Preparación de Cisco ISE para la extinción de EKU de autenticación de cliente en certificados de CA públicos

Opciones de descarga

  • PDF     (266.1 KB)
    Visualice con Adobe Reader en una variedad de dispositivos
Actualizado:12 de marzo de 2026
ID del documento:225606

Lenguaje no discriminatorio

El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.

Acerca de esta traducción

Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).

    Introducción

    Este documento describe el impacto en los servicios ISE debido a los cambios futuros en los certificados TLS emitidos por las autoridades de certificación públicas con autenticación de cliente EKU.

    Antecedentes

    Los certificados digitales son credenciales electrónicas emitidas por entidades emisoras de certificados (CA) de confianza que protegen la comunicación entre servidores y clientes garantizando la autenticación, la integridad de los datos y la confidencialidad. Estos certificados contienen campos de uso extendido de claves (EKU) que definen su propósito:

    • Autenticación del servidor EKU (id-kp-serverAuth): Se utiliza cuando un servidor presenta su certificado para probar la identidad
    • Autenticación de cliente EKU (id-kp-clientAuth): Se utiliza en conexiones TLS mutuas (mTLS) en las que ambas partes se autentican mutuamente

    Tradicionalmente, un único certificado podía contener tanto EKU de autenticación de cliente como de servidor, lo que le permitía cumplir dos propósitos. Esto es especialmente importante para productos como Cisco ISE que actúan como servidor y cliente en diferentes escenarios de conexión.

    Definición del problema 

    Cambio de la política del programa raíz de Chrome

    A partir de mayo de 2026, muchas entidades emisoras de certificados públicos (CA) dejarán de emitir certificados de seguridad de la capa de transporte (TLS) que incluyen el uso extendido de claves de autenticación de clientes (EKU). Los certificados recién emitidos normalmente sólo incluirán EKU de autenticación de servidor.

    Requisitos de política clave

    • Las CA raíz públicas deben afirmar el uso de clave ampliada (EKU) SOLO para la autenticación de servidor (id-kp-serverAuth)
    • Los certificados deben incluir SOLO autenticación de servidor EKU.
    • La inclusión de la autenticación de cliente EKU en estos certificados está prohibida
    • Las CA raíz que continúan emitiendo certificados con autenticación de cliente EKU se eliminan finalmente del almacén raíz de Chrome
    • No más CA raíz de uso mixto para certificados TLS de servidor público
    • Plazos de aplicación: Marzo de 2027.

    Plazos de respuesta de CA pública

    • Octubre de 2025: Muchas CA públicas (DigiCert, Sectigo, SSL) comenzaron a emitir certificados solo de servidor de forma predeterminada.
    • Mayo de 2026: Muchos servidores de CA pública dejan de emitir certificaciones EKU de autenticación de cliente 
    • Marzo de 2027: La política del programa de raíz de Chrome se vuelve totalmente efectiva 
    note-icon

    Nota: Esta directiva sólo se aplica a los certificados emitidos por CA públicas. Esta directiva no afecta a la PKI privada ni a los certificados autofirmados.

    Cómo afecta a Cisco ISE

    Productos afectados 

    Todas las versiones de Cisco ISE se ven afectadas:

    • ISE 3.1
    • ISE 3.2
    • ISE 3.3
    • ISE 3.4
    • ISE 3.5
    note-icon

    Nota: Las versiones de Cisco ISE 2.x también se ven afectadas; sin embargo, no se ha planificado ninguna corrección porque estas versiones han llegado al final de su vida útil (EOL).

    Doble función de Cisco ISE

    ISE actúa como servidor y cliente en varios escenarios de conexión, lo que requiere certificados con EKU de autenticación de cliente y servidor.

    Cisco ISE como servidor (se requiere autenticación de servidor EKU):

    • PxGrid 
    • Servicio de mensajería ISE

    Cisco ISE como cliente (se requiere autenticación de cliente EKU):

    • TC-NAC 
    • Syslog seguro 
    • LDAPS
    • Radius DTLS 

    Casos prácticos afectados específicos

    En la tabla siguiente se resumen los servicios de Cisco ISE que pueden verse afectados por los próximos cambios de EKU de autenticación de clientes, junto con el impacto esperado para cada servicio.

