Vorbereitung der Cisco ISE für Client Auth EKU Sunset in öffentlichen Zertifizierungsstellenzertifikaten

Download-Optionen

  • PDF     (267.5 KB)
    Mit Adobe Reader auf verschiedenen Geräten anzeigen
  • ePub     (93.6 KB)
    In verschiedenen Apps auf iPhone, iPad, Android, Sony Reader oder Windows Phone anzeigen
  • Mobi (Kindle)     (87.2 KB)
    Auf einem Kindle-Gerät oder einer Kindle-App auf mehreren Geräten anzeigen
Aktualisiert:12. März 2026
Dokument-ID:225606

Inklusive Sprache

In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.

Informationen zu dieser Übersetzung

Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.

    Einleitung

    In diesem Dokument werden die Auswirkungen auf ISE-Services aufgrund bevorstehender Änderungen an TLS-Zertifikaten beschrieben, die von öffentlichen Zertifizierungsstellen mit der Clientauthentifizierungs-EKU ausgestellt wurden.

    Hintergrundinformationen

    Digitale Zertifikate sind von vertrauenswürdigen Zertifizierungsstellen (Certificate Authorities, CAs) ausgestellte elektronische Zertifikate, die die Kommunikation zwischen Servern und Clients durch die Gewährleistung von Authentifizierung, Datenintegrität und Vertraulichkeit schützen. Diese Zertifikate enthalten Extended Key Usage (EKU)-Felder, die ihren Zweck definieren:

    • Serverauthentifizierungs-EKU (id-kp-serverAuth): Wird verwendet, wenn ein Server sein Zertifikat zum Identitätsnachweis vorlegt
    • Clientauthentifizierungs-EKU (id-kp-clientAuth): Verwendung für gegenseitige TLS-Verbindungen (mTLS), bei denen sich beide Parteien gegenseitig authentifizieren

    Bisher konnte ein einzelnes Zertifikat sowohl Server- als auch Clientauthentifizierungs-EKUs enthalten, sodass es für zwei Zwecke verwendet werden konnte. Dies ist besonders wichtig für Produkte wie die Cisco ISE, die in verschiedenen Verbindungsszenarien sowohl als Server als auch als Client fungieren.

    Problemdefinition 

    Änderung der Chrome-Stammprogrammrichtlinie

    Ab Mai 2026 stellen viele öffentliche Zertifizierungsstellen keine Transport Layer Security (TLS)-Zertifikate mehr aus, die die erweiterte Clientauthentifizierungsschlüsselverwendung (EKU) enthalten. Neu ausgestellte Zertifikate enthalten in der Regel nur die Serverauthentifizierungs-EKU.

    Wichtige Richtlinienanforderungen

    • Öffentliche Stammzertifizierungsstellen müssen nur die erweiterte Schlüsselverwendung (Extended Key Usage, EKU) für die Serverauthentifizierung (id-kp-serverAuth) geltend machen
    • Das Zertifikat darf NUR die EKU für die Serverauthentifizierung enthalten.
    • Das Einschließen von Clientauthentifizierungs-EKU in diese Zertifikate ist nicht zulässig.
    • Stammzertifizierungsstellen, die weiterhin Zertifikate mit der Clientauthentifizierungs-EKU ausstellen, werden schließlich aus dem Chrome-Stammspeicher entfernt
    • Keine gemischten Stammzertifizierungsstellen mehr für TLS-Zertifikate für öffentliche Server
    • Durchsetzungszeitleiste: März 2027.

    Öffentliche Zertifizierungsstelle - Reaktionszeit

    • Oktober 2025: Viele öffentliche CAs (DigiCert, Sectigo, SSL) begannen standardmäßig mit der Ausgabe von Zertifikaten nur für Server.
    • Mai 2026: Viele öffentliche Zertifizierungsstellen-Server stellen keine EKU-Zertifikate für die Clientauthentifizierung mehr aus. 
    • März 2027: Chrome Root-Programm-Richtlinie wird voll wirksam 
    note-icon

    Anmerkung: Diese Richtlinie gilt nur für Zertifikate, die von öffentlichen Zertifizierungsstellen ausgestellt wurden. Private PKI und selbstsignierte Zertifikate sind von dieser Richtlinie nicht betroffen.

