Pour les partenaires
Vous êtes déjà partenaire?
ConnexionAvez-vous un compte?
Ce document décrit comment corriger les erreurs de certificat sur le Clean Access Manager (CAM)/Clean Access Server (CAS) avec la version 4.1.6.
Cisco recommande que vous connaissiez le processus de mise à niveau de l'appliance Cisco NAC (Network Admission Control).
Les informations de ce document sont basées sur la version 4.1.6 de l'appliance Cisco NAC avec CAM/CAS.
Les informations contenues dans ce document ont été créées à partir des périphériques d'un environnement de laboratoire spécifique. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.
Pour plus d'informations sur les conventions utilisées dans ce document, reportez-vous à Conventions relatives aux conseils techniques Cisco.
Ces erreurs de certificat se trouvent dans /perfigo/logs/perfigo-redirect.log0.log.0 ou /perfigo/logs/perfigo-log0.log.0.
Voici un exemple d'erreur de certificat :
SEVERE: RMISocketFactory:Creating RMI socket failed to host 10.1.20.10:sun.security.validator.ValidatorException: Certificate chaining error Aug 1, 2008 1:41:22 PM com.perfigo.wlan.web.admin.ConnectorClient connect SEVERE: Communication Exception : java.rmi.ConnectIOException: Exception creating connection to: 10.1.20.10; nested exception is: javax.net.ssl.SSLHandshakeException: sun.security.validator.ValidatorException: Certificate chaining error
Ces erreurs résultent des améliorations apportées à la sécurité dans la section 4.1.6. Dans la section 4.1.6, le CAS et le CAM agissent en tant que client et serveur les uns envers les autres et doivent se faire confiance. Chacun nécessite les certificats racine et intermédiaire de l'autre. Par exemple, si le CAS a un certificat Verisign et que le CAM a un certificat Perfigo (temporaire), le CAS et le CAM ont besoin de la chaîne Verisign (racine et intermédiaires) et de la racine Perfigo.
Complétez ces étapes afin de corriger les erreurs de certificat :
Sauvegardez tous les certificats installés qui ne sont pas des certificats temporaires.
Sur le CAM, ouvrez l'interface Web et accédez à Administration > CCA Manager > SSL > X509 Certificate.
Sur le CAS, accédez directement à l'interface Web via https://<CAS IP>/admin, puis allez à Administration > SSL > X509 Certificate.
Choisissez Export CSR/Private Key/Certificate dans la liste déroulante Choisir une action.
Cliquez sur Exporter en regard de Certificat actuellement installé, puis enregistrez ce fichier.
Cliquez sur Exporter en regard de Clé privée actuellement installée, puis enregistrez ce fichier.
Après la sauvegarde, si le CAS et le CAM n'utilisent pas déjà de certificats temporaires, générez-les.
Sur le CAM, ouvrez l'interface Web et accédez à Administration > CCA Manager > SSL > X509 Certificate.
Sur le CAS, accédez directement à l'interface Web via https://<CAS IP>/admin, puis allez à Administration > SSL > X509 Certificate.
Choisissez Générer un certificat temporaire dans la liste déroulante.
Complétez les champs répertoriés, puis cliquez sur Générer.
Remarque : ceci ne nécessite plus de redémarrage pour prendre effet.
Supprimez toutes les autorités de certification de confiance du CAS et du CAM. Cette étape facilite la gestion et l'amélioration de la sécurité.
Sur le CAM, accédez à Administration > CCA Manager > SSL > Trusted Certificate Authority.
Sur le CAS, accédez à Administration > SSL > Trusted Certificate Authority.
Créez un filtre pour exclure le certificat Perfigo.
Choisissez Nom unique dans la liste déroulante Ajouter un filtre.
Choisissez ne contient pas dans la liste déroulante qui apparaît en regard de Nom unique.
Tapez Perfigo dans le champ de texte, puis cliquez sur Filtrer.
Choisissez 100 dans la liste déroulante située en regard du bouton Supprimer la sélection.
Cochez la case située sous la liste déroulante Supprimer la sélection afin de sélectionner toutes les autorités de certification (AC) de la liste.
Cliquez sur Supprimer la sélection afin de supprimer toutes les CA de la liste.
Continuez à cliquer sur la zone, puis cliquez sur Supprimer la sélection jusqu'à ce que toutes les autorités de certification soient supprimées.
Après avoir supprimé toutes les CA, les certificats racine et intermédiaire doivent être importés.
Sur le CAM, accédez à Administration > CCA Manager > SSL > Trusted Certificate Authority.
Sur le CAS, accédez à Administration > SSL > Trusted Certificate Authority.
Cliquez sur Parcourir, puis choisissez d'abord le certificat racine.
Remarque : l'objet et l'émetteur doivent être définis sur la même valeur.
Cliquez sur Importer et l'autorité de certification doit apparaître dans la liste ci-dessous.
Effectuez la même procédure pour les certificats intermédiaires.
Installez les certificats CAS et CAM que vous avez sauvegardés dans la première étape.
Sur le CAM, ouvrez l'interface Web et accédez à Administration > CCA Manager > SSL > X509 Certificate.
Sur le CAS, accédez directement à l'interface Web via https://<CAS IP>/admin, puis allez à Administration > SSL > X509 Certificate.
Choisissez Importer un certificat dans la liste déroulante.
Cliquez sur Parcourir, puis choisissez le certificat enregistré à l'étape 1.
Cliquez sur Télécharger.
Cliquez à nouveau sur Parcourir, puis choisissez la clé privée enregistrée à l'étape 1.
Choisissez Private Key dans la liste déroulante Type de fichier, puis cliquez sur Upload.
Cliquez sur Vérifier et installer les certificats téléchargés.
Remarque : Ce message d'erreur n'est pas corrigé par les procédures suivantes :
SEVERE: SSLFilter:access deniedCN=cas1.domain.com, OU=Information Technologies, O=Company, ST=State, C=US:Netscape cert type does not permit use for SSL client
Si les journaux contiennent ce message, vous devez contacter le fournisseur de certificats. Le certificat doit être réémis avec le champ Netscape Cert Type défini sur le serveur SSL et le client SSL.