Безопасность : Cisco Identity Services Engine Software

Произведите Свидетельство для ИСЕ, который Связывает с Многократными Именами

17 октября 2015 - Машинный перевод
Другие версии: PDF-версия:pdf | Английский (22 августа 2015) | Отзыв


Содержание


Введение

Когда гости перенаправлены к Отчету Канонического имени (CNAME) для Двигателя Cisco Identity Services (ИСЕ), или спонсорам дают короткий URL для достижения портала спонсора на ИСЕ, они получают ошибку свидетельства. Этот документ предоставляет решение этой проблемы.

Примечание: внесенный Vivek Santuka, Cisco инженер TAC.

Предпосылки

Требования

Необходимо будет закончить эту процедуру если:

  • Вы хотите перенаправить гостей к универсальному URL, таких как guests.yourdomain.com вместо ise.yourdomain.com

  • Вы хотите перенаправить спонсоров к универсальному URL, таких как sponsors.yourdomain.com вместо ise.yourdomain.com

Используемые компоненты

Этот документ не ограничен определенными версиями программного и аппаратного обеспечения.

Информация в этом документе была создана из устройств в определенной окружающей среде лаборатории. Все устройства, используемые в этом документе, начали с очищенного (неплатеж) конфигурацию. Если ваша сеть жива, удостоверьтесь, что вы понимаете потенциальное воздействие любой команды.

Соглашения

Направьте в Cisco Технические Соглашения Подсказок для получения дополнительной информации о соглашениях документа.

Проблема

ИСЕ позволяет только единственному свидетельству быть установленным в управленческих целях. Это свидетельство используется для всех сессий HTTP, заканчивающихся на ИСЕ, включая сессии гостя и спонсора. Так как Подчиненное Название свидетельства должно содержать hostname ИСЕ, все сессии гостя должны будут быть перенаправлены к hostname ИСЕ. Это иногда не желательно для безопасности или других причин. Общий способ обойти это состоит в том, чтобы использовать свидетельство группового символа. Однако ИСЕ не поддерживает ту работу.

Этот документ описывает, как создать свидетельство для ИСЕ, который наносит на карту к многократным именам DNS.

Решение

ИСЕ позволяет вам устанавливать свидетельство с многократными областями Подчиненного альтернативного имени (SAN). Браузер, достигающий ИСЕ с помощью любого из перечисленных имен SAN, примет свидетельство без любой ошибки, пока это доверяет CA, который подписал свидетельство.

CSR для такого свидетельства не может быть произведен из ИСЕ GUI. Необходимо будет использовать openSSL для производства свидетельства.

Закончите эти шаги:

  1. На хозяине, где openSSL установлен, создайте конфигурационный файл со следующим содержанием. В этом примере мы назовем его мой-csr.cnf

    [ req ]
    default_bits        = 1024
    default_keyfile     = privatekey.pem
    distinguished_name  = req_distinguished_name
    req_extensions     = req_ext
     
    [ req_distinguished_name ]
    commonName            = Common Name (eg, YOUR name)
    commonName_max        = 100
     
    [ req_ext ]
    subjectAltName          = @alt_names
     
    [alt_names]
    DNS.1   = <FQDN of ISE>
    DNS.2   = sponsor.<yourdomain>
    DNS.3   = guest.<yourdomain>
  2. В конфигурационном файле:

    • DNS.1 и commonName должны быть тем же самым.

    • Измените DNS.2 и DNS.3 как требуется.

    • Можно добавить больше SANs как DNS.4, DNS.5, и так далее.

    • Не изменяйте ценность commonName в конфигурационном файле. Фактический commonName будет установлен в следующем шаге.

  3. Произведите CSR, использующий эту команду:

    openssl req -new -nodes -out newise.csr -config csr.cnf
    
  4. Вы будете побуждены войти в commonName для свидетельства, и затем команда создаст два файла - newise.csr и privatekey.pem. Первый файл содержит CSR, который может использоваться CA для производства свидетельства.

  5. Как только вы имеете файл свидетельства, проверяете области SAN с помощью следующей команды. Для этого примера имя файла свидетельства, как предполагается, является my-newise-cert.pem:

    openssl x509 -text -in my-newise-cert.pem
    

    В продукции вышеупомянутой команды ищите продукцию, подобную:

    Certificate:
        Data:
            Version: 3 (0x2)
            Serial Number:
    (...)
            X509v3 extensions:
                X509v3 Subject Alternative Name: 
                    DNS:myise.mycompany.com, DNS:sponsor.mycompany.com, 
                       DNS:guest.mycompany.com.com
                X509v3 Basic Constraints: 
                    CA:FALSE
                X509v3 Key Usage: 
                    Digital Signature, Key Encipherment
    (...)
    
    
  6. После того, как проверенный, используйте файл свидетельства и privatekey.pem файл для добавления свидетельства и частного ключевого файла в ИСЕ. Закончите эти шаги для добавления их:

    1. В ИСЕ GUI пойдите к администрации> Свидетельства> Местные Свидетельства.

    2. Нажмите Add и выберите Свидетельство Локального сервера Импорта.

    3. В области Файла Свидетельства выберите файл свидетельства, произведенный Приблизительно

    4. В Частной Ключевой области Файла выберите privatekey.pem файл, произведенный выше.

    5. В части Протокола выберите управленческий Интерфейс: Используйте свидетельство для подтверждения веб-сервера (GUI).

    6. Нажмите Submit.

Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.


Соответствующая информация


Document ID: 113675