    Auswirkungen auf die Cisco ISE

    Betroffene Produkte 

    Alle Cisco ISE-Versionen sind betroffen:

    • ISE 3.1
    • ISE 3.2
    • ISE 3.3
    • ISE 3.4
    • ISE 3.5
    note-icon

    Anmerkung: Cisco ISE 2.x ist ebenfalls betroffen. Es ist jedoch keine Korrektur geplant, da diese Versionen das End of Life (EOL) erreicht haben.

    Doppelrolle der Cisco ISE

    Die ISE fungiert in verschiedenen Verbindungsszenarien sowohl als Server als auch als Client und erfordert Zertifikate mit EKUs für die Server- und Clientauthentifizierung.

    Cisco ISE als Server (EKU für die Serverauthentifizierung erforderlich):

    • PxGrid 
    • ISE-Messaging-Service

    Cisco ISE als Client (Client-Authentifizierungs-EKU erforderlich):

    • TC-NAC 
    • Sicheres Syslog 
    • LDAPS
    • Radius-DTLS 

    Spezifische Anwendungsfälle

    In der folgenden Tabelle sind die Cisco ISE-Services zusammengefasst, die von den bevorstehenden EKU-Änderungen an der Clientauthentifizierungs-EKU betroffen sein könnten. Außerdem werden die erwarteten Auswirkungen für die einzelnen Services aufgeführt.

    Service

    Auswirkungen

    pxGrid

    pxGrid-Zertifikate werden für die Kommunikation zwischen ISE-Knoten und externen pxGrid-Integrationen verwendet. Während externe pxGrid-Integrationen nur Server-Authentifizierungs-EKU erfordern, erfordert die Cisco ISE derzeit importierte pxGrid-Zertifikate, die aufgrund einer Benutzeroberflächenbeschränkung sowohl Server-Authentifizierungs-EKU als auch Client-Authentifizierungs-EKU enthalten müssen. Daher werden von öffentlichen Zertifizierungsstellen ausgestellte pxGrid-Zertifikate in der Regel mit beiden EKUs bereitgestellt.

    ISE Messaging Service (IMS)

    IMS wird für die Backend-Kommunikation zwischen internen ISE-Services verwendet. Für die Cisco ISE müssen IMS-Zertifikate derzeit sowohl die Serverauthentifizierungs-EKU als auch die Clientauthentifizierungs-EKU enthalten. Von einer öffentlichen Zertifizierungsstelle mit Serverauthentifizierungs-EKU verlängerte Zertifikate können nur für IMS nicht verwendet werden. Dies kann zu Fehlern bei der internen ISE-Kommunikation führen.

    TC-NAC

    Wenn das Admin-Zertifikat nur die Serverauthentifizierungs-EKU enthält, kann die zertifikatbasierte Authentifizierung für TC-NAC beeinträchtigt werden, wenn der FIPS-Modus aktiviert ist oder wenn Tenable mit mTLS konfiguriert ist (Einführung in die ISE-Versionen 3.4P3 und 3.5).

    Sicheres Syslog 

    LDAP

    RADIUS-DTLS
    caution-icon

    Vorsicht: Kunden sollten den Zertifikatstyp überprüfen, der von allen externen pxGrid-Clients verwendet wird. Nach der Verlängerung dürfen von öffentlichen Zertifizierungsstellen signierte Zertifikate keine Clientauthentifizierungs-EKU mehr enthalten. Externe pxGrid-Client-Integrationen müssen bei der Kommunikation mit der ISE die Client-Authentifizierungs-EKU enthalten oder die Verbindung wird abgelehnt.

    Symptome 

    Nach der Bereitstellung von Server Authentication, EKU Only-Zertifikaten in der Cisco ISE beobachten Kunden beim Hochladen von pxGrid- oder ISE Messaging Service (IMS)-Zertifikaten, die nicht den aktuellen EKU-Anforderungen (Extended Key Usage) für den ausgewählten Dienst entsprechen, Fehler beim Importieren von Zertifikaten in die Cisco ISE-GUI.

    Ein Beispiel für die in der GUI angezeigte Fehlermeldung ist unten dargestellt.

    Empfehlungen

    Aktuelle Zertifikate überwachen (ERSTER SCHRITT OBLIGATORISCH) 

    • Erstellen eines Inventars aller öffentlichen TLS-Zertifikate, um zu ermitteln, welche Zertifikate die Clientauthentifizierungs-EKU enthalten
    • Verwendung von Dokumentenzertifikaten: Geben Sie an, welche Zertifikate gemäß der obigen Tabelle verwendet werden, die mit der öffentlichen Zertifizierungsstelle signiert sind. 
    • CA- und Stamminformationen überprüfen: Dokumentieren Sie, welche Zertifizierungsstelle und welcher Stamm die einzelnen Zertifikate ausgestellt hat.
    • Ablaufdatum überprüfen: Strategische Planung von Vertragsverlängerungen vor der Durchsetzung von Richtlinien

    Vorschläge für Services, für die Client EKU erforderlich ist

    Die nachfolgende Tabelle enthält empfohlene Aktionen für Cisco ISE-Services und -Integrationen, die auf Zertifikaten basieren, die die EKU für die Client-Authentifizierung enthalten.

