Certificados TLS/SSL en ISE

Introducción

Este documento describe los Certificados TLS/SSL en Cisco Identity Services Engine (ISE). Cubre las clases y el papeles de los Certificados ISE, cómo realizar las tareas y el troubleshooting comunes, y finalmente contesta a los FAQ frecuentes. Cubre ISE de la versión 2.4 a 2.7, no obstante debe ser similar o idéntico a otras versiones de software ISE 2.x a menos que se indique lo contrario.

Prerrequisitos

Requisitos

Cisco recomienda que tenga conocimiento sobre estos temas:

1. Cisco Identity Services Engine (ISE)
2. La terminología usada para describir diversos tipos de implementaciones ISE y AAA.
3. Protocolo RADIUS y fundamentos AAA
4. Certificados SSL/TLS y x509
5. Fundamentos de Infrastructure(PKI) de la clave pública

Componentes Utilizados

La información que contiene este documento se basa en las siguientes versiones de software y hardware.

• Cisco Identity Services Engine (ISE), versiones 2.4 - 2.7

La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si su red está viva, asegúrese de que usted entienda el impacto potencial del comando any o de la configuración.

Certificados de servidor

Los certificados de servidor son utilizados por los servidores para presentar la identidad del servidor a los clientes para la autenticidad y para proporcionar a un canal seguro para la comunicación. Éstos se pueden uno mismo-firmar (donde los problemas de servidor el certificado a sí mismo) o publicar por una autoridad de certificación (interno a una organización o de un vendedor bien conocido).

Los certificados de servidor se publican típicamente a los hostname o a FQDN (nombre de dominio completo) del servidor, o pueden también ser un certificado del comodín (*.domain.com). El host, el dominio, o el subdomain que ha publicado a se menciona típicamente en el Name(CN) común o los campos alternativos sujetos de Name(SAN).

Los Certificados del comodín son los Certificados SSL que utilizan una notación del comodín (un asterisco en lugar del hostname) y permiten así que el mismo certificado sea compartido a través de los host múltiples en una organización. Un valor NC o SAN del ejemplo para el asunto de un certificado del comodín parecería similar a *.company.com como un ejemplo y se puede utilizar para asegurar cualquier host de este dominio tal como server1.com, server2.com, etc.

De los Certificados Cifrado de clave pública o encriptación asimétrica del uso típicamente.

• Clave pública: La clave pública está presente en el certificado en uno de los campos, y es compartida público por un sistema cuando un dispositivo intenta comunicar con él.
• Clave privada: La clave privada es privada al fin-sistema y se empareja con la clave pública. Los datos cifrados por una clave pública se pueden desencriptar solamente por la clave privada emparejada específica y vice versa.

Precaución: ISE no utiliza actualmente los Certificados que utilizan RSASSA-PSS como el algoritmo de la firma. Esto incluye el certificado de servidor, la raíz, el intermedio, o el certificado del cliente (es decir EAP-TLS, PEAP (TLS), etc.). Refiera a CSCug22137

Certificados ISE

El Cisco Identity Services Engine (ISE) confía en el Public Key Infrastructure (PKI) para proporcionar a la comunicación segura con las puntos finales, los usuarios, los administradores, el etc. así como entre los Nodos de Cisco ISE en un despliegue del multinode. PKI confía en los Certificados digitales x.509 para transferir las claves públicas para el cifrado y el desciframiento de los mensajes, y para verificar la autenticidad de otros Certificados presentados por los usuarios y los dispositivos. Cisco ISE tiene dos categorías de Certificados usados generalmente:

• Certificados del sistema: Éstos son los certificados de servidor que identifican un nodo de Cisco ISE a los clientes. Cada nodo de Cisco ISE tiene sus propios Certificados locales, que se salva en el nodo junto con la clave privada respectiva.
  
  
• Certificados del almacén de los certificados confiables: Éstos son Certificados del Certificate Authority (CA) usados para validar los Certificados presentados al ISE para los diversos propósitos. Estos Certificados en el almacén de certificados se manejan en el nodo primario de la administración y se replican al resto de los Nodos en un despliegue distribuido de Cisco ISE. El almacén de certificados también contiene los Certificados que son generados para los Nodos ISE por la autoridad de certificación interna de ISE previsto para BYOD. 

