Installer un certificat signé par une autorité de certification tierce dans ISE

Options de téléchargement

  • PDF     (1.0 MB)
    Consulter à l'aide d'Adobe Reader sur un grand nombre d'appareils
  • ePub     (1.1 MB)
    Consulter à l’aide de différentes applications sur iPhone, iPad, Android ou Windows Phone
  • Mobi (Kindle)     (735.8 KB)
    Consulter sur un appareil Kindle ou à l’aide d’une application Kindle sur plusieurs appareils
Mis à jour:23 août 2021
ID du document:200295

Langage exempt de préjugés

Dans le cadre de la documentation associée à ce produit, nous nous efforçons d’utiliser un langage exempt de préjugés. Dans cet ensemble de documents, le langage exempt de discrimination renvoie à une langue qui exclut la discrimination en fonction de l’âge, des handicaps, du genre, de l’appartenance raciale de l’identité ethnique, de l’orientation sexuelle, de la situation socio-économique et de l’intersectionnalité. Des exceptions peuvent s’appliquer dans les documents si le langage est codé en dur dans les interfaces utilisateurs du produit logiciel, si le langage utilisé est basé sur la documentation RFP ou si le langage utilisé provient d’un produit tiers référencé. Découvrez comment Cisco utilise le langage inclusif.

À propos de cette traduction

Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.

    Introduction

    Ce document décrit l'installation d'un certificat signé par une autorité de certification tierce dans Cisco Identity Services Engine (ISE). Le processus est identique quel que soit le rôle de certificat final (authentification EAP, Portal, Admin et pxGrid).

    Conditions préalables

    Conditions requises

    Cisco vous recommande de connaître l'infrastructure à clé publique de base.

    Components Used

    Les informations de ce document sont basées sur Cisco Identity Services Engine (ISE) version 3.0. La même configuration s'applique aux versions 2.X

    The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Si votre réseau est en ligne, assurez-vous de bien comprendre l’incidence possible des commandes.

    Configuration

    Étape 1. Générer une demande de signature de certificat (CSR).

    Afin de générer le CSR, accédez à Administration > Certificates > Certificate Signing Requests et cliquez sur Generate Certificate Signing Requests (CSR).

    Install a third-party CA certificate in ISE - Click Generate Certificate Signing Requests (CSR)

    1. Dans la section Utilisation, sélectionnez le rôle à utiliser dans le menu déroulant. Si le certificat est utilisé pour plusieurs rôles, vous pouvez sélectionner Multi-Use (Utilisation multiple). Une fois le certificat généré, les rôles peuvent être modifiés si nécessaire.

    2. Sélectionnez le noeud pour lequel le certificat sera généré.

    3. Remplissez les informations si nécessaire (Unité organisationnelle, Organisation, Ville, Etat et Pays).

    Note: Sous Common Name (CN), ISE remplit automatiquement le nom de domaine complet (FQDN) du noeud.

    Caractères génériques :

    • Si l'objectif est de générer un certificat générique, cochez la case Autoriser les certificats génériques

    • Si le certificat est utilisé pour les authentifications EAP, le symbole * ne doit pas figurer dans le champ CN d'objet car les demandeurs Windows rejettent le certificat du serveur.

    • Même lorsque Valider l'identité du serveur est désactivée sur le demandeur, la connexion SSL peut échouer lorsque le * se trouve dans le champ CN. 

    • Au lieu de cela, un nom de domaine complet générique peut être utilisé dans le champ CN, puis le *.domain.com peut être utilisé dans le champ Nom DNS de l'alternative d'objet (SAN).

    Note: Certaines autorités de certification (AC) peuvent ajouter automatiquement le caractère générique (*) dans le CN du certificat même s'il n'est pas présent dans le CSR. Dans ce scénario, une demande spéciale est requise pour empêcher cette action.

    Exemple CSR de certificat de serveur individuel :

    Install a third-party CA certificate in ISE - CSR example for individual server certificate

    Exemple de CSR générique :

    Install a third-party CA certificate in ISE - Wildcard CSR example

    Note: L'adresse IP de chaque noeud de déploiement peut être ajoutée au champ SAN pour éviter un avertissement de certificat lorsque vous accédez au serveur via l'adresse IP.

    Une fois le CSR créé, ISE affiche une fenêtre contextuelle avec l'option d'exportation. Une fois exporté, ce fichier doit être envoyé à l'autorité de certification pour signature.

    Install a third-party CA certificate in ISE - Export option to download CSR

    Étape 2. Importer une nouvelle chaîne de certificats.

    L'autorité de certification renvoie le certificat de serveur signé avec la chaîne de certificats complète (racine/intermédiaire). Une fois reçus, procédez comme suit pour importer les certificats dans votre serveur ISE :

    1. Afin d'importer les certificats racine et (ou) intermédiaire fournis par l'autorité de certification, accédez à Administration > Certificates > Trusted Certificates.

    2. Cliquez sur Importer, puis sélectionnez le certificat racine et/ou intermédiaire et activez les cases à cocher appropriées lors de l'envoi.
    3. Pour importer le certificat du serveur, accédez à Administration > Certificates > Certificate Signing Requests.

    4. Sélectionnez le CSR précédemment créé et cliquez sur Bind Certificate.

    5. Sélectionnez le nouvel emplacement du certificat et ISE lie le certificat à la clé privée créée et stockée dans la base de données.

