El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.
Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).
Este documento describe los certificados TLS/SSL en Cisco Identity Services Engine (ISE). Abarca los tipos y funciones de los certificados ISE, cómo realizar tareas comunes y la resolución de problemas, y, por último, responde a las preguntas frecuentes frecuentes. Abarca ISE de la versión 2.4 a la 2.7; sin embargo, debería ser similar o idéntico a otras versiones de software de ISE 2.x a menos que se indique lo contrario.
Cisco recomienda que tenga conocimiento sobre estos temas:
La información que contiene este documento se basa en las siguientes versiones de software y hardware.
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Si su red está activa, asegúrese de comprender el impacto potencial de cualquier comando o configuración.
Los servidores utilizan los certificados de servidor para presentar la identidad del servidor a los clientes con fines de autenticidad y para proporcionar un canal seguro para la comunicación. Éstos pueden estar autofirmados (cuando el servidor se hace cargo del certificado) o expedidos por una autoridad certificadora (ya sea interna de una organización o de un proveedor conocido).
Los certificados de servidor se emiten normalmente a nombres de host o FQDN (nombre de dominio completo) del servidor, o también pueden ser un certificado comodín (*.domain.com). Los hosts, dominios o subdominios a los que se emite se mencionan normalmente en los campos Nombre común (CN) o Nombre alternativo del sujeto (SAN).
Los certificados comodín son certificados SSL que utilizan una notación comodín (un asterisco en lugar del nombre de host) y, por lo tanto, permiten que el mismo certificado se comparta entre varios hosts de una organización. Un valor CN o SAN de ejemplo para el nombre de asunto de un certificado comodín sería similar a *.company.com como ejemplo y se puede utilizar para proteger cualquier host de este dominio, como server1.com, server2.com, etc.
Los certificados suelen utilizar criptografía de clave pública o cifrado asimétrico.
Precaución: ISE actualmente no admite certificados que utilicen RSASSA-PSS como algoritmo de firma. Esto incluye el certificado de servidor, el certificado raíz, intermedio o de cliente (es decir, EAP-TLS, PEAP (TLS), etc.). Consulte CSCug22137
Cisco Identity Services Engine (ISE) se basa en la infraestructura de clave pública (PKI) para proporcionar una comunicación segura con terminales, usuarios, administradores, etc., así como entre nodos Cisco ISE en una implementación de varios nodos. PKI se basa en certificados digitales x.509 para transferir claves públicas para el cifrado y el descifrado de mensajes, y para verificar la autenticidad de otros certificados presentados por usuarios y dispositivos. Cisco ISE tiene dos categorías de certificados que se utilizan habitualmente:
Los certificados del sistema se pueden utilizar para una o más funciones. Cada función tiene un propósito diferente y se explica aquí:
Cuando se instala ISE, genera un certificado de servidor autofirmado predeterminado. Esto se asigna para EAP Authentication, Admin, Portal y RADIUS DTLS de forma predeterminada. Se recomienda mover estas funciones a una CA interna o a un certificado firmado por la CA.
Consejo: Es una buena práctica asegurarse de que tanto el FQDN como las direcciones IP del servidor ISE se agregan al campo Subject Alternative Name del certificado del sistema ISE. En general, para garantizar que la autenticación de certificados en Cisco ISE no se vea afectada por diferencias menores en las funciones de verificación basadas en certificados, utilice nombres de host en minúsculas para todos los nodos Cisco ISE implementados en una red.
Nota: El formato de un certificado ISE debe ser Privacy Enhanced Mail (PEM) o Distinguished Encoding Rules (DER).
Los certificados de la autoridad certificadora deben almacenarse en Administration > System > Certificates > Certificate Store y deben tener la Trust for client authentication use-case para asegurarse de que ISE utilice estos certificados para validar los certificados presentados por los terminales, dispositivos u otros nodos ISE.
El certificado tiene una fecha de vencimiento y puede revocarse o ser necesario sustituirlo en algún momento. Si el certificado del servidor ISE caduca, pueden surgir problemas graves a menos que se reemplace por un certificado nuevo y válido.
