Certificados TLS/SSL en ISE

Opciones de descarga

  • PDF     (2.3 MB)
    Visualice con Adobe Reader en una variedad de dispositivos
  • ePub     (2.4 MB)
    Visualice en diferentes aplicaciones en iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (1.9 MB)
    Visualice en dispositivo Kindle o aplicación Kindle en múltiples dispositivos
Actualizado:4 de junio de 2020
ID del documento:215621

Lenguaje no discriminatorio

El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.

Acerca de esta traducción

Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).

    Introducción

    Este documento describe los certificados TLS/SSL en Cisco Identity Services Engine (ISE). Abarca los tipos y funciones de los certificados ISE, cómo realizar tareas comunes y la resolución de problemas, y, por último, responde a las preguntas frecuentes frecuentes. Abarca ISE de la versión 2.4 a la 2.7; sin embargo, debería ser similar o idéntico a otras versiones de software de ISE 2.x a menos que se indique lo contrario.

    Prerequisites

    Requirements

    Cisco recomienda que tenga conocimiento sobre estos temas:

    1. Cisco Identity Services Engine (ISE)
    2. La terminología utilizada para describir diferentes tipos de implementaciones de ISE y AAA.
    3. Conceptos básicos de AAA y protocolo RADIUS
    4. Certificados SSL/TLS y x509
    5. Conceptos básicos de la infraestructura de clave pública (PKI)

    Componentes Utilizados

    La información que contiene este documento se basa en las siguientes versiones de software y hardware.

    • Cisco Identity Services Engine (ISE), versiones 2.4 - 2.7

    The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Si su red está activa, asegúrese de comprender el impacto potencial de cualquier comando o configuración.

    Certificados de servidor


    Los servidores utilizan los certificados de servidor para presentar la identidad del servidor a los clientes con fines de autenticidad y para proporcionar un canal seguro para la comunicación. Éstos pueden estar autofirmados (cuando el servidor se hace cargo del certificado) o expedidos por una autoridad certificadora (ya sea interna de una organización o de un proveedor conocido).

    Los certificados de servidor se emiten normalmente a nombres de host o FQDN (nombre de dominio completo) del servidor, o también pueden ser un certificado comodín (*.domain.com). Los hosts, dominios o subdominios a los que se emite se mencionan normalmente en los campos Nombre común (CN) o Nombre alternativo del sujeto (SAN).

    Los certificados comodín son certificados SSL que utilizan una notación comodín (un asterisco en lugar del nombre de host) y, por lo tanto, permiten que el mismo certificado se comparta entre varios hosts de una organización. Un valor CN o SAN de ejemplo para el nombre de asunto de un certificado comodín sería similar a *.company.com como ejemplo y se puede utilizar para proteger cualquier host de este dominio, como server1.com, server2.com, etc.

    Los certificados suelen utilizar criptografía de clave pública o cifrado asimétrico.

    • Clave pública: La clave pública está presente en el certificado en uno de los campos y es compartida públicamente por un sistema cuando un dispositivo intenta comunicarse con él.
    • Clave privada: La clave privada es privada para el sistema final y se combina con la clave pública. Los datos cifrados por una clave pública sólo pueden ser descifrados por la clave privada emparejada específica y viceversa.

    Precaución: ISE actualmente no admite certificados que utilicen RSASSA-PSS como algoritmo de firma. Esto incluye el certificado de servidor, el certificado raíz, intermedio o de cliente (es decir, EAP-TLS, PEAP (TLS), etc.). Consulte CSCug22137

    Certificados ISE


    Cisco Identity Services Engine (ISE) se basa en la infraestructura de clave pública (PKI) para proporcionar una comunicación segura con terminales, usuarios, administradores, etc., así como entre nodos Cisco ISE en una implementación de varios nodos. PKI se basa en certificados digitales x.509 para transferir claves públicas para el cifrado y el descifrado de mensajes, y para verificar la autenticidad de otros certificados presentados por usuarios y dispositivos. Cisco ISE tiene dos categorías de certificados que se utilizan habitualmente:

    • Certificados del sistema: Estos son certificados de servidor que identifican un nodo de Cisco ISE para los clientes. Cada nodo de Cisco ISE tiene sus propios certificados locales, cada uno de los cuales se almacena en el nodo junto con la clave privada correspondiente.

