Installation, renouvellement et dépannage des certificats numériques SSL sur Cisco ISE

Options de téléchargement

  • PDF     (106.0 KB)
    Consulter à l'aide d'Adobe Reader sur un grand nombre d'appareils
  • ePub     (98.5 KB)
    Consulter à l’aide de différentes applications sur iPhone, iPad, Android ou Windows Phone
  • Mobi (Kindle)     (84.9 KB)
    Consulter sur un appareil Kindle ou à l’aide d’une application Kindle sur plusieurs appareils
Mis à jour:3 août 2020
ID du document:215883

Langage exempt de préjugés

Dans le cadre de la documentation associée à ce produit, nous nous efforçons d’utiliser un langage exempt de préjugés. Dans cet ensemble de documents, le langage exempt de discrimination renvoie à une langue qui exclut la discrimination en fonction de l’âge, des handicaps, du genre, de l’appartenance raciale de l’identité ethnique, de l’orientation sexuelle, de la situation socio-économique et de l’intersectionnalité. Des exceptions peuvent s’appliquer dans les documents si le langage est codé en dur dans les interfaces utilisateurs du produit logiciel, si le langage utilisé est basé sur la documentation RFP ou si le langage utilisé provient d’un produit tiers référencé. Découvrez comment Cisco utilise le langage inclusif.

À propos de cette traduction

Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.

    Introduction

    Ce document contient les étapes nécessaires à l'installation, au renouvellement et aux solutions des certificats SSL les plus courants observés sur un moteur Identity Services Engine.  Ce document fournit les étapes recommandées et la liste de contrôle des problèmes courants à vérifier et à résoudre avant de commencer le dépannage et d'appeler l'assistance technique Cisco.

    Ces solutions proviennent directement des demandes de service que l'assistance technique Cisco a résolues. Si votre réseau est actif, assurez-vous de bien comprendre l'impact potentiel des étapes que vous effectuez pour résoudre les problèmes.

    Conditions préalables

    Conditions requises

    Cisco vous recommande de prendre connaissance des rubriques suivantes :

    • Interface utilisateur du moteur de services d'identité

    Components Used

    Les informations de ce document sont basées sur la version logicielle suivante :

    • Cisco Identity Service Engine 2.7

    The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Si votre réseau est en ligne, assurez-vous de bien comprendre l’incidence possible des commandes.

    Informations générales

    Un certificat est un document électronique qui identifie une personne, un serveur, une société ou une autre entité et associe cette entité à une clé publique. Un certificat auto-signé est signé par son propre créateur. Les certificats peuvent être autosignés ou signés numériquement par une autorité de certification externe. Un certificat numérique signé par une autorité de certification est considéré comme une norme du secteur et plus sécurisé.

    Les certificats sont utilisés dans un réseau pour fournir un accès sécurisé. Cisco ISE utilise des certificats pour la communication entre noeuds et pour la communication avec des serveurs externes tels que le serveur Syslog, le serveur de flux et tous les portails d'utilisateur final (portails d'invité, de sponsor et de périphériques personnels). Les certificats identifient un noeud Cisco ISE à un point d'extrémité et sécurisent la communication entre ce point d'extrémité et le noeud Cisco ISE. Les certificats sont utilisés pour toutes les communications HTTPS et la communication EAP (Extensible Authentication Protocol).

    Configuration 

    Les guides suivants expliquent comment importer et remplacer des certificats :

    Importation d'un certificat système

    https://www.cisco.com/c/en/us/td/docs/security/ise/2-7/admin_guide/workflow/html/b_basic_setup_2_7.html#ID547

    Remplacement d'un certificat expiré

    https://www.cisco.com/c/en/us/support/docs/security/identity-services-engine/116977-technote-ise-cert-00.html#anc5

    Problèmes courants

    Scénario 1 : impossible de remplacer un certificat de portail expirant sur un noeud ISE

    Erreur 

    Lors de la liaison du nouveau certificat Portal avec le CSR, le processus de liaison de certificat échoue avec l'erreur indiquée ci-dessous :

    Erreur interne. Demandez à votre administrateur ISE de consulter les journaux pour plus de détails