Nota: Si caduca el certificado que se utiliza para el protocolo de autenticación extensible (EAP), las autenticaciones de los clientes pueden fallar porque el cliente ya no confía en el certificado ISE. Si caduca un certificado utilizado para los portales, los clientes y navegadores pueden negarse a conectarse al portal. Si caduca el certificado de uso del administrador, el riesgo es aún mayor, lo que impide que un administrador inicie sesión en ISE y la implementación distribuida podría dejar de funcionar como debería.
Para generar nuevos certificados autofirmados, navegue hasta Administración > Sistema > Certificados > Certificados del sistema. Haga clic en Generar certificado firmado automáticamente.
Esta lista describe los campos de la página Generar certificado firmado automáticamente.
Instrucciones de uso del nombre del campo Configuración del certificado firmado automáticamente:
Nota: Las claves públicas RSA y ECDSA pueden tener diferentes longitudes de clave para el mismo nivel de seguridad. Elija 2048 si la intención es obtener un certificado público firmado por CA o implementar Cisco ISE como un sistema de administración de políticas compatible con FIPS.
Para ver los certificados autofirmados existentes, navegue hasta Administration > System > Certificates > System Certificates en la consola ISE. Cualquier certificado con el FQDN del mismo servidor ISE emitido y emitido por, si se menciona el FQDN del mismo, será un certificado autofirmado. Seleccione este certificado y haga clic en Editar.
En Renew Self Signed Certificate, marque la casilla Renewal Period y establezca el TTL de vencimiento según sea necesario. Por último, haga clic en Guardar.
Obtenga los certificados codificados Base 64 de la CA raíz, las CA intermedias o los hosts necesarios para ser confiables.
1. Inicie sesión en el nodo ISE y navegue hasta Administration > System > Certificate Management > Trusted Certificates y haga clic en Import, como se muestra en esta imagen.
2. En la página siguiente, cargue los certificados de CA que se obtuvieron (en el mismo orden que el anterior). Asigne un nombre descriptivo y una descripción que explique para qué sirve el certificado para realizar un seguimiento.
De acuerdo con las necesidades de uso, active las casillas que aparecen junto a:
3. Por último, haga clic en Enviar. Ahora el certificado debe estar visible en el almacén de confianza y sincronizarse en todos los nodos ISE secundarios (si se encuentra en una implementación).
Una vez que se agregan los certificados de las CA raíz e intermedia al almacén de certificados de confianza, se puede emitir una solicitud de firma de certificados (CSR) y el certificado firmado en función de la CSR se puede enlazar al nodo ISE.
1. Para hacerlo, navegue hasta Administration > System > Certificates > Certificate Signing Requests y haga clic en Generate Certificate Signing Requests (CSR) para generar una CSR.
2. En la página que aparece, en la sección Uso, seleccione la función que desea utilizar en el menú desplegable.
Si el certificado se utiliza para varias funciones, seleccione Varios usos. Una vez que se genera el certificado, las funciones se pueden cambiar si es necesario. En la mayoría de los casos, el certificado se puede configurar para que se utilice para varios usos en la lista desplegable Utilizado para: esto permite que el certificado se pueda utilizar para todos los portales web de ISE.
3. Active la casilla junto a los nodos ISE para seleccionar los nodos para los que se genera el certificado.
4. Si el propósito es instalar/generar un certificado comodín, marque la casilla Permitir certificados comodín.
5. Rellene la información del asunto en función de los detalles del organizador (unidad organizativa, organización, ciudad, estado y país).
6. Para finalizar esto, haga clic en Generar y luego haga clic en Exportar en la ventana emergente que aparece.
Esto descarga la solicitud de certificado codificada en base 64 que se acaba de crear. Este archivo PEM se necesita para enviarse a la CA para la firma y obtener el archivo CER de certificado firmado resultante (codificado en base 64).
Nota: en el campo Nombre común (CN), ISE rellena automáticamente el nombre de dominio completo (FQDN) del nodo.