    Servicio

    Impacto

    pxGrid

    Los certificados de pxGrid se utilizan para la comunicación entre los nodos ISE y las integraciones externas de pxGrid. Mientras que las integraciones externas de pxGrid requieren solamente EKU de autenticación de servidor, Cisco ISE requiere actualmente certificados importados de pxGrid para contener tanto EKU de autenticación de servidor como EKU de autenticación de cliente debido a una restricción de la interfaz de usuario. Como resultado, los certificados pxGrid emitidos por las CA públicas se suelen implementar con ambas EKU.

    Servicio de mensajería ISE (IMS)

    IMS se utiliza para la comunicación de back-end entre los servicios ISE internos. Cisco ISE requiere actualmente certificados IMS para contener tanto EKU de autenticación de servidor como EKU de autenticación de cliente. Los certificados renovados por una CA pública con autenticación de servidor EKU solamente no se pueden utilizar para IMS, lo que puede dar lugar a fallas en la comunicación interna de ISE.

    TC-NAC

    Si el certificado de administrador contiene solo EKU de autenticación de servidor, la autenticación basada en certificados para TC-NAC puede verse afectada cuando el modo FIPS está habilitado o cuando Tenable está configurado con mTLS (introducido en las versiones 3.4P3 y 3.5 de ISE).

    Syslog seguro 

    LDAP

    RADIUS DTLS
    caution-icon

    Precaución: Los clientes deben verificar el tipo de certificado utilizado por cualquier cliente pxGrid externo. Tras la renovación, los certificados públicos firmados por CA ya no pueden incluir EKU de autenticación de cliente. Las integraciones de cliente pxGrid externas deben incluir la EKU de autenticación de cliente al comunicarse con ISE; de lo contrario, se rechazará la conexión.

    Indicios de problema 

    Después de la implementación de los certificados EKU de autenticación de servidor únicamente en Cisco ISE, los clientes observarán errores en la importación de certificados en la GUI de Cisco ISE al intentar cargar los certificados pxGrid o ISE Messaging Service (IMS) que no cumplen los requisitos actuales de uso extendido de claves (EKU) para el servicio seleccionado.

    A continuación se muestra un ejemplo del mensaje de error que se muestra en la GUI.

    Recomendaciones

    Auditar certificados actuales (PRIMER PASO OBLIGATORIO) 

    • Prepare un inventario de todos los certificados TLS públicos para identificar qué certificados contienen la EKU de autenticación de cliente
    • Uso de certificados de documento: identifique qué certificados se utilizan según la tabla anterior y que están firmados con Public-CA. 
    • Verifique la información de CA y raíz: Documentar qué CA y raíz emitieron cada certificado
    • Comprobar fechas de vencimiento: Planificar las renovaciones estratégicamente antes de la aplicación de políticas

    Sugerencias para servicios que requieren EKU de cliente

    La siguiente tabla proporciona las acciones recomendadas para los servicios e integraciones de Cisco ISE que se basan en certificados que contienen EKU de autenticación de cliente.

    Servicio

    Acciones recomendadas

    TC-NAC 
    • Cuando se utiliza Tenable, la validación EKU estricta se puede inhabilitar en el lado Tenable para mantener la conectividad. 

    Syslog seguro 

    LDAP 

    RADIUS DTLS

    Clientes de PxGrid (CatC, FMC...etc.)

    EAP-TLS 

    Soluciones temporales (antes de junio de 2026) 

    Los administradores pueden elegir una de estas opciones de solución alternativa: 

    Opción 1: Cambiar a CA raíz pública que proporcionan certificados EKU combinados 

    Algunas CA raíz públicas (como DigiCert e IdenTrust) emiten certificados con EKU combinada desde una raíz alternativa, que no se puede incluir en el almacén de confianza del explorador de Chrome.

    Ejemplos de CA de raíz pública y tipos de EKU: 

    Proveedor de CA

    Tipo de EKU

    CA raíz

    Emisión/CA secundaria

    IdenTrust

    clientAuth + serverAuth

    IdenTrust Public Sector Root CA 1

    Servidor del sector público IdenTrust CA 1

    DigiCert

    clientAuth + serverAuth

    DigiCert Assured ID Root G2

    ID garantizada de DigiCert CA G2

    Prerrequisitos de este enfoque: 

    • Coordine con su proveedor de CA para comprobar la disponibilidad de dichos certificados.
    • Antes de implementar certificados, asegúrese de que tanto el servidor que presenta el certificado como todos los clientes que lo consumen confían en la CA raíz correspondiente.
    • Intercambie información del certificado raíz con pares de comunicación.
    • Este enfoque evita la necesidad inmediata de actualizaciones de software.

