順を実行します。


ステップ 1 [管理(Administration)] > [システム(System)] > [証明書(Certificates)] を選択します。

ステップ 2 左側の [証明書操作(Certificate Operations)] ナビゲーション ペインで、[SCEP CA プロファイル(SCEP CA Profile)] をクリックします。

図 13-12 に示すように、SCEP CA の [プロファイルの追加(Add Profile)] ページが表示されます。

図 13-12 新しい SCEP CA プロファイルの追加

 

ステップ 3 他の SCEP CS プロファイル名と区別するために、プロファイルの名前を指定します。

ステップ 4 任意でプロファイルの説明を入力します。

ステップ 5 ユーザがモバイル デバイスからネットワークにアクセスしたときに Cisco ISE が SCEP CA 要求を転送できる当該の SCEP CA サーバの URL を指定します。

[送信(Submit)] ボタンをクリックしてセッションを終了する前に、任意で隣接する [接続のテスト(Test Connectivity)] ボタンを使用して、指定した URL のサーバに Cisco ISE が到達できることを確認できます。(いずれにしても、Cisco ISE ではプロファイルを保存する前に URL がテストされます)。

ステップ 6 [送信(Submit)] をクリックします。


 

参照用:

ユーザのデバイスが検証済みの証明書を受信すると、 表 13-1 に示すように、証明書はデバイスに置かれます。

 

表 13-1 デバイス証明書の場所

デバイス
証明書ストレージの場所
アクセス方法

iPhone/iPad

標準の証明書ストア

[設定(Settings)] > [一般(General)] > [プロファイル(Profile)]

Android

暗号化された証明書ストア

エンド ユーザに不可視です。

(注) 証明書は、[設定(Settings)] > [ロケーションおよびセキュリティ(Location & Security)] > [ストレージのクリア(Clear Storage)] を使用して削除できます。

Windows

標準の証明書ストア

/cmd プロンプトから mmc.exe を起動するか、または証明書スナップインで表示します。

Mac

標準の証明書ストア

[アプリケーション(Application)] > [ユーティリティ(Utilities)] > [キーチェーン アクセス(Keychain Access)]

Simple Certificate Enrollment Protocol プロファイルの削除

既存の SCEP CA プロファイルを削除するには、次の手順を実行します。


ステップ 1 [管理(Administration)] > [システム(System)] > [証明書(Certificates)] を選択します。

ステップ 2 左側の [証明書操作(Certificate Operations)] ナビゲーション ペインで、[SCEP CA プロファイル(SCEP CA Profile)] をクリックします。

ステップ 3 削除するプロファイルのチェックボックスをオンにし、[削除(Delete)] をクリックします。


 

OCSP サービス

Online Certificate Status Protocol(OCSP)は、x.509 デジタル証明書のステータスのチェックに使用されるプロトコルです。このプロトコルは CRL(証明書失効リスト)に代わるものであり、CRL の処理をもたらす問題に対処します。

Cisco ISE には HTTP を介して OCSP サーバと通信し、認証で証明書のステータスを検証する機能があります。OCSP のコンフィギュレーションは、Cisco ISE で設定されるいずれかの認証局(CA)証明書から参照できる再利用可能な設定オブジェクトで設定されます。 「認証局証明書の編集」 を参照してください。

CRL 検証と OCSP 検証の両方または一方を CA ごとに設定できます。両方を選択すると、Cisco ISE では最初に OCSP を介した検証が実行されます。プライマリ OCSP サーバとセカンダリ OCSP サーバの両方で通信の問題が検出された場合、または特定の証明書に対して不明のステータスが返された場合、Cisco ISE は CRL チェックの実行にフェールオーバーします。

この項では、次のトピックを扱います。

「OCSP 証明書のステータスの値」

「OCSP のハイ アベイラビリティ」

「OCSP サービスの表示」

「OCSP サービスの追加、編集、または複製」

「OCSP サービスの削除」

「OCSP 統計情報カウンタ」

「OCSP のモニタリング」

OCSP 証明書のステータスの値

OCSP サービスでは、所定の証明書要求に対して次の値が返されます。

[良好(Good)]:ステータスの問い合わせへの肯定的な応答を示します。証明書が失効していないこと、および状態が次の時間間隔(存続可能時間)値までは良好であることを示します。