    • Certificados de confianza Almacenar certificados: Se trata de certificados de autoridad certificadora (CA) utilizados para validar los certificados presentados a ISE con diversos fines. Estos certificados del almacén de certificados se administran en el nodo Administración principal y se replican en todos los demás nodos de una implementación distribuida de Cisco ISE. El almacén de certificados también contiene certificados generados para los nodos ISE por la autoridad de certificados interna de ISE destinados a BYOD. 

    Certificados del sistema


    Los certificados del sistema se pueden utilizar para una o más funciones. Cada función tiene un propósito diferente y se explica aquí:

    • Admin: se utilizó para proteger toda la comunicación a través de 443 (GUI de administración), así como para la replicación, y para cualquier puerto/uso que no aparezca aquí.

    • Portal: se utiliza para proteger la comunicación HTTP a través de portales como el portal de autenticación web centralizada (CWA), el invitado, BYOD, el aprovisionamiento de clientes y los portales de aprovisionamiento de suplicantes nativos, etc. Cada portal debe asignarse a una etiqueta de grupo de portal (el valor predeterminado es Default Portal Group Tag) que indica al portal el certificado específicamente etiquetado que se debe utilizar. El menú desplegable Nombre de etiqueta de grupo de portal de las opciones de edición del certificado permite crear una nueva etiqueta o seleccionar una existente.

    • EAP: función que especifica el certificado presentado a los clientes para la autenticación 802.1x. Los certificados se utilizan con casi todos los métodos EAP posibles, como EAP-TLS, PEAP, EAP-FAST, etc. Con métodos EAP tunelados como PEAP y FAST, la seguridad de la capa de transporte (TLS) se utiliza para asegurar el intercambio de credenciales. Las credenciales del cliente no se envían al servidor hasta después de establecer este túnel para garantizar un intercambio seguro.

    • RADIUS DTLS: Esta función especifica el certificado que se utilizará para una conexión DTLS (conexión TLS sobre UDP) para cifrar el tráfico RADIUS entre un dispositivo de acceso a la red (NAD) y el ISE. NAD debe ser compatible con el cifrado DTLS para que esta función funcione.

    • SAML: certificado de servidor utilizado para proteger la comunicación con el proveedor de identidad SAML (IdP). Un certificado designado para el uso de SAML no se puede utilizar para ningún otro servicio como Admin, EAP authentication, etc.
    • Servicio de mensajería ISE: Desde la versión 2.6, ISE utiliza el servicio de mensajería ISE en lugar del protocolo Syslog heredado para registrar los datos. Esto se utiliza para cifrar esta comunicación.

    • PxGrid: Este certificado se utiliza para los servicios PxGrid en ISE.

    Cuando se instala ISE, genera un certificado de servidor autofirmado predeterminado. Esto se asigna para EAP Authentication, Admin, Portal y RADIUS DTLS de forma predeterminada. Se recomienda mover estas funciones a una CA interna o a un certificado firmado por la CA.

    Consejo: Es una buena práctica asegurarse de que tanto el FQDN como las direcciones IP del servidor ISE se agregan al campo Subject Alternative Name del certificado del sistema ISE. En general, para garantizar que la autenticación de certificados en Cisco ISE no se vea afectada por diferencias menores en las funciones de verificación basadas en certificados, utilice nombres de host en minúsculas para todos los nodos Cisco ISE implementados en una red.

    Nota: El formato de un certificado ISE debe ser Privacy Enhanced Mail (PEM) o Distinguished Encoding Rules (DER). 

    Almacén de certificados de confianza

    Los certificados de la autoridad certificadora deben almacenarse en Administration > System > Certificates > Certificate Store y deben tener la Trust for client authentication use-case para asegurarse de que ISE utilice estos certificados para validar los certificados presentados por los terminales, dispositivos u otros nodos ISE.

