Configurer les renouvellements de certificats sur ISE

Options de téléchargement

  • PDF     (764.9 KB)
    Consulter à l'aide d'Adobe Reader sur un grand nombre d'appareils
  • ePub     (681.7 KB)
    Consulter à l’aide de différentes applications sur iPhone, iPad, Android ou Windows Phone
  • Mobi (Kindle)     (512.1 KB)
    Consulter sur un appareil Kindle ou à l’aide d’une application Kindle sur plusieurs appareils
Mis à jour:7 septembre 2023
ID du document:217191

Langage exempt de préjugés

Dans le cadre de la documentation associée à ce produit, nous nous efforçons d’utiliser un langage exempt de préjugés. Dans cet ensemble de documents, le langage exempt de discrimination renvoie à une langue qui exclut la discrimination en fonction de l’âge, des handicaps, du genre, de l’appartenance raciale de l’identité ethnique, de l’orientation sexuelle, de la situation socio-économique et de l’intersectionnalité. Des exceptions peuvent s’appliquer dans les documents si le langage est codé en dur dans les interfaces utilisateurs du produit logiciel, si le langage utilisé est basé sur la documentation RFP ou si le langage utilisé provient d’un produit tiers référencé. Découvrez comment Cisco utilise le langage inclusif.

À propos de cette traduction

Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.

    Introduction

    Ce document décrit les bonnes pratiques et des procédures proactives pour renouveler les certificats sur Cisco Identity Services Engine (ISE).

    Conditions préalables

    Exigences

    Cisco vous recommande de prendre connaissance des rubriques suivantes :

    • Certificats X509
    • Configuration d’un appareil Cisco ISE avec des certificats

    Composants utilisés


    "Les informations contenues dans ce document ont été créées à partir des périphériques d'un environnement de laboratoire spécifique. All of the devices used in this document started with a cleared (default) configuration. Si votre réseau est actif, assurez-vous de comprendre l'impact potentiel de toute commande. »

    • Cisco ISE version 3.0.0.458
    • Appareil ou VMware

    Informations générales

      Remarque : ce document n'est pas destiné à servir de guide de diagnostic pour les certificats.

    Ce document décrit les bonnes pratiques et des procédures proactives pour renouveler les certificats sur Cisco Identity Services Engine (ISE). Il indique également comment configurer les alarmes et les notifications afin que les administrateurs soient avertis des événements imminents tels que l'expiration des certificats.

    En tant qu’administrateur ISE, vous devez savoir que l’expiration des certificats ISE est incontournable. Si votre serveur ISE a un certificat expiré, de graves problèmes peuvent survenir, sauf si vous remplacez le certificat expiré par un nouveau certificat valide.

      Remarque : si le certificat utilisé pour le protocole EAP (Extensible Authentication Protocol) expire, toutes les authentifications peuvent échouer car les clients ne font plus confiance au certificat ISE. Si le certificat d'administration ISE expire, le risque est encore plus grand : un administrateur ne peut plus se connecter à ISE et le déploiement distribué peut cesser de fonctionner et de se répliquer.

    L'administrateur ISE doit installer un nouveau certificat valide sur l'ISE avant l'expiration de l'ancien certificat. Cette approche proactive prévient ou réduit les temps d’arrêt et empêche les répercussions sur vos utilisateurs finaux. Une fois que la période du certificat nouvellement installé commence, vous pouvez activer le rôle EAP/Admin ou tout autre rôle sur le nouveau certificat.

    Vous pouvez configurer ISE pour qu’il génère des alertes et informe l’administrateur qu’il est temps d’installer de nouveaux certificats avant l’expiration des anciens certificats.

      Remarque : ce document utilise le certificat d'administration ISE comme certificat auto-signé afin de démontrer l'impact du renouvellement du certificat, mais cette approche n'est pas recommandée pour un système de production. Il est préférable d'utiliser un certificat CA pour les rôles EAP et Admin.