    Les raisons les plus courantes de cette erreur sont les suivantes :

    - Le nouveau certificat porte le même nom de sujet que le certificat existant

    - Importer un certificat renouvelé qui utilise la même clé privée d'un certificat existant

    Solution

    1. Affecter temporairement l'utilisation du portail à un autre certificat sur le même noeud
    2. Supprimer le certificat Portal expirant
    3. Installer le nouveau certificat de portail, puis affecter l'utilisation du portail

    Par exemple, si vous souhaitez affecter temporairement l'utilisation du portail à un certificat existant avec l'utilisation de l'authentification EAP, procédez comme suit :

    Étape 1. Sélectionnez et modifiez le certificat avec l'utilisation de l'authentification EAP, ajoutez le rôle de portail sous Utilisation et enregistrez

    Étape 2. Supprimer le certificat de portail expirant

    Étape 3. Télécharger le nouveau certificat de portail sans sélectionner de rôle (sous Utilisation) et envoyer

    Étape 4. Sélectionnez et modifiez le nouveau certificat Portal, attribuez le rôle Portal sous Utilisation et enregistrez

    Scénario 2 : Impossible de générer deux CSR pour le même noeud ISE avec utilisation multiple

    Erreur 

    La création d'un nouveau CSR pour le même noeud avec utilisation multiple échoue avec l'erreur :
    Un autre certificat portant le même nom convivial existe déjà. Les noms conviviaux doivent être uniques.

    Solution

    Les noms conviviaux CSR sont codés en dur pour chaque noeud ISE, de sorte qu'il ne permet pas de créer 2 CSR pour le même noeud avec utilisation multiple. Le cas d'utilisation se trouve sur un noeud spécifique, il y a un certificat signé par l'autorité de certification qui est utilisé pour l'utilisation de l'authentification Admin et EAP et un autre certificat signé par l'autorité de certification qui est utilisé pour l'utilisation SAML et Portal et les deux certificats vont expirer.

    In this scenario:

    Étape 1. Générer le premier CSR avec utilisation multiple

    Étape 2. Lier le certificat signé par l'autorité de certification avec le premier CSR et attribuer le rôle d'authentification Admin et EAP

    Étape 3. Générer une deuxième demande de service de contact avec utilisation multiple

    Étape 4. Lier le certificat signé par l'autorité de certification avec le second CSR et attribuer le rôle SAML et Portal

    Scénario 3 : Impossible de lier le certificat signé par l'autorité de certification pour l'utilisation du portail ou impossible d'affecter la balise du portail au certificat et d'obtenir une erreur

    Erreur 

    Le certificat de signature CA de liaison pour l'utilisation du portail génère l'erreur :

    Il existe un ou plusieurs certificats approuvés qui font partie de la chaîne de certificats du système du portail ou sélectionnés avec le rôle d'authentification d'administrateur basé sur cert avec le même nom de sujet mais avec un numéro de série différent. L'importation/mise à jour a été annulée. Pour une importation/mise à jour réussie, vous devez désactiver le rôle d'authentification d'administrateur basé sur le panier à partir d'un certificat approuvé en double ou modifier le rôle de portail à partir du certificat système qui contient le certificat approuvé en double dans sa chaîne.

    Solution

    Étape 1. Vérifiez la chaîne de certificats du certificat signé par l'autorité de certification (pour l'utilisation du portail) et dans le magasin de certificats approuvés, vérifiez si vous avez des certificats en double de la chaîne de certificats.
    Étape 2. Supprimez le certificat en double ou décochez la case Approuver l'authentification d'administrateur basée sur le certificat du certificat en double.

    Par exemple, le certificat du portail signé par l'autorité de certification possède la chaîne de certificats suivante :

    Vérifiez si vous avez un certificat en double pour l'un des 3 certificats CA de la chaîne de certificats (peut être un certificat expiré) et supprimez le certificat en double du magasin de certificats approuvés.