    Tareas básicas

    El certificado tiene una fecha de vencimiento y puede revocarse o ser necesario sustituirlo en algún momento. Si el certificado del servidor ISE caduca, pueden surgir problemas graves a menos que se reemplace por un certificado nuevo y válido.

    Nota: Si caduca el certificado que se utiliza para el protocolo de autenticación extensible (EAP), las autenticaciones de los clientes pueden fallar porque el cliente ya no confía en el certificado ISE. Si caduca un certificado utilizado para los portales, los clientes y navegadores pueden negarse a conectarse al portal. Si caduca el certificado de uso del administrador, el riesgo es aún mayor, lo que impide que un administrador inicie sesión en ISE y la implementación distribuida podría dejar de funcionar como debería.

    Generar un certificado firmado automáticamente

    Para generar nuevos certificados autofirmados, navegue hasta Administración > Sistema > Certificados > Certificados del sistema. Haga clic en Generar certificado firmado automáticamente

    Esta lista describe los campos de la página Generar certificado firmado automáticamente.

    Instrucciones de uso del nombre del campo Configuración del certificado firmado automáticamente:

    • Seleccione Nodo:(obligatorio) El nodo para el que se necesita generar el certificado del sistema.

    • Nombre común (CN): (obligatorio si no se especifica SAN) De forma predeterminada, el nombre común es el nombre de dominio completo del nodo ISE para el que se genera el certificado autofirmado.

    • Unidad organizativa (OU): nombre de la unidad organizativa. Por ejemplo, Ingeniería.

    • Organización (O): Nombre de la organización. Por ejemplo, Cisco.

    • Ciudad (L): (No abreviar) Nombre de la ciudad. Por ejemplo, San José.

    • Estado (ST): (No abreviar) Nombre de estado. Por ejemplo, California.

    • País (C): Nombre del país. Se necesita el código de país ISO de dos letras. Por ejemplo, Estados Unidos.

    • Nombre alternativo del asunto (SAN): dirección IP, nombre DNS o identificador uniforme de recursos (URI) asociado al certificado.

    • Tipo de clave: especifique el algoritmo que se utilizará para crear la clave pública: RSA o ECDSA.

    • Longitud de la clave: especifique el tamaño del bit para la clave pública. Estas opciones están disponibles para RSA: 512 1024 2048 4096 y estas opciones están disponibles para ECDSA: 256 384

    • Resumen para firmar con: Elija uno de estos algoritmos hash: SHA-1 o SHA-256.

    • Políticas de certificado: Introduzca el OID de la política de certificados o la lista de OID a los que debe ajustarse el certificado. Utilice coma o espacio para separar los OID.

    • TTL de vencimiento: Especifique el número de días después de la expiración del certificado.

    • Nombre descriptivo: introduzca un nombre descriptivo para el certificado. Si no se especifica ningún nombre, Cisco ISE crea automáticamente un nombre con el formato <nombre común> # <emisor> # <nnnnn> donde <nnnn> es un número único de cinco dígitos.

    • Permitir certificados comodín: active esta casilla de verificación si desea generar un certificado comodín autofirmado (un certificado que contiene un asterisco (*) en cualquier nombre común en el asunto o el nombre DNS en el nombre alternativo del sujeto. Por ejemplo, el nombre DNS asignado a la SAN puede ser *.domain.com.

    • Uso: Elija el servicio para el que se debe utilizar este certificado del sistema. Las opciones disponibles son:
       
      • Admin
      • Autenticación EAP
      • RADIUS DTLS
      • pxGrid
      • SAML
      • Portal

    Nota: Las claves públicas RSA y ECDSA pueden tener diferentes longitudes de clave para el mismo nivel de seguridad. Elija 2048 si la intención es obtener un certificado público firmado por CA o implementar Cisco ISE como un sistema de administración de políticas compatible con FIPS.

    Renovar un certificado autofirmado

    Para ver los certificados autofirmados existentes, navegue hasta Administration > System > Certificates > System Certificates en la consola ISE. Cualquier certificado con el FQDN del mismo servidor ISE emitido y emitido por, si se menciona el FQDN del mismo, será un certificado autofirmado. Seleccione este certificado y haga clic en Editar.
    En Renew Self Signed Certificate, marque la casilla Renewal Period y establezca el TTL de vencimiento según sea necesario. Por último, haga clic en Guardar.

