Zertifikatverlängerungen auf der ISE konfigurieren

Download-Optionen

  • PDF     (766.2 KB)
    Mit Adobe Reader auf verschiedenen Geräten anzeigen
  • ePub     (681.7 KB)
    In verschiedenen Apps auf iPhone, iPad, Android, Sony Reader oder Windows Phone anzeigen
  • Mobi (Kindle)     (511.9 KB)
    Auf einem Kindle-Gerät oder einer Kindle-App auf mehreren Geräten anzeigen
Aktualisiert:7. September 2023
Dokument-ID:217191

Inklusive Sprache

In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.

Informationen zu dieser Übersetzung

Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.

    Einleitung

    Dieses Dokument beschreibt die Best Practices und proaktiven Verfahren zur Verlängerung von Zertifikaten auf der Cisco Identity Services Engine (ISE).

    Voraussetzungen

    Anforderungen

    Cisco empfiehlt, dass Sie über Kenntnisse in folgenden Bereichen verfügen:

    • X509-Zertifikate
    • Konfiguration einer Cisco ISE mit Zertifikaten

    Verwendete Komponenten


    "Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die potenziellen Auswirkungen aller Befehle verstehen."

    • Cisco ISE-Version 3.0.0.458
    • Appliance oder VMware

    Hintergrundinformationen

      Hinweis: Dieses Dokument ist nicht als Diagnosehandbuch für Zertifikate vorgesehen.

    Dieses Dokument beschreibt die Best Practices und proaktiven Verfahren zur Verlängerung von Zertifikaten auf der Cisco Identity Services Engine (ISE). Außerdem wird erläutert, wie Sie Alarme und Benachrichtigungen einrichten, um Administratoren vor drohenden Ereignissen wie dem Ablauf eines Zertifikats zu warnen.

    Als ISE-Administrator werden Sie feststellen, dass ISE-Zertifikate ablaufen. Wenn Ihr ISE-Server über ein abgelaufenes Zertifikat verfügt, können schwerwiegende Probleme auftreten, wenn Sie das abgelaufene Zertifikat nicht durch ein neues, gültiges Zertifikat ersetzen.

      Hinweis: Wenn das für das Extensible Authentication Protocol (EAP) verwendete Zertifikat abläuft, können alle Authentifizierungen fehlschlagen, da die Clients dem ISE-Zertifikat nicht mehr vertrauen. Wenn das ISE-Administratorzertifikat abläuft, ist das Risiko noch größer: Ein Administrator kann sich nicht mehr bei der ISE anmelden, und die verteilte Bereitstellung kann nicht mehr funktionieren und sich nicht mehr replizieren.

    Der ISE-Administrator muss ein neues, gültiges Zertifikat auf der ISE installieren, bevor das alte Zertifikat abläuft. Dieser proaktive Ansatz verhindert oder minimiert Ausfallzeiten und vermeidet Auswirkungen auf Ihre Endbenutzer. Sobald der Zeitraum für das neu installierte Zertifikat beginnt, können Sie EAP/Admin oder eine andere Rolle für das neue Zertifikat aktivieren.

    Sie können die ISE so konfigurieren, dass sie Alarme generiert und den Administrator benachrichtigt, neue Zertifikate zu installieren, bevor die alten Zertifikate ablaufen.

      Hinweis: In diesem Dokument wird das ISE-Administratorzertifikat als selbstsigniertes Zertifikat verwendet, um die Auswirkungen der Zertifikatverlängerung darzustellen. Für Produktionssysteme wird dieser Ansatz jedoch nicht empfohlen. Es ist besser, ein Zertifizierungsstellenzertifikat sowohl für die EAP- als auch für die Admin-Rolle zu verwenden.

    Konfigurieren

    Selbstsignierte ISE-Zertifikate anzeigen

    Wenn die ISE installiert wird, generiert sie ein selbstsigniertes Zertifikat. Das selbstsignierte Zertifikat wird für den administrativen Zugriff und die Kommunikation innerhalb der verteilten Bereitstellung (HTTPS) sowie für die Benutzerauthentifizierung (EAP) verwendet. Verwenden Sie in einem Live-System ein CA-Zertifikat anstelle eines selbstsignierten Zertifikats.

      Tipp: Weitere Informationen finden Sie im Abschnitt zur Zertifikatsverwaltung in Cisco ISE im Cisco Identity Services Engine Hardware Installation Guide, Release 3.0.

    Das Format für ein ISE-Zertifikat muss Privacy Enhanced Mail (PEM) oder Distinguished Encoding Rules (DER) sein.