    Configurer

    Afficher les certificats ISE autosignés

    Lors de son installation, Cisco ISE génère un certificat autosigné. Le certificat autosigné est utilisé pour l’accès administratif et la communication au sein du déploiement distribué (HTTPS), ainsi que pour l’authentification des utilisateurs (EAP). Dans un système opérationnel, utilisez un certificat provenant d’une autorité de certification au lieu d’un certificat autosigné.

      Conseil : reportez-vous à la section Certificate Management in Cisco ISE du Guide d'installation matérielle de Cisco Identity Services Engine, version 3.0 pour plus d'informations.

    Un certificat ISE doit être au format Privacy Enhanced Mail (PEM) ou Distinguished Encodage Rules (DER).

    Pour visualiser le certificat autosigné initial, naviguez vers Administration > System > Certificates > System Certificates (gestion > système > certificats > certificats du système) dans l’interface graphique de Cisco ISE, comme montré dans cette image.

    abtomar_0-1620141379341

    Si vous installez un certificat de serveur sur Cisco ISE par l’intermédiaire d’une requête de signature de certificat (CSR) et que vous modifiez le certificat pour utiliser le protocole Admin ou EAP, le certificat de serveur autosigné est toujours présent, mais son état est « inutilisé ».

      Attention : pour les modifications du protocole Admin, un redémarrage des services ISE est nécessaire, ce qui entraîne quelques minutes d'indisponibilité. Les modifications apportées au protocole EAP n’entraînent pas le redémarrage des services ISE ni de temps d’arrêt.

    Déterminer quand modifier le certificat

    Supposons que le certificat installé expire bientôt. Est-il préférable de laisser le certificat expirer avant de le renouveler ou de modifier le certificat avant son expiration? Vous devez modifier le certificat avant l'expiration afin d'avoir le temps de planifier l'échange de certificat et de gérer les interruptions causées par l'échange.

    Quand devez-vous modifier le certificat ? Obtenez un nouveau certificat dont la date de début précède la date d’expiration de l’ancien certificat. La période comprise entre ces deux dates représente la fenêtre de modification.

      Attention : si vous activez Admin, cela entraîne un redémarrage du service sur le serveur ISE et vous subissez quelques minutes d'indisponibilité.

    Cette image présente les informations d’un certificat qui expire bientôt :

    abtomar_8-1620144706514

    Générer une requête de signature de certificat

    Cette procédure décrit comment renouveler le certificat à l’aide d’une requête de signature de certificat (CSR) :

    1. Dans la console ISE, naviguez vers Administration > System >Certificates > Certificate Signing Requests (gestion > système > certificats > requêtes de signature de certificat) et cliquez sur Generate Certificate Signing Request: (générer une requête de signature de certificat :).

    2. Les informations minimales que vous devez saisir dans le champ de texte Certificate Subject (objet du certificat) sont CN=ISEfqdn, où ISEfqdn est le nom de domaine complet (FQDN) de Cisco ISE. Ajoutez des champs supplémentaires comme O (organisation), OU (unité organisationnelle) ou C (pays) dans l’objet du certificat à l’aide de virgules, comme suit :

      abtomar_3-1620142324401
    3. L’une des lignes du champ de texte Subject Alternative Name (SAN) doit répéter le nom de domaine complet de Cisco ISE. Vous pouvez ajouter un deuxième champ SAN si vous souhaitez utiliser d’autres noms ou un certificat à caractère générique.

    4. Cliquez sur Generate (générer). Une fenêtre contextuelle indique si les champs de la requête CSR sont remplis correctement ou non :

      abtomar_4-1620142410440

    5. Pour exporter la requête CSR, cliquez sur Certificate Signing Requests (requête de signature de certificat) dans le volet de gauche, sélectionnez votre requête, puis cliquez sur Export: (exporter :).

      abtomar_5-1620142481853
    6. Le CSR est stocké sur votre ordinateur. Soumettez-la à l’autorité de certification pour obtenir une signature.

    Installer le certificat

    Une fois que vous avez reçu le certificat final de votre autorité de certification, vous devez l’ajouter à ISE :

    1. Dans la console ISE, naviguez vers Administration > System > Certificates > Certificate Signing Requests (gestion > système > certificats > requête de signature de certificat), puis cochez la case CRSand et cliquez sur Bind Certificate (lier le certificat) :

      abtomar_6-1620143102071

    2. Entrez une description simple et claire du certificat dans le champ de texte Friendly Name (nom convivial), puis cliquez sur Submit (envoyer).

