NAC (CCA): Cómo corregir errores de certificado en CAM/CAS después de actualizar a 4.1.6

Opciones de descarga

PDF (376.5 KB)
Visualice con Adobe Reader en una variedad de dispositivos
ePub (446.9 KB)
Visualice en diferentes aplicaciones en iPhone, iPad, Android, Sony Reader o Windows Phone
Mobi (Kindle) (466.7 KB)
Visualice en dispositivo Kindle o aplicación Kindle en múltiples dispositivos

Actualizado:8 de septiembre de 2008

ID del documento:1496579297222109

Acerca de la traducción

Acerca de esta traducción

Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).

Contenido

Introducción

prerrequisitos

Requisitos

Componentes Utilizados

Convenciones

Procedimiento

Información Relacionada

Introducción

Este documento describe cómo corregir errores de certificado en Clean Access Manager (CAM)/Clean Access Server (CAS) con la versión 4.1.6.

prerrequisitos

Requisitos

Cisco recomienda que tenga conocimiento del proceso de actualización del dispositivo Cisco Network Admission Control (NAC).

Componentes Utilizados

La información en este documento se basa en la versión 4.1.6 del dispositivo Cisco NAC con CAM/CAS.

La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si la red está funcionando, asegúrese de haber comprendido el impacto que puede tener cualquier comando.

Convenciones

Consulte Convenciones de Consejos Técnicos Cisco para obtener más información sobre las convenciones del documento.

Procedimiento

Estos errores de certificado se encuentran en /perfigo/logs/perfigo-redirect.log0.log.0 o /perfigo/logs/perfigo-log0.log.0.

A continuación se muestra un ejemplo de error de certificado:

SEVERE: RMISocketFactory:Creating RMI socket failed to host 
        10.1.20.10:sun.security.validator.ValidatorException: 
        Certificate chaining error
Aug 1, 2008 1:41:22 PM com.perfigo.wlan.web.admin.ConnectorClient connect
SEVERE: Communication Exception : java.rmi.ConnectIOException: Exception  
        creating connection to: 10.1.20.10; nested exception is: 
 javax.net.ssl.SSLHandshakeException:  
        sun.security.validator.ValidatorException: Certificate chaining error

Estos errores son el resultado de las mejoras de seguridad realizadas en 4.1.6. En 4.1.6, CAS y CAM actúan como clientes y servidores entre sí y deben confiar los unos en los otros. Cada uno requiere los certificados raíz e intermedio del otro. Por ejemplo, si el CAS tiene un certificado Verisign y el CAM tiene un certificado Perfigo (temporal), tanto el CAS como el CAM necesitan la cadena Verisign (root e intermediates) y la raíz Perfigo.

Complete estos pasos para corregir los errores del certificado:

Realice una copia de seguridad de los certificados instalados que no sean certificados temporales.
1. En el CAM, abra la interfaz web y vaya a Administration > CCA Manager > SSL > X509 Certificate.
2. En el CAS, vaya directamente a la interfaz web a través de https://<CAS IP>/admin, y luego vaya a Administration > SSL > X509 Certificate.
3. Elija Exportar CSR/Clave privada/Certificado en la lista desplegable Elegir una acción.
4. Haga clic en Exportar junto a Certificado actualmente instalado y guarde este archivo.
5. Haga clic en Exportar junto a Clave privada instalada actualmente y guarde este archivo.
Después de la copia de seguridad, si el CAS y el CAM no utilizan ya certificados temporales, genéelos.
1. En el CAM, abra la interfaz web y vaya a Administration > CCA Manager > SSL > X509 Certificate.
2. En el CAS, vaya directamente a la interfaz web a través de https://<CAS IP>/admin, y luego vaya a Administration > SSL > X509 Certificate.
3. Elija Generar certificado temporal en la lista desplegable.
4. Rellene los campos enumerados y haga clic en Generar.
  
  Nota: Esto ya no requiere reiniciar para que surta efecto.
Elimine todas las autoridades de certificados de confianza de CAS y CAM. Este paso facilita la gestión y la mejora de la seguridad.
1. En el CAM, vaya a Administration > CCA Manager > SSL > Trusted Certificate Authorities.
2. En el CAS, vaya a Administration > SSL > Trusted Certificate Authorities.
3. Cree un filtro para excluir el certificado Perfigo.
4. Elija Nombre distinguido en la lista desplegable Agregar filtro.
5. Elija no contiene de la lista desplegable que aparece junto a Nombre distinguido.
6. Escriba Perfigo en el campo de texto y, a continuación, haga clic en Filtro.
7. Elija 100 en la lista desplegable situada junto al botón Eliminar selección.
8. Haga clic en la casilla de verificación debajo de la lista desplegable Eliminar seleccionados para seleccionar todas las autoridades de certificados (CA) de la lista.
9. Haga clic en Eliminar seleccionados para eliminar todas las CA de la lista.
10. Continúe haciendo clic en el cuadro y haga clic en Eliminar seleccionados hasta que se eliminen todas las CA.
Después de quitar todas las CA, se deben importar los certificados raíz e intermedio.
1. En el CAM, vaya a Administration > CCA Manager > SSL > Trusted Certificate Authorities.
2. En el CAS, vaya a Administration > SSL > Trusted Certificate Authorities.
3. Haga clic en Examinar, y elija primero el certificado raíz.
  
  Nota: El asunto y el emisor deben establecerse en el mismo valor.
4. Haga clic en Importar y la CA debe aparecer en la lista siguiente.
5. Realice el mismo procedimiento para cualquier certificado intermedio.
Instale los certificados CAS y CAM que realizó la copia de seguridad en el primer paso.
1. En el CAM, abra la interfaz web y vaya a Administration > CCA Manager > SSL > X509 Certificate.
2. En el CAS, vaya directamente a la interfaz web a través de https://<CAS IP>/admin, y luego vaya a Administration > SSL > X509 Certificate.
3. Elija Importar certificado en la lista desplegable.
4. Haga clic en Examinar y elija el certificado guardado del paso 1.
5. Haga clic en Cargar.
6. Haga clic en Examinar de nuevo y elija la clave privada que se guardó del paso 1.
7. Elija Private Key en la lista desplegable Tipo de archivo y luego haga clic en Cargar.
8. Haga clic en Verificar e Instalar certificados cargados.
Nota: Estos procedimientos no corrigen este mensaje de error:
```
SEVERE: SSLFilter:access deniedCN=cas1.domain.com, 
        OU=Information Technologies, O=Company, ST=State, 
        C=US:Netscape cert type does not permit use for SSL client 
```
Si los registros contienen este mensaje, debe ponerse en contacto con el proveedor de certificados. El certificado se debe volver a emitir con el campo Tipo de certificado de Netscape establecido tanto en el servidor SSL como en el cliente SSL.