Installer un certificat signé par une autorité de certification tierce dans ISE

Introduction

Ce document décrit l'installation d'un certificat signé par une autorité de certification tierce dans Cisco Identity Services Engine (ISE). Le processus est identique quel que soit le rôle de certificat final (authentification EAP, Portal, Admin et pxGrid).

Conditions préalables

Conditions requises

Cisco vous recommande de connaître l'infrastructure à clé publique de base.

Components Used

Les informations de ce document sont basées sur Cisco Identity Services Engine (ISE) version 3.0. La même configuration s'applique aux versions 2.X

The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Si votre réseau est en ligne, assurez-vous de bien comprendre l’incidence possible des commandes.

Configuration

Étape 1. Générer une demande de signature de certificat (CSR).

Afin de générer le CSR, accédez à Administration > Certificates > Certificate Signing Requests et cliquez sur Generate Certificate Signing Requests (CSR).

1. Dans la section Utilisation, sélectionnez le rôle à utiliser dans le menu déroulant. Si le certificat est utilisé pour plusieurs rôles, vous pouvez sélectionner Multi-Use (Utilisation multiple). Une fois le certificat généré, les rôles peuvent être modifiés si nécessaire.
   
   
2. Sélectionnez le noeud pour lequel le certificat sera généré.
   
   
3. Remplissez les informations si nécessaire (Unité organisationnelle, Organisation, Ville, Etat et Pays).

Note: Sous Common Name (CN), ISE remplit automatiquement le nom de domaine complet (FQDN) du noeud.

Caractères génériques :

• Si l'objectif est de générer un certificat générique, cochez la case Autoriser les certificats génériques. 
  
  
• Si le certificat est utilisé pour les authentifications EAP, le symbole * ne doit pas figurer dans le champ CN d'objet car les demandeurs Windows rejettent le certificat du serveur.
  
  
• Même lorsque Valider l'identité du serveur est désactivée sur le demandeur, la connexion SSL peut échouer lorsque le * se trouve dans le champ CN. 
  
  
• Au lieu de cela, un nom de domaine complet générique peut être utilisé dans le champ CN, puis le *.domain.com peut être utilisé dans le champ Nom DNS de l'alternative d'objet (SAN).

Note: Certaines autorités de certification (AC) peuvent ajouter automatiquement le caractère générique (*) dans le CN du certificat même s'il n'est pas présent dans le CSR. Dans ce scénario, une demande spéciale est requise pour empêcher cette action.

Exemple CSR de certificat de serveur individuel :

Exemple de CSR générique :

Note: L'adresse IP de chaque noeud de déploiement peut être ajoutée au champ SAN pour éviter un avertissement de certificat lorsque vous accédez au serveur via l'adresse IP.

Une fois le CSR créé, ISE affiche une fenêtre contextuelle avec l'option d'exportation. Une fois exporté, ce fichier doit être envoyé à l'autorité de certification pour signature.

Étape 2. Importer une nouvelle chaîne de certificats.

L'autorité de certification renvoie le certificat de serveur signé avec la chaîne de certificats complète (racine/intermédiaire). Une fois reçus, procédez comme suit pour importer les certificats dans votre serveur ISE :

1. Afin d'importer les certificats racine et (ou) intermédiaire fournis par l'autorité de certification, accédez à Administration > Certificates > Trusted Certificates.
   
   
2. Cliquez sur Importer, puis sélectionnez le certificat racine et/ou intermédiaire et activez les cases à cocher appropriées lors de l'envoi.
3. Pour importer le certificat du serveur, accédez à Administration > Certificates > Certificate Signing Requests.
   
   
4. Sélectionnez le CSR précédemment créé et cliquez sur Bind Certificate.
   
   
5. Sélectionnez le nouvel emplacement du certificat et ISE lie le certificat à la clé privée créée et stockée dans la base de données.

Note: Si le rôle Admin a été sélectionné pour ce certificat, les services serveur ISE spécifiques redémarrent.

Attention : Si le certificat importé concerne le noeud d'administration principal du déploiement et si le rôle Admin est sélectionné, les services de tous les noeuds redémarrent l'un après l'autre. Ceci est attendu et un temps d'arrêt est recommandé pour effectuer cet exercice.