[失効(Revoked)]:証明書は失効しています。

[不明(Unknown)]:証明書のステータスは不明です。これは、OCSP が特定の証明書 CA を処理するように設定されていない場合に発生することがあります。

[エラー(ERROR)]:OCSP 要求に対する応答を受信しませんでした。

関連項目

「OCSP 統計情報カウンタ」

OCSP のハイ アベイラビリティ

Cisco ISE には、CA ごとに最大 2 台の OCSP サーバ(プライマリ OCSP サーバおよびセカンダリ OCSP サーバと呼ばれる)を設定する機能があります。各 OCSP サーバ設定には、次のパラメータが含まれます。

[URL]:OCSP サーバの URL。

[ナンス(Nonce)]:要求で送信される乱数。このオプションにより、リプレイ アタックで古い通信を再利用できないことが保証されます。

[応答の検証(Validate Response)]:Cisco ISE は OCSP サーバから受信した応答の署名を検証します。

Cisco ISE がプライマリ OCSP サーバと通信しているときに、タイムアウト(5 秒)が発生した場合、Cisco ISE はセカンダリ OCSP サーバにフェールオーバーします。

Cisco ISE はプライマリ サーバの再使用を試行する前に、設定可能な期間セカンダリ OCSP サーバを使用します。

OCSP 障害

3 つの一般的な OCSP 障害のシナリオは次のとおりです。

1. 失敗した OCSP キャッシュまたは OCSP クライアント側(Cisco ISE)の障害

2. 失敗した OCSP 応答側のシナリオ。例:

a. 最初のプライマリ OCSP 応答側が応答せず、セカンダリ OCSP 応答側が Cisco ISE OCSP 要求に応答します。

b. Cisco ISE OCSP 要求から応答が受信されないエラー。

OCSP 応答側は Cisco ISE OCSP 要求に応答を提供しないか、または「失敗」を示す OCSP 応答ステータスを返す場合があります。OCSP 応答ステータスの値は次のとおりです。

tryLater

signRequired

unauthorized

internalError

malformedRequest

OCSP 要求に対する多数の日時チェック、署名の有効性チェックなどがあります。詳細については、エラー状態を含むすべての可能性のある状態について説明している『 RFC 2560 X.509 Internet Public Key Infrastructure Online Certificate Status Protocol - OCSP 』を参照してください。

3. 失敗した OCSP レポート

OCSP サービスの表示

OCSP サービスを表示するには、次の手順を実行します。


ステップ 1 [管理(Administration)] > [システム(System)] > [証明書(Certificates)] を選択します。

ステップ 2 左側の [証明書操作(Certificate Operations)] ナビゲーション ペインで、[OCSP サービス(OCSP Services)] をクリックします。

図 13-13 に示すように、[OCSP サービス リスト(OCSP Service List)] ページが表示されます。

ステップ 3 [OCSP サービス リスト(OCSP Service List)] ページには、設定された OCSP サービスに関する次の情報が表示されます。

名前(Name)

説明(Description)

図 13-13 [OCSP サービス リスト(OCSP Service List)] ページ

 


 

OCSP サービスの追加、編集、または複製

OCSP サービスを追加または編集するには、次の手順を実行します。


ステップ 1 [管理(Administration)] > [システム(System)] > [証明書(Certificates)] を選択します。

ステップ 2 左側の [証明書操作(Certificate Operations)] ナビゲーション ペインで、[OCSP サービス(OCSP Services)] をクリックします。

[OCSP サービス リスト(OCSP Service List)] ページが表示されます。 図 13-13 を参照してください。

ステップ 3 次のいずれかをクリックします。

追加(Add)

編集(Edit)

複製(Duplicate)

[新しい OCSP サービス(New OCSP Service)] ページが表示されます。 図 13-14 を参照してください。

図 13-14 OCSP サービスの追加または編集ページ

 