    Instalación de un certificado de confianza

    Obtenga los certificados codificados Base 64 de la CA raíz, las CA intermedias o los hosts necesarios para ser confiables.


    1. Inicie sesión en el nodo ISE y navegue hasta Administration > System > Certificate Management > Trusted Certificates y haga clic en Import, como se muestra en esta imagen.

    2. En la página siguiente, cargue los certificados de CA que se obtuvieron (en el mismo orden que el anterior). Asigne un nombre descriptivo y una descripción que explique para qué sirve el certificado para realizar un seguimiento.

    De acuerdo con las necesidades de uso, active las casillas que aparecen junto a:

    • Confiar en la autenticación dentro de ISE: se trata de agregar nuevos nodos ISE cuando tienen el mismo certificado de CA de confianza cargado en su almacén de certificados de confianza.
    • Trust for client authentication and Syslog (Confiar en la autenticación del cliente y en Syslog): active esta opción para utilizar este certificado para autenticar los terminales que se conectan a ISE con EAP o con servidores Secure Syslog.
    • Confianza en la autenticación de los servicios de Cisco: solo se necesita para confiar en los servicios externos de Cisco, como un servicio de alimentación.

    3. Por último, haga clic en Enviar. Ahora el certificado debe estar visible en el almacén de confianza y sincronizarse en todos los nodos ISE secundarios (si se encuentra en una implementación).

    Paso 4. Instalación de un certificado firmado por CA

    Una vez que se agregan los certificados de las CA raíz e intermedia al almacén de certificados de confianza, se puede emitir una solicitud de firma de certificados (CSR) y el certificado firmado en función de la CSR se puede enlazar al nodo ISE.


    1. Para hacerlo, navegue hasta Administration > System > Certificates > Certificate Signing Requests y haga clic en Generate Certificate Signing Requests (CSR) para generar una CSR.

    2. En la página que aparece, en la sección Uso, seleccione la función que desea utilizar en el menú desplegable.

    Si el certificado se utiliza para varias funciones, seleccione Varios usos. Una vez que se genera el certificado, las funciones se pueden cambiar si es necesario. En la mayoría de los casos, el certificado se puede configurar para que se utilice para varios usos en la lista desplegable Utilizado para: esto permite que el certificado se pueda utilizar para todos los portales web de ISE.

    3. Active la casilla junto a los nodos ISE para seleccionar los nodos para los que se genera el certificado.

    4. Si el propósito es instalar/generar un certificado comodín, marque la casilla Permitir certificados comodín.

    5. Rellene la información del asunto en función de los detalles del organizador (unidad organizativa, organización, ciudad, estado y país).

    6. Para finalizar esto, haga clic en Generar y luego haga clic en Exportar en la ventana emergente que aparece.

    Esto descarga la solicitud de certificado codificada en base 64 que se acaba de crear. Este archivo PEM se necesita para enviarse a la CA para la firma y obtener el archivo CER de certificado firmado resultante (codificado en base 64).

    Nota: en el campo Nombre común (CN), ISE rellena automáticamente el nombre de dominio completo (FQDN) del nodo.

    Nota: En ISE 1.3 y 1.4, era necesario emitir dos CSR al menos para utilizar pxGrid. Uno se dedicaría a pxGrid y uno al resto de los servicios. Desde la versión 2.0 y superiores, todo esto en una CSR.

    Nota: Si el certificado se utiliza para las autenticaciones EAP, el símbolo * no debe estar en el campo Asunto CN, ya que los suplicantes de Windows rechazan el certificado del servidor. Incluso cuando se inhabilita Validate Server Identity en el suplicante, el intercambio de señales SSL puede fallar cuando * está en el campo CN. En su lugar, se puede utilizar un FQDN genérico en el campo CN y, a continuación, se puede utilizar *.domain.com en el campo Nombre DNS del nombre alternativo del asunto (SAN). Algunas autoridades certificadoras (CA) pueden agregar automáticamente el comodín (*) en el CN del certificado aunque no esté presente en el CSR. En esta situación, se requiere una solicitud especial para evitar esta acción.