    Scénario 4 : Impossible de supprimer le certificat auto-signé par défaut expiré du magasin de certificats de confiance

    Erreur 

    La suppression du certificat auto-signé par défaut expiré du magasin de certificats approuvés entraîne l'erreur suivante :
    La désactivation ou la suppression ou le certificat d'approbation n'est pas autorisé car il est référencé par dans Certificats système ET/OU Secure Syslog Target sous Remote Logging Targets.

    Solution

    1. Vérifiez que le certificat auto-signé par défaut expiré n'est associé à aucune cible de journalisation distante existante. Ceci peut être vérifié sous Administration > System > Logging > Remote Logging Targets > Select and Edit SecureSyslogCollector(s)
    2. Vérifiez que le certificat auto-signé par défaut expiré n'est associé à aucun rôle spécifique (utilisation). ceci peut être vérifié sous Administration > Système > Certificats > Certificats système.

    Si le problème persiste, contactez le TAC.

    Scénario 5 : Impossible de lier le certificat pxGrid signé par l'autorité de certification au CSR sur un noeud ISE

    Erreur 

    Lors de la liaison du nouveau certificat pxGrid avec le CSR, le processus de liaison de certificat échoue avec une erreur :

    Le certificat pour pxGrid doit contenir l'authentification du client et du serveur dans l'extension Extended Key Usage (EKU).

    Solution

    Assurez-vous que le certificat PxGrid signé par l'autorité de certification doit avoir une utilisation de clé étendue TLS Web Server Authentication (1.3.6.1.5.5.7.3.1) et TLS Web Client Authentication (1.3.6.1.5.7.3.2), car il est utilisé pour l'authentification client et serveur (pour sécuriser la communication entre le client et le serveur pxGrid)

    Lien de référence : https://www.cisco.com/c/en/us/td/docs/security/ise/2-6/admin_guide/b_ise_admin_guide_26/b_ise_admin_guide_26_chapter_011010.html

    Scénario 6 : Impossible de supprimer le certificat auto-signé par défaut expiré du magasin de certificats approuvés en raison de la configuration LDAP ou SCEP RA Profile existante

    Erreur 

    La suppression du certificat auto-signé par défaut expiré du magasin de certificats approuvés entraîne l'erreur suivante :

    Impossible de supprimer le certificat de confiance, car il est référencé ailleurs, éventuellement à partir d'un profil RA SCEP ou d'une source d'identité LDAP

    * Certificat de serveur autosigné par défaut

    Afin de supprimer le ou les certificats, supprimez le profil RA SCEP ou modifiez la source d'identité LDAP pour ne pas utiliser ce certificat.

    Solution

    1. Accédez à Administration > Identity Management > External Identity Sources > LDAP > Server Name > Connection
    2. Assurez-vous que l'autorité de certification racine du serveur LDAP n'utilise pas le « certificat de serveur auto-signé par défaut »
    3. Si le serveur LDAP n'utilise pas le certificat requis pour une connexion sécurisée, accédez à Administration > System > Certificates > Certificate Authority > External CA Settings > SCEP RA Profiles.
    4. Assurez-vous que tous les profils RA SCEP n'utilisent pas de certificat auto-signé par défaut

    Ressources supplémentaires

    Comment installer un certificat générique
    https://www.cisco.com/c/en/us/td/docs/security/ise/2-6/admin_guide/b_ise_admin_guide_26/b_ise_admin_guide_26_chapter_0111.html

    Gérer les certificats ISE
    https://www.cisco.com/c/en/us/td/docs/security/ise/2-6/admin_guide/b_ise_admin_guide_26/b_ise_admin_guide_26_chapter_0111.html

    Installer un certificat CA tiers sur ISE
    https://www.cisco.com/c/en/us/support/docs/security/identity-services-engine-software/200295-Install-a-3rd-party-CA-certificate-in-IS.html

    TAC Authored

    Contribution d’experts de Cisco

    • Created by Poonam Garg
      HTTS Engineer
    • Created by Dinesh Moudgil
      HTTS Engineer
    • Edited by Cesar Ivan Monterrubio Ramirez
      Technical Consulting Engineer

    Ce document vous est-il utile?

    FeedbackCommentaires

    Contacter Cisco

    Ce document s’applique à ces produits