Nota: En ISE 1.3 y 1.4, era necesario emitir dos CSR al menos para utilizar pxGrid. Uno se dedicaría a pxGrid y uno al resto de los servicios. Desde la versión 2.0 y superiores, todo esto en una CSR.
Nota: Si el certificado se utiliza para las autenticaciones EAP, el símbolo * no debe estar en el campo Asunto CN, ya que los suplicantes de Windows rechazan el certificado del servidor. Incluso cuando se inhabilita Validate Server Identity en el suplicante, el intercambio de señales SSL puede fallar cuando * está en el campo CN. En su lugar, se puede utilizar un FQDN genérico en el campo CN y, a continuación, se puede utilizar *.domain.com en el campo Nombre DNS del nombre alternativo del asunto (SAN). Algunas autoridades certificadoras (CA) pueden agregar automáticamente el comodín (*) en el CN del certificado aunque no esté presente en el CSR. En esta situación, se requiere una solicitud especial para evitar esta acción.
7. Una vez que el certificado ha sido firmado por la CA(que se generó desde la CSR como se muestra en el video, si se utiliza Microsoft CA, aquí), vuelva a la GUI de ISE y navegue hasta Administración > Sistema > Certificados > Administración de certificados > Solicitud de firma de certificados; Marque la casilla junto a la CSR creada anteriormente y haga clic en el botón Enlazar certificado.
8. A continuación, cargue el certificado firmado que se acaba de recibir y asígnele un nombre descriptivo para ISE. A continuación, seleccione los cuadros junto a los usos según la necesidad del certificado (como Administración y autenticación EAP, Portal, etc.) y haga clic en Enviar, como se muestra en esta imagen.
Si se ha seleccionado la función de administrador para este certificado, el nodo ISE debe reiniciar sus servicios. Según la versión y los recursos asignados a la máquina virtual, esto puede tardar entre 10 y 15 minutos. Para verificar el estado de la aplicación, abra la línea de comandos de ISE y ejecute el comando show application status ise.
Si se seleccionó la función de administrador o portal en la importación del certificado, se puede verificar que el nuevo certificado esté en su lugar cuando se accede a las páginas del administrador o del portal en el navegador. Seleccione el símbolo de bloqueo en el navegador y, bajo el certificado, la ruta verifica que la cadena completa esté presente y en la que la máquina confía. El explorador debe confiar en el nuevo certificado de administrador o portal siempre y cuando la cadena se haya creado correctamente y si el explorador confía en la cadena de certificados.
Nota: Para renovar un certificado del sistema firmado por CA, genere un CSR nuevo y enlace el certificado firmado a él con las mismas opciones. Dado que es posible instalar un nuevo certificado en el ISE antes de que esté activo, planifique la instalación del nuevo certificado antes de que venza el certificado antiguo. Este período de superposición entre la fecha de vencimiento del certificado antiguo y la nueva fecha de inicio del certificado da tiempo para renovar los certificados y planificar su intercambio con un tiempo de inactividad escaso o nulo. Obtenga un nuevo certificado con una fecha de inicio que preceda a la fecha de vencimiento del certificado antiguo. El período de tiempo entre esas dos fechas es la ventana de cambio. Una vez que el nuevo certificado introduzca su intervalo de fechas válido, active los protocolos necesarios (Admin/EAP/Portal). Recuerde que si el uso de Admin está habilitado, hay un reinicio del servicio.
Consejo: Se recomienda utilizar la CA interna de la empresa para los certificados de administrador y EAP, y un certificado firmado públicamente para los portales Guest/Sponsor/Hotspot/etc. La razón es que si un usuario o invitado llega a la red y el portal de ISE utiliza un certificado firmado de forma privada para el Portal de invitados, obtienen errores de certificado o, potencialmente, su navegador los bloquea de la página del portal. Para evitar todo esto, utilice un certificado firmado públicamente para el uso del portal para garantizar una mejor experiencia del usuario. Además, se debe agregar la dirección IP de cada nodo de implementación al campo SAN para evitar una advertencia de certificado cuando se accede al servidor a través de la dirección IP.