    Note: Si le rôle Admin a été sélectionné pour ce certificat, les services serveur ISE spécifiques redémarrent.

    Attention : Si le certificat importé concerne le noeud d'administration principal du déploiement et si le rôle Admin est sélectionné, les services de tous les noeuds redémarrent l'un après l'autre. Ceci est attendu et un temps d'arrêt est recommandé pour effectuer cet exercice.

    Vérification

    Si le rôle admin a été sélectionné lors de l'importation du certificat, vous pouvez vérifier que le nouveau certificat est en place en chargeant la page admin dans le navigateur.  Le navigateur doit faire confiance au nouveau certificat d'administrateur tant que la chaîne a été créée correctement et si la chaîne de certificats est approuvée par le navigateur.

    Install a third-party CA certificate in ISE - Verify certification path

    Pour une vérification supplémentaire, sélectionnez le symbole de verrouillage dans le navigateur et sous le chemin du certificat, vérifiez que la chaîne complète est présente et approuvée par la machine. Il ne s'agit pas d'un indicateur direct indiquant que la chaîne entière a été transmise correctement par le serveur, mais d'un indicateur du navigateur capable de faire confiance au certificat du serveur en fonction de son magasin d'approbation local.

    Dépannage

    Le demandeur ne fait pas confiance au certificat de serveur local ISE lors d'une authentification dot1x

    Vérifier que ISE transmet la chaîne de certificats complète pendant le processus de connexion SSL.

    Lorsque vous utilisez des méthodes EAP qui nécessitent un certificat de serveur (c.-à-d. PEAP) et que l'option Valider l'identité du serveur est sélectionnée, le demandeur valide la chaîne de certificats en utilisant les certificats qu'il possède dans son magasin de confiance local dans le cadre du processus d'authentification. Dans le cadre du processus de connexion SSL, ISE présente son certificat ainsi que tous les certificats racine et (ou) intermédiaire présents dans sa chaîne. Le demandeur ne pourra pas valider l'identité du serveur si la chaîne est incomplète. Pour vérifier que la chaîne de certificats est renvoyée à votre client, vous pouvez effectuer les étapes suivantes :

    1. Afin de prendre une capture d'ISE (TCPDump) pendant l'authentification, accédez à Operations > Diagostic Tools > General Tools > TCP Dump.

    2. Téléchargez/Ouvrez la capture et appliquez le filtre ssl.handshake.certificate dans Wireshark et recherchez un accès-challenge.

    3. Une fois sélectionné, accédez à Développer le protocole Radius > Paires de valeurs d'attribut > Dernier segment EAP-Message > Extensible Authentication Protocol > Secure Sockets Layer > Certificate > Certificates.

     Chaîne de certificats dans la capture.

    Install a third-party CA certificate in ISE - Troubleshoot - Certificate chain in the capture

    Si la chaîne est incomplète, accédez à Administration ISE > Certificates > Trusted Certificates et vérifiez que les certificats racine et (ou) intermédiaire sont présents. Si la chaîne de certificats est transmise avec succès, la chaîne elle-même doit être vérifiée comme étant valide en utilisant la méthode décrite ici. 

    Ouvrez chaque certificat (serveur, intermédiaire et racine) et vérifiez la chaîne de confiance en faisant correspondre l'identificateur de clé d'objet (SKI) de chaque certificat à l'identificateur de clé d'autorité (AKI) du certificat suivant de la chaîne.

    Exemple de chaîne de certificats. 

    Install a third-party CA certificate in ISE - Troubleshoot - Certificate chain example

    La chaîne de certificats ISE est correcte, mais le point de terminaison refuse le certificat de serveur ISE lors de l'authentification

    Si ISE présente sa chaîne de certificats complète pendant la connexion SSL et que le demandeur rejette toujours la chaîne de certificats ; l'étape suivante consiste à vérifier que les certificats racine et(ou) intermédiaire se trouvent dans le magasin de fiducie local du client.

    Afin de vérifier cela à partir d'un périphérique Windows, accédez à mmc.exe File > Add-Remove Snap-in. Dans la colonne Composants logiciels enfichables disponibles, sélectionnez Certificats et cliquez sur Ajouter. Sélectionnez Mon compte d'utilisateur ou compte d'ordinateur en fonction du type d'authentification utilisé (Utilisateur ou Ordinateur), puis cliquez sur OK.

    Dans la vue console, sélectionnez Autorités de certification racines de confiance et Autorités de certification intermédiaires pour vérifier la présence du certificat racine et intermédiaire dans le magasin de fiducie local.

    Install a third-party CA certificate in ISE - Troubleshoot - Verify Root and Intermediate certificates are present

    Une façon simple de vérifier qu'il s'agit d'un problème de vérification de l'identité du serveur, décochez Valider le certificat du serveur sous la configuration du profil du demandeur et testez-le à nouveau.

    Install a third-party CA certificate in ISE - Troubleshoot - Uncheck Validate Server Certificate option

    Informations connexes

    Historique de révision

    Révision Date de publication Commentaires
    1.0
    23-Aug-2021
    Première publication
    TAC Authored

    Contribution d’experts de Cisco

    • Antonio Torres
      Cisco TAC Engineer
    • Abhishek Tomar
      Cisco TAC Engineer

    Ce document vous est-il utile?

    FeedbackCommentaires

    Contacter Cisco

    Ce document s’applique à ces produits