ステップ 4 OCSP サービスの次の情報を入力します。

名前(Name)

説明(Description)

ステップ 5 ハイ アベイラビリティを有効にする場合は、[セカンダリ サーバの有効化(Enable Secondary Server)] チェックボックスをオンにします。

ステップ 6 ハイ アベイラビリティの次のいずれかのオプションを選択します。

[常にプライマリ サーバに最初にアクセスする(Always Access Primary Server First)]:このオプションは、セカンダリ サーバへの移動を試行する前にプライマリ サーバをチェックする場合に使用します。プライマリが以前にチェックされ、応答しないことがわかっている場合にも、Cisco ISE はセカンダリ サーバに移動する前にプライマリ サーバへの要求の送信を試行します。

[時間を置いてプライマリ サーバにフォールバックする(Fallback to Primary Server After Interval)]:このオプションは、Cisco ISE がセカンダリ サーバに移動してから、再度プライマリ サーバにフォールバックする場合に使用します。この場合、その他の要求はすべてスキップされ、テキスト ボックスで設定した時間セカンダリ サーバが使用されます。設定できる時間の範囲は 1 ~ 999 分です。

ステップ 7 プライマリおよびセカンダリの OCSP サーバの URL または IP アドレスを指定します。

ステップ 8 次のオプションをオンまたはオフにします。

[ナンス(Nonce)]:ナンスが OCSP 要求の一部として送信されるように設定できます。これには OCSP 要求の疑似乱数が含まれます。応答で受信される数値は要求に含まれる数値と同じであることが検証されています。このオプションにより、リプレイ アタックで古い通信を再利用できないことが保証されます。

[応答の署名の検証(Validate Response Signature)]:OCSP 応答側は次のいずれかの署名を使用して応答に署名します。

CA 証明書

CA 証明書とは異なる証明書

Cisco ISE が応答の署名を検証するためには、OCSP 応答側が応答を証明書とともに送信する必要があります。そうでない場合、応答の検証は失敗し、証明書のステータスは利用できません。RFC に従い、OCSP は異なる証明書を使用して応答に署名できます。このことは、OCSP が Cisco ISE による検証用に応答に署名した証明書を送信する限り当てはまります。OCSP が Cisco ISE で設定されていない異なる証明書を使用して応答に署名した場合、応答の検証は失敗します。

ステップ 9 キャッシュ エントリの存続可能時間を分単位で入力します。

OCSP サーバからの各応答には「nextUpdate」値が含まれています。この値は、証明書のステータスがサーバで次にいつ更新されるかを示します。OCSP 応答がキャッシュされるとき、2 つの値(1 つは設定から、もう 1 つは応答から)が比較され、この 2 つの最小値の時間だけ応答がキャッシュされます。「nextUpdate」値が 0 の場合、応答はまったくキャッシュされません。

Cisco ISE は設定された時間 OCSP 応答をキャッシュします。キャッシュは複製されず、永続的でもないため、Cisco ISE が再起動するとキャッシュはクリアされます。

次の理由により、OCSP キャッシュは OCSP 応答を保持するために使用されます。

既知の証明書に関する OCSP サーバからのネットワーク トラフィックと負荷を低減するため

既知の証明書のステータスをキャッシュすることによって Cisco ISE のパフォーマンスを向上させるため

ステップ 10 OCSP サービスに接続されているすべての認証局のエントリをクリアするには、[キャッシュのクリア(Clear Cache)] をクリックします。

展開内で、キャッシュのクリアはすべてのノードと相互作用し、処理を実行します。このメカニズムでは、展開内のすべてのノードが更新されます。図 13-15 に、[キャッシュのクリア ステータス メッセージ(Clear Cache Status Message)] ダイアログボックスを示します。

図 13-15 キャッシュのクリア ステータス メッセージ

 


 

OCSP サービスの削除

OCSP サービスを削除するには、次の手順を実行します。


ステップ 1 [管理(Administration)] > [システム(System)] > [証明書(Certificates)] を選択します。

ステップ 2 左側の [証明書操作(Certificate Operations)] ナビゲーション ペインで、[OCSP サービス(OCSP Services)] をクリックします。