Certificados del sistema

Los Certificados del sistema se pueden utilizar para uno o más papeles. Cada papel responde a un diverso propósito y se explica aquí:

• Admin: Esto usado para asegurar toda la comunicación sobre GUI 443(Admin), así como para la replicación, y para cualquier puerto/uso no enumerados aquí.
  
  
• Portal: Esto se utiliza para asegurar la comunicación HTTP sobre los portales como el portal centralizado de la autenticación Web (CWA), invitado, BYOD, aprovisionamiento del cliente, y los portales nativos del aprovisionamiento del suplicante, etc. Cada portal necesita ser asociado a una etiqueta porta del grupo (el valor por defecto es etiqueta porta del grupo del valor por defecto) que dé instrucciones el portal el certificado específicamente marcado con etiqueta para ser utilizada. El menú desplegable porta del nombre de la etiqueta del grupo en las opciones del corregir del certificado permite que una nueva etiqueta sea creada o una etiqueta existente que se seleccionará.
  
  
• EAP: Éste es un papel que especifica el certificado presentado a los clientes para la autenticación del 802.1x. Los Certificados se utilizan con casi cada método EAP posible tal como EAP-TLS, PEAP, EAP-FAST, etc. Con los métodos EAP hechos un túnel tales como PEAP y AYUNA, Transport Layer Security (TLS) se utiliza para asegurar el intercambio credencial. Las credenciales del cliente no se envían al servidor hasta después de que este túnel se establezca para asegurar un intercambio seguro.
  
  
• RADIUS DTL: Este papel especifica el certificado que se utilizará para una conexión DTL (conexión TLS sobre el UDP) para cifrar el tráfico de RADIUS entre un dispositivo de acceso a la red (NAD) y el ISE. El NAD debe ser cifrado DTL capaz para que esta característica trabaje.
  
  
• SAML: El certificado de servidor utilizó a la comunicación segura con el proveedor de la identidad de SAML (IdP). Un certificado señalado para el uso de SAML no se puede utilizar para ningún otro servicio tal como Admin, autenticación EAP, etc.
• Servicio de mensajería ISE: Desde 2.6, ISE utiliza el servicio de mensajería ISE en vez del protocolo del Syslog de la herencia a los datos de registro. Esto se utiliza para cifrar esta comunicación.
  
  
• PxGrid: Este certificado se utiliza para los servicios de PxGrid en ISE.

Cuando ISE está instalado, genera un certificado de servidor Uno mismo-firmado valor por defecto. Esto se asigna para la autenticación EAP, el Admin, el portal, y RADIUS DTL por abandono. Se recomienda para mover estos papeles a un CA interno o a un bien conocido certificado firmado por CA.

Consejo: Es una práctica adecuada asegurarse que el FQDN y los IP Addresses del servidor ISE están agregados al campo de nombre alternativo sujeto del certificado del sistema ISE. Asegurar generalmente la autenticación del certificado en Cisco ISE no es afectado por las diferencias menores en las funciones certificado-conducidas de la verificación, los hostname minúsculos del uso para todos los Nodos de Cisco ISE desplegados en una red.

Nota: El formato para un certificado ISE debe ser Privacy Enhanced Mail (PEM) o las reglas distinguidas de la codificación (DER). 

Almacén de los certificados confiables

Los Certificados de la autoridad de certificación se deben salvar en la administración > el sistema > los Certificados > el almacén de certificados y necesitan tener la confianza para que el uso-caso de la autenticación de cliente se asegure de que ISE utiliza estos Certificados para validar los Certificados presentados por las puntos finales, los dispositivos u otros Nodos ISE.

Tareas básicas

El certificado tiene una fecha de vencimiento y se puede revocar o requerir para ser substituido en algún momento. Si expira el certificado de servidor ISE, los problemas graves pudieron presentarse a menos que se substituyan por un nuevo, certificado válido.