        Remarque : n'activez pas le protocole EAP ou Admin pour le moment.

    3. Un nouveau certificat non utilisé s’affiche sous System Certificate (certificat du système), comme illustré ici :

      abtomar_7-1620143261589
    4. Étant donné que le nouveau certificat est installé avant l’expiration de l’ancien, un message d’erreur signale une plage de dates future :

      abtomar_13-1620145420817

    5. Cliquez sur Yes (oui) pour continuer. Le certificat est maintenant installé, mais pas en cours d’utilisation, puisqu’il est surligné en vert.

      abtomar_12-1620144949392

      Remarque : si vous utilisez des certificats auto-signés dans un déploiement distribué, le certificat auto-signé principal doit être installé dans le magasin de certificats de confiance du serveur ISE secondaire.    De même, le certificat autosigné secondaire doit être installé dans le magasin de certificats de confiance du serveur ISE principal. Cela permet aux serveurs ISE de s’authentifier mutuellement.  Sans cela, le déploiement peut s'interrompre. Si vous renouvelez des certificats d’une autorité de certification tierce, vérifiez si la chaîne de certificats racine a été modifiée, et assurez-vous de mettre à jour le magasin de certificats de confiance en conséquence dans ISE. Dans les deux scénarios, assurez-vous que les noeuds ISE, les systèmes de contrôle des terminaux et les demandeurs sont en mesure de valider la chaîne de certificats racine.

    Configurer le système d’alerte

    Cisco ISE vous informe lorsque la date d’expiration d’un certificat local survient dans moins de 90 jours. Une telle notification vous permet d’éviter d’atteindre l’expiration des certificats, de planifier le changement de certificat et d’éviter ou de réduire les temps d’arrêt.

    La notification s’affiche de plusieurs manières :

    • Des icônes d’état d’expiration de couleur sont visibles sur la page des certificats locaux.

    • Des avertissements d’expiration figurent dans le rapport de diagnostics du système Cisco ISE.

    • Des alertes d’expiration sont générées à 90 jours et à 60 jours, puis chaque jour au cours des 30 jours précédant l’expiration.

    Configurez ISE pour recevoir des alertes d’expiration par courriel. Dans la console ISE, naviguez jusqu’à Administration > System > Settings > SMTP Server (gestion > système > paramètres > serveur SMTP), repérez le serveur SMTP (Simple Mail Transfer Protocol) et définissez les autres paramètres du serveur afin que des notifications soient envoyées par courriel pour les alertes :



    abtomar_14-1620145511753

    Vous pouvez configurer les notifications de deux manières :

    • Utilisez l’accès administrateur pour envoyer des notifications aux administrateurs :

      1. Naviguez vers Administration > System > Admin Access > Administrators > Admin Users (gestion > système > accès administrateur > administrateurs > utilisateurs administrateurs).

      2. Cochez la case Include system alarms in emails (inclure les alertes du système dans les courriels) pour les utilisateurs administrateurs qui doivent recevoir des notifications d’alertes. L’adresse courriel de l’expéditeur des notifications d’alertes est figée dans le code sous la forme ise@hostname (nom de l’hôte).

        abtomar_16-1620146073370

    • Configurez les paramètres d’alertes ISE afin d’informer les utilisateurs :

      1. Naviguez vers Administration > System > Settings > Alarm Settings > Alarm Configuration (gestion > système > paramètres > paramètres de l’alerte > configuration de l’alerte), comme illustré dans cette image.

        abtomar_0-1620150246648

          Remarque : désactivez l'état d'une catégorie si vous souhaitez empêcher les alarmes de cette catégorie.

      2. Sélectionnez Certificate Expiration (expiration du certificat), puis cliquez sur Alarm Notification (notification d’alarme), entrez les adresses courriel des utilisateurs qui doivent recevoir des notifications et enregistrez les modifications. Les modifications peuvent prendre jusqu'à 15 minutes avant d'être actives.

        abtomar_1-1620150294202

    Vérifier

    Utilisez cette section pour confirmer que votre configuration fonctionne correctement.