    Um das erste selbstsignierte Zertifikat anzuzeigen, navigieren Sie in der ISE-GUI zu Administration > System> Certificates> System Certificates (Administration > System > Zertifikate > Systemzertifikate), wie in der Abbildung dargestellt.

    abtomar_0-1620141379341

    Wenn Sie ein Serverzertifikat über eine Zertifikatsignierungsanfrage (CSR, Certificate Signing Request) auf der ISE installieren und das Zertifikat für das Admin- oder EAP-Protokoll ändern, ist das selbstsignierte Serverzertifikat weiterhin vorhanden, befindet sich jedoch im Status „Not in-use“ (Nicht verwendet).

      Vorsicht: Bei Änderungen am Admin-Protokoll ist ein Neustart der ISE-Services erforderlich, was zu einigen Minuten Ausfallzeit führt. EAP-Protokolländerungen lösen keinen Neustart der ISE-Services aus und verursachen keine Ausfallzeiten.

    Bestimmen, wann das Zertifikat geändert werden soll

    Angenommen, das installierte Zertifikat läuft bald ab. Ist es besser, das Zertifikat ablaufen zu lassen, bevor Sie es verlängern, oder das Zertifikat vor Ablauf zu wechseln? Sie müssen das Zertifikat vor Ablauf ändern, damit Sie Zeit haben, den Austausch des Zertifikats zu planen und die durch den Austausch verursachten Ausfallzeiten zu bewältigen.

    Wann müssen Sie das Zertifikat ändern? Rufen Sie ein neues Zertifikat mit einem Startdatum ab, das vor dem Ablaufdatum des alten Zertifikats liegt. Der Zeitraum zwischen diesen beiden Daten ist das Änderungszeitfenster.

      Vorsicht: Wenn Sie Admin aktivieren, wird der Dienst auf dem ISE-Server neu gestartet, und es treten einige Minuten Ausfallzeit auf.

    Die folgende Abbildung zeigt die Informationen für ein Zertifikat, das bald abläuft:

    abtomar_8-1620144706514

    Zertifikatsignierungsanfrage generieren

    Dieses Verfahren beschreibt, wie das Zertifikat über eine CSR verlängert wird:

    1. Navigieren Sie in der ISE-Konsole zu AdministrationSystem >Certificates>Certificate Signing Requests (Administration > System > Zertifikate > Zertifikatsignierungsanfragen) und klicken Sie auf Generate Certificate Signing Request (Zertifikatsignierungsanfrage erstellen):

    2. Die Mindestinformationen, die Sie in das Textfeld Certificate Subject (Zertifikatsbetreff) eingeben müssen, sind CN = ISEfqdn, wobei ISEfqdn der Fully Qualified Domain Name (FQDN) der ISE ist. Fügen Sie zusätzliche Felder wie O (Organisation), OU (Organizational Unit [Organisationseinheit]) oder C (Country [Land]) im Zertifikatsbetreff mit Kommata hinzu:

      abtomar_3-1620142324401
    3. Eine der SAN-Textfeldzeilen (Subject Alternative Name) muss den FQDN der ISE wiederholen. Sie können ein zweites SAN-Feld hinzufügen, wenn Sie alternative Namen oder ein Platzhalterzertifikat verwenden möchten.

    4. Klicken Sie auf Generate (Generieren). In einem Popup-Fenster wird angezeigt, ob die CSR-Felder korrekt ausgefüllt sind:

      abtomar_4-1620142410440

    5. Um die CSR zu exportieren, klicken Sie im linken Bereich auf Certificate Signing Requests (Zertifikatsignierungsanfragen), wählen Sie Ihre CSR aus und klicken Sie auf Export:

      abtomar_5-1620142481853
    6. Die CSR-Anfrage wird auf Ihrem Computer gespeichert. Senden Sie sie zur Signatur an Ihre CA.

    Zertifikat installieren

    Sobald Sie das endgültige Zertifikat von Ihrer CA erhalten haben, müssen Sie es zur ISE hinzufügen:

    1. Navigieren Sie in der ISE-Konsole zu Administration > System >Certificates > Certificate Signing Requests (Administration > System > Zertifikate > Zertifikatsignierungsanfragen), aktivieren Sie dann das Kontrollkästchen bei CRS und klicken Sie auf Bind Certificate (Zertifikat binden):

      abtomar_6-1620143102071

    2. Geben Sie eine einfache, eindeutige Beschreibung des Zertifikats in das Textfeld Friendly Name (Anzeigename) ein und klicken Sie auf „Submit“ (Senden).

        Hinweis: Aktivieren Sie zu diesem Zeitpunkt nicht das EAP- oder Admin-Protokoll.