Nota: Si expira el certificado que se utiliza para el Protocolo de Autenticación Extensible (EAP), las autenticaciones de clientes pudieron fallar porque el cliente no confía en el certificado ISE más. Si expira un certificado usado para los portales, los clientes y los navegadores pueden rechazar conectar con el portal. Si expira el certificado del uso Admin, el riesgo es incluso mayor que previene a un administrador para abrirse una sesión al ISE más y el despliegue distribuido pudo dejar de funcionar como debe.

Genere un certificado autofirmado

Para generar los nuevos certificados autofirmados, navegue a la administración > al sistema > a los Certificados > a los Certificados del sistema. El tecleo genera el certificado firmado del uno mismo. 

Esta lista describe los campos en la página del certificado firmado del uno mismo de la generación.

Guías de consulta de uso del Nombre del campo de las configuraciones del certificado autofirmado:

• Seleccione el nodo: (Requerido) el nodo para el cual ha necesitado generar el certificado del sistema.
  
  
• Nombre común (NC): (Requerido si el SAN no se especifica) por abandono, el nombre común es el nombre de dominio completo del nodo ISE para el cual se está generando el certificado autofirmado.
  
  
• Unidad organizativa (OU): Nombre de la unidad organizacional. Por ejemplo, el dirigir.
  
  
• Organización (o): Nombre de la organización. Por ejemplo, Cisco.
  
  
• Ciudad (l): (No abrevie) nombre de la ciudad. Por ejemplo, San José.
  
  
• Estado (ST): (No abrevie) nombre del estado. Por ejemplo, California.
  
  
• País (c): Nombre del país. El código del país de la dos-carta ISO es necesario. Por ejemplo, los E.E.U.U.
  
  
• Nombre alternativo sujeto (SAN): Una dirección IP, nombre DNS, o Identificador de recursos uniformes (URI) que se asocia al certificado.
  
  
• Tipo dominante: Especifique el algoritmo que se utilizará para crear la clave pública: RSA o ECDSA.
  
  
• Longitud de clave: Especifique el tamaño de bit para la clave pública. Estas opciones están disponibles para el RSA: 512 1024 2048 4096 y estas opciones están disponibles para ECDSA: 256 384
  
  
• Publicación a firmar con: Elija uno de estos algoritmos de troceo: SHA-1 o SHA-256.
  
  
• Directivas del certificado: Ingrese la directiva OID del certificado o la lista de OIDs a la cual el certificado debe ajustarse. Utilice la coma o el espacio para separar los OID.
  
  
• Expiración TTL: Especifique el número de días después de lo cual el certificado expira.
  
  
• Nombre descriptivo: Ingrese un nombre cómodo para el certificado. Si no se especifica ningún nombre, Cisco ISE crea automáticamente un nombre en el name> # el <issuer> # el <nnnnn> del <common del formato donde está un número el <nnnnn> de cinco cifras único.
  
  
• Permita los Certificados del comodín: Controle este checkbox si para generar un certificado uno mismo-firmado del comodín (un certificado que contiene un asterisco (*) en cualquier nombre común en el tema y/o el nombre DNS en el nombre alternativo sujeto. Por ejemplo, el nombre DNS asignado al SAN puede ser *.domain.com.
  
  
• Uso: Elija el servicio para el cual este certificado del sistema se debe utilizar. Las opciones disponibles son:
   
  • Admin
  • Autenticación EAP
  • RADIUS DTL
  • pxGrid
  • SAML
  • Porta

Nota: Las claves públicas RSA y ECDSA pudieron tener diversas longitudes de clave para el mismo nivel de seguridad. Elija 2048 si la intensión es conseguir un público certificado firmado por CA o desplegar Cisco ISE como sistema de Administración de políticas PAA-obediente.

Renueve un certificado autofirmado

Para ver los certificados autofirmados existentes, navegue a la administración > al sistema > a los Certificados > a los Certificados del sistema en la consola ISE. Cualquier certificado con publicado a y publicado por si está mencionado el mismo servidor FQDN ISE, entonces es un certificado autofirmado. Seleccione este certificado, y el tecleo corrige.
Bajo renueve el certificado firmado del uno mismo, controle el cuadro del periodo de renovación y fije la expiración TTL según las necesidades. Finalmente, salvaguardia del tecleo.

Instale un certificado confiable

Obtenga los certificados codificados base 64 del raíz CA, del CA intermedio, y/o de los host requeridos ser confiado en.