Se recomienda exportar:
1. Todos los certificados del sistema (de todos los nodos de la implementación) junto con sus claves privadas (esto es necesario para reinstalarlos) en una ubicación segura. Tenga en cuenta la configuración del certificado (para qué servicio se utilizó el certificado).
2. Todos los certificados del almacén de certificados de confianza del nodo de administración principal. Tenga en cuenta la configuración del certificado (para qué servicio se utilizó el certificado).
3. Todos los certificados de autoridad certificadora.
Para ello,
1. Vaya a Administration > System > Certificates > Certificate Management > System Certificates. Seleccione el certificado y haga clic en Exportar. Seleccione el botón de opción Exportar certificados y Claves privadas. Introduzca la contraseña de la clave privada y Confirme la contraseña. Haga clic en Exportar.
2. Vaya a Administration > System > Certificates > Certificate Management > Trusted Certificates. Seleccione el certificado y haga clic en Exportar. Haga clic en Guardar archivo para exportar el certificado.
3. Vaya a Administration > System > Certificates > Certificate Authority > Certificate Authority Certificates. Seleccione el certificado y haga clic en Exportar. Seleccione el botón de opción Exportar certificados y Claves privadas. Introduzca la contraseña de la clave privada y Confirme la contraseña. Haga clic en Exportar. Haga clic en Guardar archivo para exportar el certificado.
El proceso de actualización falla si algún certificado del almacén de certificados de confianza de Cisco ISE o de certificados del sistema ha caducado. Asegúrese de comprobar la validez en el campo Fecha de vencimiento de las ventanas Certificados de confianza y Certificados del sistema (Administración > Sistema > Certificados > Administración de certificados) y renuévelos, si es necesario, antes de la actualización.
Además, verifique la validez en el campo Fecha de vencimiento de los certificados en la ventana Certificados de CA (Administración > Sistema > Certificados > Autoridad de Certificación > Certificados de Autoridad de Certificación) y renuévelos, si es necesario, antes de la actualización.
En caso de que un certificado del ISE caduque o no se utilice, es necesario eliminarlo. Asegúrese de exportar los certificados (con sus claves privadas, si procede) antes de eliminarlos.
Para eliminar un certificado caducado, navegue hasta Administración > Sistema > Certificados > Administración de certificados. Haga clic en el almacén de certificados del sistema. Seleccione los certificados caducados y haga clic en Eliminar.
Siga el mismo procedimiento para los almacenes de certificados de autoridad de certificación y certificados de confianza.
Verifique si ISE envía la cadena de certificados completa para el proceso de intercambio de señales SSL.
Con los métodos EAP que requieren un certificado de servidor (es decir, PEAP) y Validar identidad de servidor se seleccionan en la configuración del sistema operativo del cliente, el solicitante valida la cadena de certificados con los certificados que tiene en su almacén de confianza local como parte del proceso de autenticación. Como parte del proceso de intercambio de señales SSL, ISE presenta su certificado y también cualquier certificado raíz o intermedio presente en su cadena. El suplicante no podrá validar la identidad del servidor si la cadena está incompleta o si carece de esta cadena en su almacén de confianza.
Para verificar que la cadena de certificados se devuelve al cliente, tome una captura de paquetes de ISE (Operaciones > Herramientas de diagnóstico > Herramientas generales > Volcado TCP) o captura de Wireshark en el terminal en el momento de la autenticación. Abra la captura y aplique el filtro ssl.handshake.certificates en Wireshark y encuentre un desafío de acceso.
Una vez Seleccionado, navegue hasta Expandir Protocolo Radius > Pares de Valor de Atributo > Último segmento de Mensaje EAP > Protocolo de Autenticación Extensible > Capa de sockets seguros > Certificado > Certificados.