    3. Unter „System Certificate“ (Systemzertifikat) sehen Sie ein neues Zertifikat mit dem Status „Not in use“ (Nicht verwendet), wie hier dargestellt:

      abtomar_7-1620143261589
    4. Da das neue Zertifikat installiert wird, bevor das alte abläuft, wird ein Fehler angezeigt, der einen Datumsbereich in der Zukunft meldet:

      abtomar_13-1620145420817

    5. Klicken Sie auf Yes (Ja), um fortzufahren. Das Zertifikat ist jetzt installiert, wird aber nicht verwendet, wie in grün hervorgehoben.

      abtomar_12-1620144949392

      Hinweis: Wenn Sie selbstsignierte Zertifikate in einer verteilten Bereitstellung verwenden, muss das primäre selbstsignierte Zertifikat im vertrauenswürdigen Zertifikatspeicher des sekundären ISE-Servers installiert werden.  Ebenso muss das sekundäre selbstsignierte Zertifikat im vertrauenswürdigen Zertifikatsspeicher des primären ISE-Servers installiert werden. Dadurch können sich die ISE-Server gegenseitig authentifizieren.  Andernfalls kann die Bereitstellung unterbrochen werden. Wenn Sie Zertifikate von einer Drittanbieter-CA verlängern, überprüfen Sie, ob sich die Stammzertifikatskette geändert hat, und aktualisieren Sie den vertrauenswürdigen Zertifikatsspeicher in ISE entsprechend. Stellen Sie in beiden Szenarien sicher, dass die ISE-Knoten, Endpunktsteuerungssysteme und Supplicants die Stammzertifikatkette validieren können.

    Alarmsystem konfigurieren

    Die Cisco ISE benachrichtigt Sie, wenn das Ablaufdatum eines lokalen Zertifikats innerhalb von 90 Tagen liegt. Eine solche Vorabbenachrichtigung hilft Ihnen, abgelaufene Zertifikate zu vermeiden, die Zertifikatsänderung zu planen und Ausfallzeiten zu verhindern oder zu minimieren.

    Die Benachrichtigung wird auf verschiedene Weise angezeigt:

    • Auf der Seite „Local Certificates“ (Lokale Zertifikate) werden farbige Ablaufstatussymbole angezeigt.

    • Ablaufnachrichten werden im Cisco ISE-Systemdiagnosebericht angezeigt.

    • Ablaufalarme werden 90 Tage und 60 Tage vorher generiert, dann täglich in den letzten 30 Tagen vor dem Ablauf.

    Konfigurieren Sie die ISE für die E-Mail-Benachrichtigung bei Ablaufalarmen. Navigieren Sie in der ISE-Konsole zu Administration > System > Settings > SMTP Server (Administration > System > Einstellungen > SMTP-Server), identifizieren Sie den SMTP-Server (Simple Mail Transfer Protocol) und definieren Sie die anderen Servereinstellungen, sodass E-Mail-Benachrichtigungen für die Alarme gesendet werden:



    abtomar_14-1620145511753

    Es gibt zwei Möglichkeiten, Benachrichtigungen einzurichten:

    • Verwenden Sie den Admin-Zugriff, um Administratoren zu benachrichtigen:

      1. Navigieren Sie zu Administration > System > Admin Access > Administrators > Admin Users (Administration > System > Admin-Zugriff > Administratoren > Admin-Benutzer).

      2. Aktivieren Sie das Kontrollkästchen Include system alarms in emails (Systemalarme in E-Mails einbeziehen) für Admin-Benutzer, die Alarmbenachrichtigungen erhalten sollen. Die E-Mail-Adresse des Absenders der Alarmbenachrichtigungen ist ise@hostname und kann nicht geändert werden.

        abtomar_16-1620146073370

    • Konfigurieren Sie die ISE-Alarmeinstellungen, um Benutzer zu benachrichtigen:

      1. Navigieren Sie zu Administration > System > Settings > Alarm Settings > Alarm Configuration (Administration > System > Einstellungen > Alarmeinstellungen > Alarmkonfiguration), wie in dieser Abbildung dargestellt.

        abtomar_0-1620150246648

          Hinweis: Deaktivieren Sie den Status für eine Kategorie, wenn Sie Alarme aus dieser Kategorie verhindern möchten.

      2. Wählen Sie „Certificate Expiration“ (Zertifikatsablauf) aus, klicken Sie dann auf Alarm Notification (Alarmbenachrichtigung), geben Sie die E-Mail-Adressen der Benutzer ein, die benachrichtigt werden sollen, und speichern Sie die Konfigurationsänderung. Änderungen können bis zu 15 Minuten dauern, bevor sie aktiv sind.

        abtomar_1-1620150294202

    Überprüfung

    Verwenden Sie diesen Abschnitt, um zu überprüfen, ob Ihre Konfiguration ordnungsgemäß funktioniert.