1. Ábrase una sesión al nodo ISE y navegue a la administración > al sistema > al Certificate Management (Administración de certificados) > a los certificados confiables del certificado y haga clic la importación, tal y como se muestra en de esta imagen.

2. En la página siguiente, cargue por teletratamiento los certificados CA que fueron obtenidos (en la misma orden que arriba). Asígneles un nombre descriptivo y una descripción que explique para cuáles es el certificado para guardar la pista.

Según las necesidades del uso, controle los cuadros al lado de:

• Confíe en para la autenticación dentro de ISE - Éste es agregar los nuevos Nodos ISE cuando tienen lo mismo confiaban en el certificado CA cargado a su almacén del certificado confiable.
• Confianza para la autenticación y el Syslog de cliente - Permita a esto utilizar este certificado para autenticar las puntos finales que conectan con ISE con EAP y/o confían en aseguran a los servidores de Syslog.
• Confíe en para la autenticación de los Servicios de Cisco - Esto se necesita para confiar en solamente los Servicios de Cisco externos tales como un servicio de la alimentación.

3. Finalmente, el tecleo somete. Ahora el certificado debe ser visible en el almacén de confianza, y synced a todos los Nodos secundarios ISE (si en un despliegue).

Paso 4. Instale a certificado firmado por CA

Una vez los Certificados de la raíz y del CA intermedio se agregan al almacén del certificado confiable, un pedido de firma de certificado (CSR) se puede ser publicado y el certificado firmado basar en el CSR se puede limitar al nodo ISE.

1. Para hacer así pues, navegar a la administración > al sistema > certifica > los pedidos de firma de certificado y hace clic en genera los pedidos de firma de certificado (CSR) de generar un CSR.

2. En la página que sube, bajo sección del uso, seleccione el papel para ser utilizado del menú desplegable.

Si el certificado se utiliza para los papeles múltiples, seleccione el Multi-uso. Una vez que se genera el certificado los papeles se pueden cambiar en caso necesario. En la mayoría de los casos, el certificado se puede fijar para ser utilizado para el Multi-uso en usado para el descenso-abajo: esto permite que el certificado sea usable para todos los portales web ISE.

3. Controle el cuadro al lado de los nodos ISE para seleccionar los nodos para los cuales se genera el certificado.

4. Si el propósito es instalar/genere un certificado del comodín, controlan el cuadro de los Certificados del comodín de la permit.

5. Complete la información sujeta basada en los detalles sobre el host o la organización (unidad organizativa, organización, ciudad, estado, y país).

6. Para acabar esto, haga clic en generan, y después hacen clic la exportación en el móvil que sube.

Esto descarga la petición de la solicitud de certificado Base-64-encoded que acaba de ser creada - este fichero PEM es necesario ser enviado al CA para firmar, y obtiene el fichero resultante CER del certificado firmado (base 64 codificado).

Nota: Bajo nombre común (NC) el campo ISE auto-puebla el nombre de dominio completo (FQDN) de nodo.

Nota: En ISE 1.3 y 1.4, fue requerido para publicar dos CSRs por lo menos para utilizar el pxGrid. Uno sería dedicado al pxGrid y uno estaría para el resto de los servicios. Desde 2.0 y arriba, todo este todo en un CSR.

Nota: Si el certificado se utiliza para las autenticaciones EAP * el símbolo no debe estar en el campo NC del tema mientras que los suplicantes de Windows rechazan el certificado de servidor. Incluso cuando valide la identidad del servidor se inhabilita en el suplicante, el contacto SSL puede fallar cuando * está en el campo NC. En lugar, un FQDN genérico se puede utilizar en el campo NC, y entonces el *.domain.com se puede utilizar en el campo de nombre alternativo sujeto del nombre (SAN) DNS. Algunas autoridades de certificación pueden agregar el comodín (*) en el NC del certificado automáticamente incluso si él no presente en el CSR. En este decorado, una petición especial se requiere para ser aumentada para prevenir esta acción.