    Vérifier le système d’alerte

    Vérifiez que le système d’alerte fonctionne correctement. Dans cet exemple, une modification de la configuration génère une alerte avec un niveau de gravité Information. (Un niveau d’alerte Information est du niveau de gravité le plus faible, tandis que les expirations de certificat génèrent un niveau de gravité d’avertissement plus élevé.)

    abtomar_2-1620150359634



    Voici un exemple d’alerte envoyée par courriel par l’ISE :

    abtomar_1-1620149973370

    Vérifier le changement de certificat

    Cette procédure décrit comment vérifier que le certificat est installé correctement et comment modifier les rôles EAP et/ou Admin :

    1. Sur la console ISE, naviguez vers Administration > Certificates > System Certificates (gestion > certificats > certificats de système) et sélectionnez le nouveau certificat afin d’en afficher les détails.

        Attention : si vous activez l'utilisation Admin, le service ISE redémarre, ce qui entraîne l'indisponibilité du serveur.


      abtomar_0-1620149841190


    2. Pour vérifier l’état du certificat sur le serveur ISE, entrez la commande suivante dans l’interface CLI :

      CLI:> show application status ise
    3. Une fois que tous les services sont actifs, essayez de vous connecter en tant qu’administrateur.

    4. Pour un scénario de déploiement distribué, accédez à Administration > System > Deployment. Vérifiez que l'icône du noeud est verte. Placez le curseur sur l'icône pour vérifier que la légende indique « Connecté ».

    5. Vérifiez que l’authentification de l’utilisateur final a réussi. Pour ce faire, accédez à Operations > RADIUS > Livelogs.  Vous pouvez trouver une tentative d'authentification spécifique et vérifier que ces tentatives ont été authentifiées avec succès.

    Vérifier le certificat

    Si vous souhaitez vérifier le certificat de l’extérieur, vous pouvez utiliser les outils Microsoft Windows intégrés ou la boîte à outils OpenSSL.

    OpenSSL est une implémentation libre du protocole SSL (Secure Sockets Layer). Si les certificats utilisent votre propre autorité de certification privée, vous devez placer votre certificat racine provenant d’une autorité de certification sur un ordinateur local et utiliser l’option OpenSSL -CApath. Si vous disposez d’une autorité de certification intermédiaire, vous devez également placer le certificat dans le même répertoire.

    Afin d’obtenir des informations générales sur le certificat et de le vérifier, utilisez :

    openssl x509 -in certificate.pem -noout -text
    openssl verify certificate.pem

    Il peut également être utile de convertir les certificats avec la boîte à outils OpenSSL :

    openssl x509 -in certificate.der -inform DER -outform PEM -out certificate.pem

    Dépannage

    Aucune information de diagnostic spécifique n'est actuellement disponible pour cette configuration.

    Conclusion

    Comme vous pouvez installer un nouveau certificat sur ISE avant qu’il ne soit actif, Cisco vous recommande de le faire avant l’expiration de l’ancien certificat. Cette période de chevauchement entre la date d’expiration de l’ancien certificat et la date de début du nouveau certificat vous donne le temps de renouveler les certificats et de planifier leur installation avec peu ou pas de temps d’arrêt. Une fois que la plage de dates de validité du nouveau certificat est en vigueur, activez le protocole EAP et/ou Admin. N’oubliez pas que si vous activez l’utilisation par l’administrateur, le service redémarrera.

    Historique de révision

    Révision Date de publication Commentaires
    3.0
    07-Sep-2023
    Recertification
    2.0
    04-Aug-2022
    Première publication
    1.0
    16-Jun-2021
    Première publication
    TAC Authored

    Contribution d’experts de Cisco

    • Abhishek Tomar
      Ingénieur TAC Cisco
    • Roger Nobel
      Ingénieur TAC Cisco

    Ce document vous est-il utile?

    FeedbackCommentaires

    Contacter Cisco

    Ce document s’applique à ces produits