    7. Una vez que el certificado ha sido firmado por la CA(que se generó desde la CSR como se muestra en el video, si se utiliza Microsoft CA, aquí), vuelva a la GUI de ISE y navegue hasta Administración > Sistema > Certificados > Administración de certificados > Solicitud de firma de certificados; Marque la casilla junto a la CSR creada anteriormente y haga clic en el botón Enlazar certificado.

    8. A continuación, cargue el certificado firmado que se acaba de recibir y asígnele un nombre descriptivo para ISE. A continuación, seleccione los cuadros junto a los usos según la necesidad del certificado (como Administración y autenticación EAP, Portal, etc.) y haga clic en Enviar, como se muestra en esta imagen.

    Si se ha seleccionado la función de administrador para este certificado, el nodo ISE debe reiniciar sus servicios. Según la versión y los recursos asignados a la máquina virtual, esto puede tardar entre 10 y 15 minutos. Para verificar el estado de la aplicación, abra la línea de comandos de ISE y ejecute el comando show application status ise.


    Si se seleccionó la función de administrador o portal en la importación del certificado, se puede verificar que el nuevo certificado esté en su lugar cuando se accede a las páginas del administrador o del portal en el navegador. Seleccione el símbolo de bloqueo en el navegador y, bajo el certificado, la ruta verifica que la cadena completa esté presente y en la que la máquina confía. El explorador debe confiar en el nuevo certificado de administrador o portal siempre y cuando la cadena se haya creado correctamente y si el explorador confía en la cadena de certificados.

    Nota: Para renovar un certificado del sistema firmado por CA, genere un CSR nuevo y enlace el certificado firmado a él con las mismas opciones. Dado que es posible instalar un nuevo certificado en el ISE antes de que esté activo, planifique la instalación del nuevo certificado antes de que venza el certificado antiguo. Este período de superposición entre la fecha de vencimiento del certificado antiguo y la nueva fecha de inicio del certificado da tiempo para renovar los certificados y planificar su intercambio con un tiempo de inactividad escaso o nulo. Obtenga un nuevo certificado con una fecha de inicio que preceda a la fecha de vencimiento del certificado antiguo. El período de tiempo entre esas dos fechas es la ventana de cambio. Una vez que el nuevo certificado introduzca su intervalo de fechas válido, active los protocolos necesarios (Admin/EAP/Portal). Recuerde que si el uso de Admin está habilitado, hay un reinicio del servicio.

    Consejo: Se recomienda utilizar la CA interna de la empresa para los certificados de administrador y EAP, y un certificado firmado públicamente para los portales Guest/Sponsor/Hotspot/etc. La razón es que si un usuario o invitado llega a la red y el portal de ISE utiliza un certificado firmado de forma privada para el Portal de invitados, obtienen errores de certificado o, potencialmente, su navegador los bloquea de la página del portal. Para evitar todo esto, utilice un certificado firmado públicamente para el uso del portal para garantizar una mejor experiencia del usuario. Además, se debe agregar la dirección IP de cada nodo de implementación al campo SAN para evitar una advertencia de certificado cuando se accede al servidor a través de la dirección IP.

    Certificados de copia de seguridad y claves privadas


    Se recomienda exportar:
    1. Todos los certificados del sistema (de todos los nodos de la implementación) junto con sus claves privadas (esto es necesario para reinstalarlos) en una ubicación segura. Tenga en cuenta la configuración del certificado (para qué servicio se utilizó el certificado).


    2. Todos los certificados del almacén de certificados de confianza del nodo de administración principal. Tenga en cuenta la configuración del certificado (para qué servicio se utilizó el certificado).

    3. Todos los certificados de autoridad certificadora.


    Para ello,

    1. Vaya a Administration > System > Certificates > Certificate Management > System Certificates. Seleccione el certificado y haga clic en Exportar. Seleccione el botón de opción Exportar certificados y Claves privadas. Introduzca la contraseña de la clave privada y Confirme la contraseña. Haga clic en Exportar.