    Service

    Empfehlungen für Maßnahmen

    TC-NAC 
    • Wenn Tenable verwendet wird, kann die strenge EKU-Validierung auf der Tenable-Seite deaktiviert werden, um die Verbindung aufrechtzuerhalten. 

    Sicheres Syslog 

    LDAP 

    RADIUS-DTLS

    PxGrid Clients (CatC, FMC...etc)

    EAP-TLS 

    Kurzfristige Lösungen (vor Juni 2026) 

    Administratoren können aus einer der folgenden Workaround-Optionen wählen: 

    Option 1: Wechseln zu öffentlichen Stammzertifizierungsstellen mit kombinierten EKU-Zertifikaten 

    Einige Public Root-CAs (wie DigiCert und IdenTrust) stellen Zertifikate mit kombinierter EKU von einem alternativen Root aus aus aus, die nicht in den Chrome-Browser-Vertrauensspeicher aufgenommen werden können.

    Beispiele für öffentliche Stammzertifizierungsstellen und EKU-Typen: 

    CA-Anbieter

    EKU-Typ

    Stamm-CA

    Issuing/Sub-CA

    IdenTrust

    clientAuth + serverAuth

    IdenTrust Stammzertifizierungsstelle für den öffentlichen Sektor 1

    IdenTrust Public Sector Server CA 1

    DigiCert

    clientAuth + serverAuth

    DigiCert Assured ID Root G2

    DigiCert Assured ID CA G2

    Voraussetzungen für diesen Ansatz: 

    • Wenden Sie sich an Ihren Zertifizierungsstellenanbieter, um die Verfügbarkeit solcher Zertifikate zu überprüfen.
    • Stellen Sie vor der Bereitstellung von Zertifikaten sicher, dass sowohl der Server, der das Zertifikat präsentiert, als auch alle Clients, die es verwenden, der entsprechenden Stammzertifizierungsstelle vertrauen.
    • Tauschen Stammzertifikatinformationen mit Kommunikations-Peers aus.
    • Auf diese Weise können Software-Upgrades vermieden werden.

    Verweise auf die Zertifikatsverwaltung:

    Option 2: Verlängerung der aktuellen Zertifikate, um ihre Gültigkeit zu verlängern

    Zertifikate, die von öffentlichen Stammzertifizierungsstellen vor Mai 2026 ausgestellt wurden und über eine EKU für die Server- und Clientauthentifizierung verfügen, werden bis zum Ablauf ihrer Laufzeit weiterhin anerkannt.

    Erneuerungsstrategie

    Allgemeine Empfehlungen:

    • Erneuern Sie kombinierte EKU-Zertifikate, bevor die Richtlinie außer Kraft gesetzt wird. 
    • Beabsichtigen Sie, die Zertifikate vor dem 15. März 2026 zu verlängern, um ihre maximale Gültigkeit zu erreichen.
    • Nach diesem Datum sind von öffentlichen Zertifizierungsstellen ausgestellte Zertifikate nur noch 200 Tage gültig.
    • Cisco empfiehlt dringend, Ihre Zertifikate vor diesem Datum zu verlängern, wenn Sie diese Option nutzen möchten.
    • Die Richtlinien für öffentliche Zertifizierungsstellen und die Implementierungsdaten können variieren.
    • Einige öffentliche Zertifizierungsstellen haben die Ausstellung kombinierter EKU-Zertifikate gestoppt und können standardmäßig keines bereitstellen.
    • Wenn Sie ein Zertifikat mit einer kombinierten EKU generieren möchten, arbeiten Sie mit Ihrer Zertifizierungsstelle zusammen, und verwenden Sie ein von öffentlichen Zertifizierungsstellen bereitgestelltes Sonderprofil.