Si la cadena está incompleta, navegue hasta Administración ISE > Certificados > Certificados de confianza y verifique que los certificados raíz e intermedio estén presentes. Si la cadena de certificados se pasa correctamente, la propia cadena debe verificarse como válida con el método descrito aquí.
Abra cada certificado (servidor, intermedio y raíz) y verifique la cadena de confianza para que coincida con el identificador de clave de asunto (SKI) de cada certificado al identificador de clave de autoridad (AKI) del siguiente certificado de la cadena.
Si ISE presenta su cadena completa de certificados para el intercambio de señales SSL y el solicitante aún ha rechazado la cadena de certificados; el paso siguiente es verificar que los certificados raíz e intermedio estén en el almacén de confianza local del cliente.
Para verificar esto desde un dispositivo Windows, inicie mmc.exe(Microsoft Management Console), navegue hasta Archivo > Complemento Add-Remove. En la columna Complementos disponibles, seleccione Certificados y haga clic en Agregar. Seleccione Mi cuenta de usuario o cuenta de equipo en función del tipo de autenticación en uso (Usuario o Equipo) y, a continuación, haga clic en Aceptar.
En la vista de consola, seleccione Autoridades de certificación raíz de confianza y Autoridades de certificación intermedias para verificar la presencia de certificados raíz e intermedio en el almacén de confianza local.
Una manera fácil de verificar que se trata de un problema de verificación de identidad del servidor, desmarque Validar certificado del servidor en la configuración del perfil del solicitante y vuelva a probarlo.
Este mensaje significa que ISE ha detectado un certificado del sistema con el mismo parámetro OU exacto y que se intentó instalar un certificado duplicado. Como no se admite el duplicado del certificado del sistema, se recomienda simplemente cambiar cualquiera de la ciudad/estado/departamento. valores a un valor ligeramente diferente para asegurarse de que el nuevo certificado es diferente.
Esto sucede cuando el explorador no confía en el certificado de identidad del servidor.
En primer lugar, asegúrese de que el certificado del portal visible en el navegador es lo que se esperaba y se configuró en ISE para el portal.
En segundo lugar, asegúrese de acceder al portal a través de FQDN; en el caso de que la dirección IP esté en uso, asegúrese de que tanto el FQDN como la dirección IP estén en los campos SAN y/o CN del certificado.
Por último, asegúrese de que la cadena de certificados del portal (el portal ISE, las CA intermedias, los certificados de CA raíz) se importan/confian en el software del navegador/SO del cliente.
Nota: Algunas versiones más recientes de los navegadores iOS, Android OS y Chrome/Firefox tienen estrictas expectativas de seguridad del certificado. Incluso si se cumplen los puntos anteriores, es posible que se nieguen a conectarse si el portal y las CA intermedias son inferiores a SHA-256.
El proceso de actualización falla si algún certificado del almacén de certificados de confianza de Cisco ISE o de certificados del sistema ha caducado. Asegúrese de comprobar la validez en el campo Fecha de vencimiento de las ventanas Certificados de confianza y Certificados del sistema (Administración > Sistema > Certificados > Gestión de certificados) y renuévelos, si es necesario, antes de la actualización.
Además, verifique la validez en el campo Fecha de vencimiento de los certificados en la ventana Certificados de CA (Administración > Sistema > Certificados > Autoridad de Certificación > Certificados de Autoridad de Certificación) y renuévelos, si es necesario, antes de la actualización.
Antes de actualizar ISE, asegúrese de que la cadena de certificados de CA interna es válida.
Vaya a Administration > System > Certificates > Certificate Authority Certificates. Para cada nodo de la implementación, seleccione el certificado con la subCA del terminal de servicios de certificados en la columna Nombre descriptivo. Haga clic en Ver y verifique si el estado del certificado es un mensaje bueno está visible.
Si se rompe alguna cadena de certificados, asegúrese de solucionar el problema antes de que comience el proceso de actualización de Cisco ISE. Para solucionar el problema, navegue hasta Administración > Sistema > Certificados > Administración de certificados > Solicitudes de firma de certificados, y genere una para la opción CA raíz de ISE.