    2. Vaya a Administration > System > Certificates > Certificate Management > Trusted Certificates. Seleccione el certificado y haga clic en Exportar. Haga clic en Guardar archivo para exportar el certificado.

    3. Vaya a Administration > System > Certificates > Certificate Authority > Certificate Authority Certificates. Seleccione el certificado y haga clic en Exportar. Seleccione el botón de opción Exportar certificados y Claves privadas. Introduzca la contraseña de la clave privada y Confirme la contraseña. Haga clic en Exportar. Haga clic en Guardar archivo para exportar el certificado.

    Troubleshoot

    Comprobar la validez del certificado

    El proceso de actualización falla si algún certificado del almacén de certificados de confianza de Cisco ISE o de certificados del sistema ha caducado. Asegúrese de comprobar la validez en el campo Fecha de vencimiento de las ventanas Certificados de confianza y Certificados del sistema (Administración > Sistema > Certificados > Administración de certificados) y renuévelos, si es necesario, antes de la actualización.

    Además, verifique la validez en el campo Fecha de vencimiento de los certificados en la ventana Certificados de CA (Administración > Sistema > Certificados > Autoridad de Certificación > Certificados de Autoridad de Certificación) y renuévelos, si es necesario, antes de la actualización.

    Eliminar un certificado

    En caso de que un certificado del ISE caduque o no se utilice, es necesario eliminarlo. Asegúrese de exportar los certificados (con sus claves privadas, si procede) antes de eliminarlos.

    Para eliminar un certificado caducado, navegue hasta Administración > Sistema > Certificados > Administración de certificados. Haga clic en el almacén de certificados del sistema. Seleccione los certificados caducados y haga clic en Eliminar.
    Siga el mismo procedimiento para los almacenes de certificados de autoridad de certificación y certificados de confianza.

    El solicitante no confía en el certificado del servidor ISE en una autenticación 802.1x

    Verifique si ISE envía la cadena de certificados completa para el proceso de intercambio de señales SSL.

    Con los métodos EAP que requieren un certificado de servidor (es decir, PEAP) y Validar identidad de servidor se seleccionan en la configuración del sistema operativo del cliente, el solicitante valida la cadena de certificados con los certificados que tiene en su almacén de confianza local como parte del proceso de autenticación. Como parte del proceso de intercambio de señales SSL, ISE presenta su certificado y también cualquier certificado raíz o intermedio presente en su cadena. El suplicante no podrá validar la identidad del servidor si la cadena está incompleta o si carece de esta cadena en su almacén de confianza.

    Para verificar que la cadena de certificados se devuelve al cliente, tome una captura de paquetes de ISE (Operaciones > Herramientas de diagnóstico > Herramientas generales > Volcado TCP) o captura de Wireshark en el terminal en el momento de la autenticación. Abra la captura y aplique el filtro ssl.handshake.certificates en Wireshark y encuentre un desafío de acceso.

    Una vez Seleccionado, navegue hasta Expandir Protocolo Radius > Pares de Valor de Atributo > Último segmento de Mensaje EAP > Protocolo de Autenticación Extensible > Capa de sockets seguros > Certificado > Certificados.

    Si la cadena está incompleta, navegue hasta Administración ISE > Certificados > Certificados de confianza y verifique que los certificados raíz e intermedio estén presentes. Si la cadena de certificados se pasa correctamente, la propia cadena debe verificarse como válida con el método descrito aquí.

    Abra cada certificado (servidor, intermedio y raíz) y verifique la cadena de confianza para que coincida con el identificador de clave de asunto (SKI) de cada certificado al identificador de clave de autoridad (AKI) del siguiente certificado de la cadena.

    La cadena de certificados ISE es correcta pero el terminal rechaza el certificado de servidor ISE durante la autenticación

    Si ISE presenta su cadena completa de certificados para el intercambio de señales SSL y el solicitante aún ha rechazado la cadena de certificados; el paso siguiente es verificar que los certificados raíz e intermedio estén en el almacén de confianza local del cliente.