    Option 3: Evaluierung und Migration zu alternativen Zertifizierungsstellenanbietern 

    Privater PKI-Ansatz

    • Bewertung der Machbarkeit eines Übergangs zu einer privaten PKI
    • Richten Sie eine private Zertifizierungsstelle ein, um einzelne Zertifikate mit kombinierten EKUs (Server- und Clientzertifikate mit den erforderlichen EKUs) auszustellen.
    • Wenn Sie ein privates CA-signiertes Zertifikat ausstellen, müssen Sie dem Peer Stammzertifikatinformationen zur Verfügung stellen.
    • Bevor Sie ein Zertifikat ausstellen oder bereitstellen, stellen Sie sicher, dass sowohl der Server, der das Zertifikat präsentiert, als auch alle Clients, die es nutzen, der entsprechenden Stammzertifizierungsstelle vertrauen.
    • Private CAs unterliegen nicht den Richtlinien des Chrome Root-Programms
    • Bietet langfristige Kontrolle über Zertifikatrichtlinien

    Langfristige Lösung (Software-Upgrade erforderlich) 

    Kunden sollten ein Upgrade der Cisco ISE auf eine Patch-Version durchführen, die eine aktualisierte Zertifikatbehandlung zur Unterstützung von Zertifikaten ermöglicht, die im Rahmen der neuen Zertifizierungsstellenrichtlinien ausgestellt wurden.

    Die folgenden Patch-Versionen beheben dieses Problem, das für April 2026 geplant ist:

    Cisco ISE-Version

    Patch-Version

    ISE 3.1

    Patch 11

    ISE 3.2

    Patch 10

    ISE 3.3

    Patch 11

    ISE 3.4

    Patch 6

    ISE 3.5

    Patch 3

    Verhalten nach der Patch-Installation 

    PxGrid-Zertifikat

    Nach der Installation der Patch-Version:

    • Die aktuelle Benutzeroberflächenanforderung, die sowohl die Serverauthentifizierungs-EKU als auch die Clientauthentifizierungs-EKU für pxGrid-Zertifikate erzwingt, wird entfernt.
    • Die Cisco ISE ermöglicht den Import von pxGrid-Zertifikaten, die nur die Serverauthentifizierungs-EKUs (Server- und Clientauthentifizierungs-EKUs) oder keine EKU-Erweiterung enthalten.
    • Zertifikate, die nur die Clientauthentifizierungs-EKU enthalten, werden nicht akzeptiert.

    ISE Messaging Service (IMS)-Zertifikat

    Für ISE 3.1, 3.2 und 3.3

    Das Verhalten nach der Installation des Patches wird nicht geändert. Der ISE Messaging Service benötigt weiterhin ein Zertifikat mit der Client- und Server-EKU. Kunden sollten die Verwendung eines internen ISE-Zertifizierungsstellenzertifikats planen, sobald das aktuelle Zertifikat abläuft.

    Für ISE 3.4 und 3.5

    IMS unterstützt jetzt öffentliche Zertifizierungsstellenzertifikate, die nur die Serverauthentifizierungs-EKU enthalten. Da IMS jedoch nur für die interne Cisco ISE-Kommunikation verwendet wird, empfiehlt Cisco, bei einer Erneuerung des Zertifikats das ISE Internal CA-Zertifikat zu verwenden.

    Entscheidungsablauf

    START: Verwenden Sie auf der Cisco ISE Zertifikate für öffentliche Zertifizierungsstellen?

    ├─ NEIN: Private PKI oder selbstsigniert

    │ └─ Keine Aktion erforderlich - Nicht von Richtlinie betroffen

    └─ JA: Verwendete öffentliche Zertifizierungsstellenzertifikate

       │

       ├─ Werden sie für einen der Services verwendet, die im Abschnitt "Spezifische betroffene Anwendungsfälle" genannt werden?

       │ │

       │ ├─ Services, wenn ISE als TLS-Client fungiert

       │ │ └─ Lesen Sie den Abschnitt "Vorschläge für Services, die Client-EKU erfordern".