7. Una vez que el certificado ha sido firmado por el CA (que fue generado del CSR tal y como se muestra en del vídeo, si se utiliza Microsoft CA, aquí), vaya nuevamente dentro del GUI ISE, y navegue a la administración > al sistema > al Certificate Management (Administración de certificados) > al pedido de firma de certificado de los Certificados; Controle el cuadro al lado del CSR creado previamente, y haga clic en el botón del certificado del lazo.

8. Después, cargue por teletratamiento el certificado firmado que acaba de ser recibido, y déle un nombre descriptivo para ISE. Entonces proceda a seleccionar los cuadros al lado de los usos según la necesidad del certificado (como la autenticación Admin y EAP, el portal, el etc.) y el tecleo somete, tal y como se muestra en de esta imagen.

Si el papel Admin se ha seleccionado para este certificado, el nodo ISE debe recomenzar sus servicios. De acuerdo con la versión y los recursos afectados un aparato a la VM, esto puede tardar 10-15 minutos. Para controlar el estatus de la aplicación, abra la línea de comando ISE y publique el comando del ise del estatus de la aplicación de la demostración.

Si el admin o el papel porta fue seleccionado en la importación del certificado puede ser verificado que el nuevo certificado existe cuando los admin o las páginas porta en el navegador están alcanzados. Seleccione el símbolo del bloqueo en el navegador y conforme al certificado, la trayectoria verifica que el encadenamiento lleno sea presente y confiado en por la máquina. El navegador debe confiar en el nuevo admin o el certificado porta mientras el encadenamiento fuera construido correctamente y si la Cadena de certificados es confiada en por el navegador.

Nota: Para renovar una corriente Ca-firmó el certificado del sistema, generan un CSR fresco, y atan el certificado firmado a él con las mismas opciones. Porque es posible instalar un nuevo certificado en el ISE antes de que sea activo, planee instalar el nuevo certificado antes de que expire el certificado viejo. Este período de la coincidencia entre la vieja fecha de caducidad del certificado y la nueva Fecha de inicio del certificado da la hora de renovar los Certificados y de planear su intercambio con poco o nada de tiempo muerto. Obtenga un nuevo certificado con una Fecha de inicio que preceda la fecha de caducidad del certificado viejo. El período de tiempo entre esas dos fechas es la ventana del cambio. Una vez que el nuevo certificado ingresa su rango válido de la fecha, active los protocolos necesarios (Admin/EAP/Portal). Recuerde, si el uso Admin se activa, hay un reinicio del servicio.

Consejo: Se recomienda para utilizar la compañía CA interno para los Certificados Admin y EAP, y un certificado público-firmado para los portales del invitado/del patrocinador/del hotspot/etc. La razón es que si un usuario o un invitado viene sobre la red y portal ISE utiliza un certificado privado-firmado para el portal del invitado, él consigue los errores del certificado o potencialmente tiene su navegador bloquearlos de la página porta. Para evitar todos que, utilizan un certificado público-firmado para que el uso porta asegure una mejor experiencia del usuario. Además, la dirección IP de cada nodo del despliegue se debe agregar al campo SAN para evitar una advertencia del certificado cuando el servidor está alcanzado vía la dirección IP.

Certificados y claves privadas de reserva

Se recomienda para exportar:
1. Todos los Certificados del sistema (de todos los Nodos en el despliegue) junto con sus claves privadas (esto es necesario reinstalarlas) a una ubicación segura. Guarde una nota de la configuración del certificado (para qué servicio el certificado fue utilizado).

2. Todos los Certificados del almacén de los certificados confiables del nodo primario de la administración. Guarde una nota de la configuración del certificado (para qué servicio el certificado fue utilizado).

3. Todos los Certificados de la autoridad de certificación.

Para hacer así pues,

1. Navegue a la administración > al sistema > los Certificados al Certificate Management (Administración de certificados) > al sistema de los Certificados. Seleccione el certificado y haga clic la exportación. Seleccione el botón de radio de los Certificados y de las claves privadas de exportación. Ingrese la contraseña de la clave privada y confirme la contraseña. Haga clic la exportación.

2. Navegue a la administración > al sistema > al Certificate Management (Administración de certificados) > a los certificados confiables de los Certificados. Seleccione el certificado y haga clic la exportación. Haga clic el fichero de la salvaguardia para exportar el certificado.

