Seguridad : Cisco Identity Services Engine Software

Genere un certificado para el ISE que ata a los nombres múltiples

18 Octubre 2015 - Traducción Automática
Otras Versiones: PDFpdf | Inglés (22 Agosto 2015) | Comentarios


Contenido


Introducción

Cuando los invitados se reorientan a un Canonical Name Record (CNAME) para Cisco Identity Services Engine (ISE) o se proporciona a los patrocinadores una dirección URL corta para alcanzar el portal del patrocinador en ISE, obtienen un error de certificado. Este documento proporciona una solución a este problema.

Nota: Contribuido por Vivek Santuka, ingeniero de Cisco TAC.

prerrequisitos

Requisitos

Usted necesitará completar este procedimiento si:

  • Usted quiere reorientar a los invitados a un URL genérico tal como guests.yourdomain.com en vez de ise.yourdomain.com

  • Usted quiere reorientar a los patrocinadores a un URL genérico tal como sponsors.yourdomain.com en vez de ise.yourdomain.com

Componentes Utilizados

Este documento no tiene restricciones específicas en cuanto a versiones de software y de hardware.

La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si la red está funcionando, asegúrese de haber comprendido el impacto que puede tener cualquier comando.

Convenciones

Consulte Convenciones de Consejos TécnicosCisco para obtener más información sobre las convenciones del documento.

Problema

El ISE permite que solamente un solo certificado sea instalado para los fines de administración. Este certificado se utiliza para todas las sesiones HTTP que terminan en el ISE, incluyendo las sesiones del invitado y del patrocinador. Puesto que los asuntos del certificado tienen que contener el nombre de host del ISE, todas las sesiones del invitado necesitarán ser reorientadas al nombre de host del ISE. Esto no es a veces deseable por la Seguridad u otras razones. La manera general de conseguir alrededor de esto es utilizar un certificado del comodín. Sin embargo, el ISE no soporta esa solución alternativa.

Este documento describe cómo crear un certificado para el ISE ese las correspondencias a los nombres DNS múltiples.

Solución

El ISE permite que usted instale un certificado con los campos alternativos sujetos múltiples del nombre (SAN). Un navegador que alcanza el ISE usando los nombres mencionados uces de los SAN validará el certificado sin ningún error mientras confíe en CA que firmó el certificado.

El CSR para tal certificado no se puede generar del ISE GUI. Usted necesitará utilizar el openSSL para generar el certificado.

Complete estos pasos:

  1. En un host donde el openSSL está instalado, cree un archivo de configuración con el contenido siguiente. En este ejemplo, lo nombraremos my-csr.cnf

    [ req ]
    default_bits        = 1024
    default_keyfile     = privatekey.pem
    distinguished_name  = req_distinguished_name
    req_extensions     = req_ext
     
    [ req_distinguished_name ]
    commonName            = Common Name (eg, YOUR name)
    commonName_max        = 100
     
    [ req_ext ]
    subjectAltName          = @alt_names
     
    [alt_names]
    DNS.1   = <FQDN of ISE>
    DNS.2   = sponsor.<yourdomain>
    DNS.3   = guest.<yourdomain>
  2. En el archivo de configuración:

    • DNS.1 y el commonName deben ser lo mismo.

    • Modifique el DNS.2 y el DNS.3 como sea necesario.

    • Usted puede agregar más sin como DNS.4, DNS.5, y así sucesivamente.

    • No cambie el valor del commonName en el archivo de configuración. El commonName real será fijado en el siguiente paso.

  3. Genere el CSR usando este comando:

    openssl req -new -nodes -out newise.csr -config csr.cnf
    
  4. A le indicarán que ingrese el commonName para el certificado y entonces el comando creará dos archivos - newise.csr y privatekey.pem. El primer archivo contiene el CSR que se puede utilizar por CA para generar un certificado.

  5. Una vez que usted tiene el archivo de certificado, verifique los campos SAN usando el siguiente comando. Por este ejemplo, el Nombre de archivo del certificado se asume para ser my-newise-cert.pem:

    openssl x509 -text -in my-newise-cert.pem
    

    En la salida del comando antedicho, busque la salida similar a:

    Certificate:
        Data:
            Version: 3 (0x2)
            Serial Number:
    (...)
            X509v3 extensions:
                X509v3 Subject Alternative Name: 
                    DNS:myise.mycompany.com, DNS:sponsor.mycompany.com, 
                       DNS:guest.mycompany.com.com
                X509v3 Basic Constraints: 
                    CA:FALSE
                X509v3 Key Usage: 
                    Digital Signature, Key Encipherment
    (...)
    
    
  6. Una vez que está verificado, utilice el archivo de certificado y el archivo privatekey.pem para agregar el certificado y el archivo de clave privado al ISE. Complete estos pasos para agregarlos:

    1. En el ISE GUI, van a la administración > a los Certificados > los Certificados locales.

    2. Haga clic agregan, y eligen el certificado de servidor local de la importación.

    3. En el campo del archivo de certificado, elija el archivo de certificado generado por CA.

    4. En el campo del archivo de clave privado, elija el archivo privatekey.pem generado arriba.

    5. En la sección de protocolo, elija la interfaz de administración: Utilice el certificado para autenticar el servidor Web (GUI).

    6. Haga clic en Submit (Enviar).

Discusiones relacionadas de la comunidad de soporte de Cisco

La Comunidad de Soporte de Cisco es un foro donde usted puede preguntar y responder, ofrecer sugerencias y colaborar con colegas.


Información Relacionada


Document ID: 113675