    Para verificar esto desde un dispositivo Windows, inicie mmc.exe(Microsoft Management Console), navegue hasta Archivo > Complemento Add-Remove. En la columna Complementos disponibles, seleccione Certificados y haga clic en Agregar. Seleccione Mi cuenta de usuario o cuenta de equipo en función del tipo de autenticación en uso (Usuario o Equipo) y, a continuación, haga clic en Aceptar.

    En la vista de consola, seleccione Autoridades de certificación raíz de confianza y Autoridades de certificación intermedias para verificar la presencia de certificados raíz e intermedio en el almacén de confianza local.


    Una manera fácil de verificar que se trata de un problema de verificación de identidad del servidor, desmarque Validar certificado del servidor en la configuración del perfil del solicitante y vuelva a probarlo.

    Preguntas Frecuentes

    ¿Qué hacer cuando ISE arroja una advertencia de que el certificado ya existe?

    Este mensaje significa que ISE ha detectado un certificado del sistema con el mismo parámetro OU exacto y que se intentó instalar un certificado duplicado. Como no se admite el duplicado del certificado del sistema, se recomienda simplemente cambiar cualquiera de la ciudad/estado/departamento. valores a un valor ligeramente diferente para asegurarse de que el nuevo certificado es diferente.

    ¿Por qué el explorador emite una advertencia de que la página del portal de estados de ISE la presenta un servidor no fiable?

    Esto sucede cuando el explorador no confía en el certificado de identidad del servidor.


    En primer lugar, asegúrese de que el certificado del portal visible en el navegador es lo que se esperaba y se configuró en ISE para el portal.
    En segundo lugar, asegúrese de acceder al portal a través de FQDN; en el caso de que la dirección IP esté en uso, asegúrese de que tanto el FQDN como la dirección IP estén en los campos SAN y/o CN del certificado.
    Por último, asegúrese de que la cadena de certificados del portal (el portal ISE, las CA intermedias, los certificados de CA raíz) se importan/confian en el software del navegador/SO del cliente.

    Nota: Algunas versiones más recientes de los navegadores iOS, Android OS y Chrome/Firefox tienen estrictas expectativas de seguridad del certificado. Incluso si se cumplen los puntos anteriores, es posible que se nieguen a conectarse si el portal y las CA intermedias son inferiores a SHA-256.

    ¿Qué hacer cuando una actualización falla debido a certificados no válidos?

    El proceso de actualización falla si algún certificado del almacén de certificados de confianza de Cisco ISE o de certificados del sistema ha caducado. Asegúrese de comprobar la validez en el campo Fecha de vencimiento de las ventanas Certificados de confianza y Certificados del sistema (Administración > Sistema > Certificados > Gestión de certificados) y renuévelos, si es necesario, antes de la actualización.

    Además, verifique la validez en el campo Fecha de vencimiento de los certificados en la ventana Certificados de CA (Administración > Sistema > Certificados > Autoridad de Certificación > Certificados de Autoridad de Certificación) y renuévelos, si es necesario, antes de la actualización.

    Antes de actualizar ISE, asegúrese de que la cadena de certificados de CA interna es válida.

    Vaya a Administration > System > Certificates > Certificate Authority Certificates. Para cada nodo de la implementación, seleccione el certificado con la subCA del terminal de servicios de certificados en la columna Nombre descriptivo. Haga clic en Ver y verifique si el estado del certificado es un mensaje bueno está visible.

    Si se rompe alguna cadena de certificados, asegúrese de solucionar el problema antes de que comience el proceso de actualización de Cisco ISE. Para solucionar el problema, navegue hasta Administración > Sistema > Certificados > Administración de certificados > Solicitudes de firma de certificados, y genere una para la opción CA raíz de ISE.

    Información Relacionada

    TAC Authored

    Con la colaboración de ingenieros de Cisco

    • Reetam Mandal
      Cisco TAC Engineer

    ¿Resultó útil este documento?

    FeedbackComentarios

    Contacte a Cisco