Vérification

Si le rôle admin a été sélectionné lors de l'importation du certificat, vous pouvez vérifier que le nouveau certificat est en place en chargeant la page admin dans le navigateur.  Le navigateur doit faire confiance au nouveau certificat d'administrateur tant que la chaîne a été créée correctement et si la chaîne de certificats est approuvée par le navigateur.

Pour une vérification supplémentaire, sélectionnez le symbole de verrouillage dans le navigateur et sous le chemin du certificat, vérifiez que la chaîne complète est présente et approuvée par la machine. Il ne s'agit pas d'un indicateur direct indiquant que la chaîne entière a été transmise correctement par le serveur, mais d'un indicateur du navigateur capable de faire confiance au certificat du serveur en fonction de son magasin d'approbation local.

Dépannage

Le demandeur ne fait pas confiance au certificat de serveur local ISE lors d'une authentification dot1x

Vérifier que ISE transmet la chaîne de certificats complète pendant le processus de connexion SSL.

Lorsque vous utilisez des méthodes EAP qui nécessitent un certificat de serveur (c.-à-d. PEAP) et que l'option Valider l'identité du serveur est sélectionnée, le demandeur valide la chaîne de certificats en utilisant les certificats qu'il possède dans son magasin de confiance local dans le cadre du processus d'authentification. Dans le cadre du processus de connexion SSL, ISE présente son certificat ainsi que tous les certificats racine et (ou) intermédiaire présents dans sa chaîne. Le demandeur ne pourra pas valider l'identité du serveur si la chaîne est incomplète. Pour vérifier que la chaîne de certificats est renvoyée à votre client, vous pouvez effectuer les étapes suivantes :

1. Afin de prendre une capture d'ISE (TCPDump) pendant l'authentification, accédez à Operations > Diagostic Tools > General Tools > TCP Dump.
   
   
2. Téléchargez/Ouvrez la capture et appliquez le filtre ssl.handshake.certificate dans Wireshark et recherchez un accès-challenge.
   
   
3. Une fois sélectionné, accédez à Développer le protocole Radius > Paires de valeurs d'attribut > Dernier segment EAP-Message > Extensible Authentication Protocol > Secure Sockets Layer > Certificate > Certificates.

 Chaîne de certificats dans la capture.

Si la chaîne est incomplète, accédez à Administration ISE > Certificates > Trusted Certificates et vérifiez que les certificats racine et (ou) intermédiaire sont présents. Si la chaîne de certificats est transmise avec succès, la chaîne elle-même doit être vérifiée comme étant valide en utilisant la méthode décrite ici. 

Ouvrez chaque certificat (serveur, intermédiaire et racine) et vérifiez la chaîne de confiance en faisant correspondre l'identificateur de clé d'objet (SKI) de chaque certificat à l'identificateur de clé d'autorité (AKI) du certificat suivant de la chaîne.

Exemple de chaîne de certificats. 

La chaîne de certificats ISE est correcte, mais le point de terminaison refuse le certificat de serveur ISE lors de l'authentification

Si ISE présente sa chaîne de certificats complète pendant la connexion SSL et que le demandeur rejette toujours la chaîne de certificats ; l'étape suivante consiste à vérifier que les certificats racine et(ou) intermédiaire se trouvent dans le magasin de fiducie local du client.

Afin de vérifier cela à partir d'un périphérique Windows, accédez à mmc.exe File > Add-Remove Snap-in. Dans la colonne Composants logiciels enfichables disponibles, sélectionnez Certificats et cliquez sur Ajouter. Sélectionnez Mon compte d'utilisateur ou compte d'ordinateur en fonction du type d'authentification utilisé (Utilisateur ou Ordinateur), puis cliquez sur OK.

Dans la vue console, sélectionnez Autorités de certification racines de confiance et Autorités de certification intermédiaires pour vérifier la présence du certificat racine et intermédiaire dans le magasin de fiducie local.

Une façon simple de vérifier qu'il s'agit d'un problème de vérification de l'identité du serveur, décochez Valider le certificat du serveur sous la configuration du profil du demandeur et testez-le à nouveau.

Informations connexes

• Guide de l'administrateur de Cisco Identity Services Engine, version 3.0
• Support et documentation techniques - Cisco Systems