    Referencias de administración de certificados:

    Opción 2: Renueve los certificados actuales para ampliar su validez

    Los certificados emitidos por las CA raíz públicas antes de mayo de 2026 que tienen EKU de autenticación de cliente y de servidor continúan cumpliéndose hasta que caduque su plazo.

    Estrategia de renovación

    Las recomendaciones generales son:

    • Renueve los certificados EKU combinados antes de que se produzca la anulación de políticas 
    • Para obtener la validez máxima de los certificados, deberá renovarlos antes del 15 de marzo de 2026.
    • Después de esta fecha, los certificados emitidos por la CA pública sólo son válidos durante 200 días.
    • Cisco recomienda encarecidamente que renueve sus certificados antes de esta fecha si desea continuar con esta opción.
    • La política de CA pública y las fechas de implementación pueden variar.
    • Algunas CA públicas han dejado de emitir certificados EKU combinados y no pueden proporcionar uno de forma predeterminada.
    • Para generar un certificado con una EKU combinada, trabaje con su autoridad de CA y utilice un perfil especial proporcionado por las CA públicas.

    Opción 3: Evaluar y migrar a proveedores de CA alternativos 

    Enfoque de PKI privada

    • Evaluar la viabilidad de la transición a la ICP privada
    • Configure una CA privada para emitir certificados únicos con EKU combinados (certificados de servidor y cliente con las EKU necesarias)
    • Al emitir un certificado firmado por una CA privada, debe compartir la información del certificado raíz con el par.
    • Antes de emitir o implementar un certificado, asegúrese de que tanto el servidor que presenta el certificado como todos los clientes que lo consumen confían en la CA raíz correspondiente.
    • Las CA privadas no están sujetas a la política del programa root de Chrome
    • Proporciona control a largo plazo sobre las políticas de certificados

    Solución a largo plazo (actualización de software necesaria) 

    Los clientes deben actualizar Cisco ISE a una versión de revisión que introduzca una gestión de certificados actualizada para admitir los certificados emitidos bajo las nuevas políticas de CA.

    Las siguientes versiones de parches abordan este problema planificado para abril de 2026:

    Versión de Cisco ISE

    Versión del parche

    ISE 3.1

    Parche 11

    ISE 3.2

    Parche 10

    ISE 3.3

    Parche 11

    ISE 3.4

    Parche 6

    ISE 3.5

    Parche 3

    Comportamiento después de la instalación del parche 

    Certificado PxGrid

    Después de instalar la versión de revisión:

    • Se eliminará el requisito de interfaz de usuario actual que aplica tanto la autenticación de servidor EKU como la autenticación de cliente EKU para los certificados pxGrid.
    • Cisco ISE permitirá la importación de certificados pxGrid que contengan solo EKU de autenticación de servidor, tanto EKU de autenticación de servidor como de cliente, o sin extensión EKU.
    • No se aceptarán los certificados que contengan sólo EKU de autenticación de cliente.

    Certificado del servicio de mensajería ISE (IMS)

    Para ISE 3.1, 3.2 y 3.3

    No hay ningún cambio en el comportamiento después de instalar el parche. El servicio de mensajería de ISE seguirá necesitando un certificado con EKU de cliente y servidor. Los clientes deben planificar el uso de un certificado de CA interna de ISE una vez que caduque el certificado actual.

    Para ISE 3.4 y 3.5

    IMS ahora admite certificados de CA pública que contienen solamente EKU de autenticación de servidor. Sin embargo, dado que IMS se utiliza solo para la comunicación interna de Cisco ISE, Cisco recomienda utilizar el certificado de CA interna de ISE cuando se renueva el certificado.

    Árbol de decisiones

    INICIO: ¿Utiliza certificados de CA pública en Cisco ISE?

    ├─ NO: PKI privada o autofirmado

    │ └─ No se requiere ninguna acción - No se ve afectado por la política

    └─ SÍ: Certificados de CA pública en uso

       │

       ├─ ¿Se utilizan para alguno de los servicios mencionados en la sección "Casos prácticos afectados específicos"?