    Warnsystem verifizieren

    Überprüfen Sie, ob das Warnsystem ordnungsgemäß funktioniert. In diesem Beispiel generiert eine Konfigurationsänderung eine Warnung mit dem Schweregrad „Information“. (Ein Informationsalarm ist der niedrigste Schweregrad, während ein Zertifikatsablauf eine Warnung mit einem höheren Schweregrad generiert.)

    abtomar_2-1620150359634



    Hier ein Beispiel für den E-Mail-Alarm, der von der ISE gesendet wird:

    abtomar_1-1620149973370

    Zertifikatsänderung verifizieren

    In diesem Verfahren wird beschrieben, wie Sie überprüfen, ob das Zertifikat richtig installiert ist, und wie Sie die EAP- und/oder Admin-Rollen ändern:

    1. Navigieren Sie in der ISE-Konsole zu Administration > Certificates > System Certificates (Administration > Zertifikate > Systemzertifikate) und wählen Sie das neue Zertifikat aus, um die Details anzuzeigen.

        Vorsicht: Wenn Sie die Administratorverwendung aktivieren, startet der ISE-Dienst neu, was zu Serverausfällen führt.


      abtomar_0-1620149841190


    2. Um den Zertifikatsstatus auf dem ISE-Server zu überprüfen, geben Sie folgenden Befehl in die CLI ein:

      CLI:> show application status ise
    3. Sobald alle Services aktiv sind, versuchen Sie, sich als Administrator anzumelden.

    4. Für ein verteiltes Bereitstellungsszenario navigieren Sie zu Administration > System > Deployment. Überprüfen Sie, ob der Knoten über ein grünes Symbol verfügt. Platzieren Sie den Cursor über das Symbol, um zu überprüfen, ob die Legende "Verbunden" anzeigt.

    5. Überprüfen Sie, ob die Endbenutzerauthentifizierung erfolgreich ist. Navigieren Sie dazu zu Operations > RADIUS > Livelogs (Vorgänge > RADIUS > Livelogs).  Sie können einen bestimmten Authentifizierungsversuch finden und überprüfen, ob diese Versuche erfolgreich authentifiziert wurden.

    Zertifikat verifizieren

    Wenn Sie das Zertifikat extern überprüfen möchten, können Sie die eingebetteten Microsoft Windows-Tools oder das OpenSSL-Toolkit verwenden.

    OpenSSL ist eine Open-Source-Implementierung des SSL-Protokolls (Secure Sockets Layer). Wenn die Zertifikate Ihre eigene private CA verwenden, müssen Sie Ihr Root-CA-Zertifikat auf einem lokalen Computer ablegen und die OpenSSL-Option -CApath verwenden. Wenn Sie über eine Zwischenzertifizierungsstelle verfügen, müssen Sie diese ebenfalls im selben Verzeichnis ablegen.

    Um allgemeine Informationen zum Zertifikat abzurufen und zu verifizieren, verwenden Sie:

    openssl x509 -in certificate.pem -noout -text
    openssl verify certificate.pem

    Es kann auch nützlich sein, die Zertifikate mit dem OpenSSL-Toolkit zu konvertieren:

    openssl x509 -in certificate.der -inform DER -outform PEM -out certificate.pem

    Fehlerbehebung

    Für diese Konfiguration sind derzeit keine spezifischen Diagnoseinformationen verfügbar.

    Schlussfolgerung

    Da Sie ein neues Zertifikat auf der ISE installieren können, bevor es aktiv ist, empfiehlt Cisco, das neue Zertifikat zu installieren, bevor das alte Zertifikat abläuft. Dieser Überschneidungszeitraum zwischen dem Ablaufdatum des alten Zertifikats und dem Startdatum des neuen Zertifikats gibt Ihnen Zeit, Zertifikate zu verlängern und ihre Installation ohne oder mit nur geringen Ausfallzeiten zu planen. Sobald das neue Zertifikat seinen gültigen Datumsbereich erreicht hat, aktivieren Sie EAP und/oder Admin. Denken Sie daran: Wenn Sie die Admin-Nutzung aktivieren, wird der Service neu gestartet.

    Revisionsverlauf

    Überarbeitung Veröffentlichungsdatum Kommentare
    3.0
    07-Sep-2023
    Rezertifizierung
    2.0
    04-Aug-2022
    Erstveröffentlichung
    1.0
    16-Jun-2021
    Erstveröffentlichung
    TAC Authored

    Beiträge von Cisco Ingenieuren

    • Abhishek Tomar
      Cisco TAC Engineer
    • Roger Nobel
      Cisco TAC Engineer

    War dieses Dokument hilfreich?

    FeedbackFeedback

    Cisco kontaktieren

    Dieses Dokument gilt für folgende Produkte.