3. Navegue a la administración > al sistema > a los Certificados > a la autoridad de certificación > a los Certificados de la autoridad de certificación. Seleccione el certificado y haga clic la exportación. Seleccione el botón de radio de los Certificados y de las claves privadas de exportación. Ingrese la contraseña de la clave privada y confirme la contraseña. Haga clic la exportación. Haga clic el fichero de la salvaguardia para exportar el certificado.

Troubleshooting

Controle la validez del certificado

El proceso de actualización falla si ha expirado cualquier certificado en el almacén de los certificados confiables de Cisco ISE o de los Certificados del sistema. Asegure para controlar la validez en el campo de la fecha de caducidad de las ventanas de los certificados confiables y de los Certificados del sistema (la administración > el sistema > certifica el Certificate Management (Administración de certificados)), y renuévelas en caso necesario, antes de la mejora.

También, controle la validez en el campo de la fecha de caducidad de los Certificados en la ventana de los Certificados CA (la administración > el sistema > certifica > autoridad de certificación > los Certificados de la autoridad de certificación), y renuévelos en caso necesario, antes de la mejora.

Suprima un certificado

En caso de que un certificado en el ISE sea expirado o inusitado, son necesidad de ser quitado. Asegure para tener los Certificados exportados (con sus claves privadas, si procede) antes de la cancelacíon.

Para suprimir un certificado vencido, navegue al Certificate Management (Administración de certificados) de la administración > del sistema > de los Certificados. Haga clic en el almacén de los Certificados del sistema. Seleccione el certificado vencido y haga clic la cancelación.
Siga lo mismo para los almacenes de los certificados confiables y de los Certificados de la autoridad de certificación.

El suplicante no confía en el certificado de servidor ISE en una autenticación del 802.1x

Verifique si ISE envía la Cadena de certificados llena para el proceso del contacto SSL.

Con los métodos EAP que requieren un certificado de servidor (es decir PEAP) y validan la identidad del servidor se seleccionan en las configuraciones del OS cliente, el suplicante valida la Cadena de certificados con los Certificados que tiene en su almacén local de la confianza como parte del proceso de autenticación. Como parte del proceso del contacto SSL, ISE presenta su certificado y también cualquier raíz y (o) Certificados intermedio presentes en su encadenamiento. El suplicante no podrá validar la identidad del servidor si el encadenamiento es incompleto o si falta este encadenamiento en su almacén de la confianza.

Para verificar la Cadena de certificados se devuelve al cliente, toma una captura de paquetes de ISE (operaciones > herramientas de diagnóstico > las herramientas generales > volcado TCP) o la captura de Wireshark en la punto final a la hora de la autenticación. Abra la captura y aplique el filtro ssl.handshake.certificates en Wireshark y encuentre un acceso-desafío.

Una vez que está seleccionado, navegue para ampliar el protocolo RADIUS > los pares de valores de atributos > el segmento > el protocolo extensible authentication > Secure Sockets Layer > el certificado > los Certificados pasados del mensaje EAP.

Si el encadenamiento es incompleto, navegue a la administración > a los Certificados > a los certificados confiables ISE y verifique que la raíz y (o) los Certificados intermedios están presentes. Si la Cadena de certificados se pasa con éxito, el encadenamiento sí mismo se debe verificar como válido con el método resumido aquí.

Abra cada certificado (servidor, intermedio y raíz) y verifique el encadenamiento de la confianza para hacer juego el identificador dominante sujeto (ESQUÍ) de cada certificado al identificador de la clave de la autoridad (AKI) del certificado siguiente en el encadenamiento.

La Cadena de certificados ISE es certificado de servidor correcto pero de la punto final de los rechazos de ISEs durante la autenticación

Si ISE presenta su Cadena de certificados llena para el contacto SSL y el suplicante todavía ha rechazado la Cadena de certificados; el siguiente paso es verificar que los Certificados intermedios del and(or) de la raíz están en el almacén local de la confianza del cliente.

Para verificar esto de un dispositivo de Windows, el lanzamiento mmc.exe(Microsoft Management Console), navega para clasifiar > Agregar-quita Broche-en. De la columna disponible broche-ins, los Certificados selectos y el tecleo agregan. Seleccione la cuenta de Myuser o la cuenta del ordenador basada en el tipo de la autenticación funcionando (usuario o máquina) y después haga clic la AUTORIZACIÓN.