[OCSP サービス リスト(OCSP Service List)] ページが表示されます。

ステップ 3 削除する OCSP サービスの隣にあるチェックボックスをオンにし、[削除(Delete)] をクリックします。

[削除してもよろしいですか?(Are you sure you want to delete?)] というメッセージが表示されます。

ステップ 4 [OK] をクリックして、OCSP サービスを削除します。


 

OCSP 統計情報カウンタ

OCSP カウンタは、OCSP サーバのデータと健全性のロギングおよびモニタリングに使用されます。ロギングは 5 分ごとに実行されます。syslog メッセージが Cisco ISE モニタリング ノードに送信され、前の 5 分間のデータを含むローカル ストアに保存されます。メッセージが送信された後、カウンタは次の間隔について再計算されます。つまり、5 分後に、新しい 5 分間の間隔が再度開始します。

表 13-2 に OCSP syslog メッセージとその説明を示します。

 

表 13-2 OCSP Syslog メッセージ

属性名
属性の説明

OCSPPrimaryNotResponsiveCount

応答のないプライマリ要求の数

OCSPSecondaryNotResponsiveCount

応答のないセカンダリ要求の数

OCSPPrimaryCertsGoodCount

プライマリ OCSP サーバを使用して返された所定の CA の「有効な」証明書の数

OCSPSecondaryCertsGoodCount

プライマリ OCSP サーバを使用して返された所定の CA の「有効な」ステータスの数

OCSPPrimaryCertsRevokedCount

プライマリ OCSP サーバを使用して返された所定の CA の「失効した」ステータスの数

OCSPSecondaryCertsRevokedCount

セカンダリ OCSP サーバを使用して返された所定の CA の「失効した」ステータスの数

OCSPPrimaryCertsUnknownCount

プライマリ OCSP サーバを使用して返された所定の CA の「不明の」ステータスの数

OCSPSecondaryCertsUnknownCount

セカンダリ OCSP サーバを使用して返された所定の CA の「不明の」ステータスの数

OCSPPrimaryCertsFoundCount

プライマリの送信元からのキャッシュ内に見つかった証明書の数

OCSPSecondaryCertsFoundCount

セカンダリの送信元からのキャッシュ内に見つかった証明書の数

ClearCacheInvokedCount

一定間隔の後にキャッシュのクリアがトリガーされた回数

OCSPCertsCleanedUpCount

t 間隔の後にクリーンアップされたキャッシュ エントリの数

NumOfCertsFoundInCache

キャッシュから実行された要求の数

OCSPCacheCertsCount

OCSP キャッシュ内に見つかった証明書の数

OCSP のモニタリング

OCSP サービス データを OCSP モニタリング レポートの形式で表示できます。OCSP サービス データは ocsp_notice データベース テーブルに格納されます。

この項では、このレポートの実行プロセスについて説明します。Cisco ISE レポートの詳細については、「レポート」を参照してください。

OCSP モニタリング レポート

OCSP サービス データを表示するには、次の手順を実行します。


ステップ 1 Cisco ISE 管理ダッシュボードで、[操作(Operations)] > [レポート(Reports)] > [カタログ(Catalog)] を選択します。

ステップ 2 [レポート(Reports)] リストで、[サーバ インスタンス(Server Instance)] を選択します。

ステップ 3 右側の [レポート(Reports)] パネルで、[OCSP モニタリング(OCSP Monitoring)] オプション ボタンをクリックします。

ステップ 4 [実行(Run)] ドロップダウン メニューで、レポート データを収集する期間を選択します。

直近の 30 分(Last 30 minutes)

直近の 1 時間(Last hour)

直近の 12 時間(Last 12 hours)

今日(Today)

昨日(Yesterday)

直近 7 日間(Last 7 days)

直近 30 日間(Last 30 days)

[クエリーおよび実行(Query and Run)]:直近 30 日間以上のデータを収集する場合に使用します。

期間を選択するとレポートが実行され、[サーバ インスタンス(Server Instance)] > [OCSP モニタリング レポート(OCSP Monitoring report)] データが表示されます。