NAC (CCA) : Comment corriger les erreurs de certificat sur CAM/CAS après la mise à niveau vers 4.1.6

Options de téléchargement

PDF (377.1 KB)
Consulter à l'aide d'Adobe Reader sur un grand nombre d'appareils
ePub (448.0 KB)
Consulter à l’aide de différentes applications sur iPhone, iPad, Android ou Windows Phone
Mobi (Kindle) (468.4 KB)
Consulter sur un appareil Kindle ou à l’aide d’une application Kindle sur plusieurs appareils

Mis à jour:8 septembre 2008

ID du document:1496579297222109

Bias-Free Language

The documentation set for this product strives to use bias-free language. For the purposes of this documentation set, bias-free is defined as language that does not imply discrimination based on age, disability, gender, racial identity, ethnic identity, sexual orientation, socioeconomic status, and intersectionality. Exceptions may be present in the documentation due to language that is hardcoded in the user interfaces of the product software, language used based on RFP documentation, or language that is used by a referenced third-party product. Learn more about how Cisco is using Inclusive Language.

À propos de cette traduction

Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.

Contenu

Introduction

Conditions préalables

Conditions requises

Components Used

Conventions

Procédure

Informations connexes

Introduction

Ce document décrit comment corriger les erreurs de certificat sur le Clean Access Manager (CAM)/Clean Access Server (CAS) avec la version 4.1.6.

Conditions préalables

Conditions requises

Cisco recommande que vous connaissiez le processus de mise à niveau de l'appliance Cisco NAC (Network Admission Control).

Components Used

Les informations de ce document sont basées sur la version 4.1.6 de l'appliance Cisco NAC avec CAM/CAS.

Les informations contenues dans ce document ont été créées à partir des périphériques d'un environnement de laboratoire spécifique. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.

Conventions

Pour plus d'informations sur les conventions utilisées dans ce document, reportez-vous à Conventions relatives aux conseils techniques Cisco.

Procédure

Ces erreurs de certificat se trouvent dans /perfigo/logs/perfigo-redirect.log0.log.0 ou /perfigo/logs/perfigo-log0.log.0.

Voici un exemple d'erreur de certificat :

SEVERE: RMISocketFactory:Creating RMI socket failed to host 
        10.1.20.10:sun.security.validator.ValidatorException: 
        Certificate chaining error
Aug 1, 2008 1:41:22 PM com.perfigo.wlan.web.admin.ConnectorClient connect
SEVERE: Communication Exception : java.rmi.ConnectIOException: Exception  
        creating connection to: 10.1.20.10; nested exception is: 
 javax.net.ssl.SSLHandshakeException:  
        sun.security.validator.ValidatorException: Certificate chaining error

Ces erreurs résultent des améliorations apportées à la sécurité dans la section 4.1.6. Dans la section 4.1.6, le CAS et le CAM agissent en tant que client et serveur les uns envers les autres et doivent se faire confiance. Chacun nécessite les certificats racine et intermédiaire de l'autre. Par exemple, si le CAS a un certificat Verisign et que le CAM a un certificat Perfigo (temporaire), le CAS et le CAM ont besoin de la chaîne Verisign (racine et intermédiaires) et de la racine Perfigo.

Complétez ces étapes afin de corriger les erreurs de certificat :

Sauvegardez tous les certificats installés qui ne sont pas des certificats temporaires.
1. Sur le CAM, ouvrez l'interface Web et accédez à Administration > CCA Manager > SSL > X509 Certificate.
2. Sur le CAS, accédez directement à l'interface Web via https://<CAS IP>/admin, puis allez à Administration > SSL > X509 Certificate.
3. Choisissez Export CSR/Private Key/Certificate dans la liste déroulante Choisir une action.
4. Cliquez sur Exporter en regard de Certificat actuellement installé, puis enregistrez ce fichier.
5. Cliquez sur Exporter en regard de Clé privée actuellement installée, puis enregistrez ce fichier.
Après la sauvegarde, si le CAS et le CAM n'utilisent pas déjà de certificats temporaires, générez-les.
1. Sur le CAM, ouvrez l'interface Web et accédez à Administration > CCA Manager > SSL > X509 Certificate.
2. Sur le CAS, accédez directement à l'interface Web via https://<CAS IP>/admin, puis allez à Administration > SSL > X509 Certificate.
3. Choisissez Générer un certificat temporaire dans la liste déroulante.
4. Complétez les champs répertoriés, puis cliquez sur Générer.
  
  Remarque : ceci ne nécessite plus de redémarrage pour prendre effet.
Supprimez toutes les autorités de certification de confiance du CAS et du CAM. Cette étape facilite la gestion et l'amélioration de la sécurité.
1. Sur le CAM, accédez à Administration > CCA Manager > SSL > Trusted Certificate Authority.
2. Sur le CAS, accédez à Administration > SSL > Trusted Certificate Authority.
3. Créez un filtre pour exclure le certificat Perfigo.
4. Choisissez Nom unique dans la liste déroulante Ajouter un filtre.
5. Choisissez ne contient pas dans la liste déroulante qui apparaît en regard de Nom unique.
6. Tapez Perfigo dans le champ de texte, puis cliquez sur Filtrer.
7. Choisissez 100 dans la liste déroulante située en regard du bouton Supprimer la sélection.
8. Cochez la case située sous la liste déroulante Supprimer la sélection afin de sélectionner toutes les autorités de certification (AC) de la liste.
9. Cliquez sur Supprimer la sélection afin de supprimer toutes les CA de la liste.
10. Continuez à cliquer sur la zone, puis cliquez sur Supprimer la sélection jusqu'à ce que toutes les autorités de certification soient supprimées.
Après avoir supprimé toutes les CA, les certificats racine et intermédiaire doivent être importés.
1. Sur le CAM, accédez à Administration > CCA Manager > SSL > Trusted Certificate Authority.
2. Sur le CAS, accédez à Administration > SSL > Trusted Certificate Authority.
3. Cliquez sur Parcourir, puis choisissez d'abord le certificat racine.
  
  Remarque : l'objet et l'émetteur doivent être définis sur la même valeur.
4. Cliquez sur Importer et l'autorité de certification doit apparaître dans la liste ci-dessous.
5. Effectuez la même procédure pour les certificats intermédiaires.
Installez les certificats CAS et CAM que vous avez sauvegardés dans la première étape.
1. Sur le CAM, ouvrez l'interface Web et accédez à Administration > CCA Manager > SSL > X509 Certificate.
2. Sur le CAS, accédez directement à l'interface Web via https://<CAS IP>/admin, puis allez à Administration > SSL > X509 Certificate.
3. Choisissez Importer un certificat dans la liste déroulante.
4. Cliquez sur Parcourir, puis choisissez le certificat enregistré à l'étape 1.
5. Cliquez sur Télécharger.
6. Cliquez à nouveau sur Parcourir, puis choisissez la clé privée enregistrée à l'étape 1.
7. Choisissez Private Key dans la liste déroulante Type de fichier, puis cliquez sur Upload.
8. Cliquez sur Vérifier et installer les certificats téléchargés.
Remarque : Ce message d'erreur n'est pas corrigé par les procédures suivantes :
```
SEVERE: SSLFilter:access deniedCN=cas1.domain.com, 
        OU=Information Technologies, O=Company, ST=State, 
        C=US:Netscape cert type does not permit use for SSL client 
```
Si les journaux contiennent ce message, vous devez contacter le fournisseur de certificats. Le certificat doit être réémis avec le champ Netscape Cert Type défini sur le serveur SSL et le client SSL.