       │ │

       │ └─ Services, wenn ISE als TLS-Server (PxGrid ODER IMS) agiert 

       │ │

       │ └─ Wählen Sie IHREN Ansatz:

       │ │

       │ ├─ Option A: Zu alternativer Root-CA wechseln

       │ │ ├─ CA-Anbieter für kombinierte EKU von alternativer Root kontaktieren

       │ │ ├─ Stellen Sie sicher, dass alle Peers dem neuen Root vertrauen

       │ │ └─ Sofortiges Software-Upgrade nicht erforderlich

       │ │

       │ ├─ Option B: Verlängerung von Zertifikaten vor Ablauf der Frist

       │ │ ├─ So können Sie die Dringlichkeit von Patches für die Cisco ISE reduzieren

       │ │ │  

       │ │ ├─ Maximale Gültigkeit: Verlängern Sie Ihren Vertrag vor dem 15. März 2026

       │ │ └─ Kaufzeit bis zum Ablauf des Zertifikats

       │ │

       │ ├─ Option C: Migration zu privater PKI 

       │ │ ├─ Einrichtung einer privaten Zertifizierungsstelleninfrastruktur

       │ │ ├─ Gemeinsame EKU-Zertifikate ausstellen

       │ │ ├─ Installieren der neuen Zertifizierungsstelle im vertrauenswürdigen ISE-Store 

       │ │ └─ Langzeitkontrolle

       │ │

       │ └─ Option D: Software-Upgrade planen

       │ ├─ Anwenden der erforderlichen ISE-Patch-Version (verfügbar ab April 2026)

       

        

    Häufig gestellte Fragen

    Allgemeine Fragen

    F: Muss ich mir darüber Gedanken machen, wenn ich eine private PKI verwende?

    A : Nein. Diese Richtlinie wirkt sich nur auf Zertifikate aus, die von öffentlichen Stammzertifizierungsstellen ausgestellt wurden. Private PKI und selbstsignierte Zertifikate sind nicht betroffen.

    F: Kann ich meine vorhandenen Zertifikate weiterhin verwenden?

    A : Ja, vorhandene Zertifikate mit kombinierter EKU bleiben bis zu ihrem Ablauf gültig. Das Problem tritt auf, wenn eine Verlängerung erforderlich ist. Sie funktionieren sowohl für TLS- als auch für mTLS-Verbindungen bis zum Ablauf.

    F: Woher weiß ich, ob ich mTLS oder Standard-TLS verwende?

    A : Lesen Sie den Abschnitt "Spezifische betroffene Anwendungsfälle". 

    Fragen zum Upgrade

    Zertifikatsverwaltung

    Fragen zum Zeitplan

    F: Was passiert am 15. Juni 2026?

    A : Chrome beendet das Vertrauen in öffentliche TLS-Zertifikate, die sowohl Server- als auch Clientauthentifizierungs-EKUs enthalten. Dienste, die solche Zertifikate verwenden, können fehlschlagen.

    F: Warum muss ich die Lizenz vor dem 15. März 2026 verlängern?

    A : Nach dem 15. März 2026 verkürzt sich die Gültigkeitsdauer der Zertifikate von 398 auf 200 Tage. Wenn Sie das Zertifikat vor diesem Datum verlängern, haben Sie die maximale Lebensdauer.

    Frage: Bis zu welchem Termin müssen Maßnahmen ergriffen werden?

    A : Es gibt mehrere Fristen:

    • 15. März 2026: Die Gültigkeit des Zertifikats wird auf 200 Tage reduziert.
    • Mai 2026: Die meisten öffentlichen Zertifizierungsstellen geben kombinierte EKU nicht mehr vollständig aus.
    • März 2027: Chrome-Richtlinie vollständig durchgesetzt

    Zusätzliche Ressourcen 

    • Cisco Bug-ID: CSCws83036 - Folgenabschätzung der ClientAuth EKU-Durchsetzung in der ISE 

    Externe Referenzen 

    Ressourcen der Zertifizierungsstelle 

    Schlussfolgerung 

    Die Einstellung der EKU für die Client-Authentifizierung in öffentlichen Zertifizierungsstellenzertifikaten stellt eine erhebliche Änderung der Sicherheitsrichtlinien dar, die sich auf Cisco ISE-Bereitstellungen mit mTLS-Verbindungen auswirkt. Obwohl es sich hierbei um eine branchenweite Änderung handelt, ist die Auswirkungsstufe KRITISCH, und es sind sofortige Maßnahmen erforderlich, um Serviceunterbrechungen zu verhindern.

    Revisionsverlauf

    Überarbeitung Veröffentlichungsdatum Kommentare
    1.0
    12-Mar-2026
    Erstveröffentlichung
    TAC Authored

    Beiträge von Cisco Ingenieuren

    • Jonathan Casillas
      Technischer Leiter im Bereich Sicherheit
    • Jesse Dubois
      Technischer Leiter im Bereich Sicherheit

    War dieses Dokument hilfreich?

    FeedbackFeedback

    Cisco kontaktieren

    Dieses Dokument gilt für folgende Produkte.