       │ │

       │ ├─ Servicios cuando ISE actúa como cliente TLS

       │ │ └─ Revise la sección "Sugerencias para servicios que requieren EKU de cliente".

       │ │

       │ └─ Servicios cuando ISE actúa como servidor TLS (PxGrid O IMS) 

       │ │

       │ └─ Elija SU enfoque:

       │ │

       │ ├─ Opción A: Cambiar a CA raíz alternativa

       │ │ ├─ Póngase en contacto con el proveedor de la CA para obtener una EKU combinada de raíz alternativa

       │ │ ├─ Asegúrese de que todos los pares confíen en la nueva raíz

       │ │ └─ No se necesita una actualización de software inmediata

       │ │

       │ ├─ Opción B: Renovación de certificados antes de los plazos

       │ │ ├─ Esto le ayudará a descubrir la urgencia de aplicar parches a Cisco ISE

       │ │ │  

       │ │ ├─ Para una validez máxima: Renovar antes del 15 de marzo de 2026

       │ │ └─ Compra tiempo hasta la expiración del certificado

       │ │

       │ ├─ Opción C: Migrar a PKI privada 

       │ │ ├─ Configuración de una infraestructura de CA privada

       │ │ ├─ Emitir certificados EKU combinados

       │ │ ├─ Instalación de la nueva CA en ISE Trusted Store 

       │ │ └─ Control a largo plazo

       │ │

       │ └─ Opción D: Planificación de actualizaciones de software

       │ ├─ Aplicar la versión de parche de ISE necesaria (disponible a partir de abril de 2026)

       

        

    Preguntas frecuentes

    Preguntas generales

    A: ¿Tengo que preocuparme por esto si uso PKI privada?

    R: No. Esta directiva sólo afecta a los certificados emitidos por las CA raíz públicas. La PKI privada y los certificados autofirmados no se ven afectados.

    A: ¿Puedo seguir utilizando mis certificados existentes?

    R: Sí, los certificados existentes con EKU combinado siguen siendo válidos hasta que caducan. El problema surge cuando necesita renovar. Funcionan para las conexiones TLS y mTLS hasta que caducan.

    A: ¿Cómo puedo saber si estoy utilizando mTLS o TLS estándar?

    R: Sección Revisar Casos Prácticos Afectados Específicos. 

    Preguntas de actualización

    Administración de certificados

    Preguntas de cronología

    A: ¿Qué pasará el 15 de junio de 2026?

    R: Chrome deja de confiar en los certificados TLS públicos que contienen las EKU de autenticación de cliente y servidor. Los servicios que utilizan estos certificados pueden fallar.

    A: ¿Por qué tengo que renovar antes del 15 de marzo de 2026?

    R: Después del 15 de marzo de 2026, la validez del certificado se reduce de 398 a 200 días. La renovación antes de esta fecha le proporciona la duración máxima del certificado.

    P.: ¿Cuál es el plazo límite para actuar?

    R: Existen varios plazos:

    • 15 de marzo de 2026: Validez del certificado reducida a 200 días
    • Mayo de 2026: La mayoría de las CA públicas dejan de emitir EKU combinado por completo
    • Marzo de 2027: Política de Chrome totalmente aplicada

    Recursos adicionales 

    • ID de falla de funcionamiento de Cisco: CSCws83036: evaluación del impacto de la aplicación EKU de ClientAuth en ISE 

    Referencias externas 

    Recursos de autoridad certificadora 

    Conclusión 

    La anulación de la autenticación de clientes EKU en los certificados de CA públicos representa un cambio significativo en la política de seguridad que afecta a las implementaciones de Cisco ISE que utilizan conexiones mTLS. Aunque se trata de un cambio que afecta a todo el sector, la clasificación de impacto es CRÍTICA y se requiere una acción inmediata para evitar interrupciones en el servicio.

    Historial de revisiones

    Revisión Fecha de publicación Comentarios
    1.0
    12-Mar-2026
    Versión inicial
    TAC Authored

    Con la colaboración de ingenieros de Cisco

    • Jonathan Casillas
      Líder técnico en seguridad
    • Jesse Dubois
      Líder técnico en seguridad

    ¿Resultó útil este documento?

    FeedbackComentarios

    Contacte a Cisco

    Este documento se aplica a estos productos