Bajo la opinión de la consola, los Trusted Root Certification Authority selectos y autoridades de certificación intermedias para verificar la presencia de Certificados de la raíz y del intermedio en el almacén local de la confianza.

Una forma sencilla de verificar que esto sea un problema del control de la identidad del servidor, uncheck valida el certificado de servidor bajo configuración del perfil del suplicante y lo prueba otra vez.

Preguntas con frecuencia hechas

¿Qué haga cuando ISE lanza una advertencia que existe el certificado ya?

Este mensaje significa que ISE ha detectado un certificado del sistema con el exacto el mismo parámetro OU, y que un certificado duplicado fue intentado para instalar. Puesto que el certificado duplicado del sistema no se utiliza, ha aconsejado para cambiar simplemente los valores uces de los de la ciudad/del estado/del departamento a un valor levemente diverso para asegurarse que el nuevo certificado es diferente.

¿Por qué el navegador lanza una advertencia que la página porta de los estados de ISE sea presentada por un servidor Untrusted?

Esto sucede cuando el navegador no confía en el certificado de identidad del servidor.

Primero, asegúrese que el certificado porta visible en el navegador sea qué fue esperada y había sido configurada en ISE para el portal.
En segundo lugar, asegure para tener acceso al portal vía el FQDN - en caso de la dirección IP funcionando, se aseguran que el FQDN y la dirección IP están en los campos SAN y/o NC del certificado.
Finalmente, asegúrese que la Cadena de certificados porta (CA porta, intermedio ISE, raíz CA los Certificados) sea on/trusted importado al lado del software del cliente OS/browser.

Nota: Algunas versiones más recientes del IOS, de los navegadores de Android OSs y de Chrome/de Firefox tienen expectativas estrictas de la Seguridad del certificado. Incluso si se resuelven las puntas antedichas, pueden rechazar conectar si los CAs porta e intermedios, son menos que el SHA-256.

¿Qué hace cuando una falla a causa de la mejora a los Certificados inválidos?

El proceso de actualización falla si ha expirado cualquier certificado en el almacén de los certificados confiables de Cisco ISE o de los Certificados del sistema. Asegure para controlar la validez en el campo de la fecha de caducidad de las ventanas de los certificados confiables y de los Certificados del sistema (la administración > el sistema > certifica el Certificate Management (Administración de certificados)), y renuévelas en caso necesario, antes de la mejora.

También, controle la validez en el campo de la fecha de caducidad de los Certificados en la ventana de los Certificados CA (la administración > el sistema > certifica > autoridad de certificación > los Certificados de la autoridad de certificación), y renuévelos en caso necesario, antes de la mejora.

Antes de que la mejora ISE se asegure de que la Cadena de certificados interna CA sea válida.

Navegue a la administración > al sistema > a los Certificados > a los Certificados de la autoridad de certificación. Para cada nodo en el despliegue, seleccione el certificado con el submarino CA de la punto final de los servicios del certificado en la columna del nombre descriptivo. Haga clic la visión y el control si el estatus del certificado es un buen mensaje es visible.

Si cualquier Cadena de certificados está quebrada, asegure para fijar el problema antes de que el proceso de actualización de Cisco ISE comience. Para fijar el problema, navegue a la administración > al sistema > al Certificate Management (Administración de certificados) > a los pedidos de firma de certificado de los Certificados, y genere uno para la opción ISE raíz CA.

Información Relacionada

• ISE 2.7 manejan los Certificados: https://www.cisco.com/c/en/us/td/docs/security/ise/2-7/admin_guide/b_ise_admin_guide_27/b_ise_admin_..
  
  
• Configuraciones del almacén de certificados ISE 2.7: https://www.cisco.com/c/en/us/td/docs/security/ise/2-7/admin_guide/b_ise_admin_guide_27/b_ise_admin_..
  
  
• Cómo ejecutar los Certificados digitales en ISE: https://community.cisco.com/t5/security-documents/how-to-implement-digital-certificates-in-ise/ta-p/..