Configurazione dei rinnovi dei certificati in ISE

Opzioni per il download

  • PDF     (1.0 MB)
    Visualizza con Adobe Reader su diversi dispositivi
Aggiornato:22 aprile 2026
ID documento:217191

Linguaggio senza pregiudizi

La documentazione per questo prodotto è stata redatta cercando di utilizzare un linguaggio senza pregiudizi. Ai fini di questa documentazione, per linguaggio senza di pregiudizi si intende un linguaggio che non implica discriminazioni basate su età, disabilità, genere, identità razziale, identità etnica, orientamento sessuale, status socioeconomico e intersezionalità. Le eventuali eccezioni possono dipendere dal linguaggio codificato nelle interfacce utente del software del prodotto, dal linguaggio utilizzato nella documentazione RFP o dal linguaggio utilizzato in prodotti di terze parti a cui si fa riferimento. Scopri di più sul modo in cui Cisco utilizza il linguaggio inclusivo.

Informazioni su questa traduzione

Cisco ha tradotto questo documento utilizzando una combinazione di tecnologie automatiche e umane per offrire ai nostri utenti in tutto il mondo contenuti di supporto nella propria lingua. Si noti che anche la migliore traduzione automatica non sarà mai accurata come quella fornita da un traduttore professionista. Cisco Systems, Inc. non si assume alcuna responsabilità per l’accuratezza di queste traduzioni e consiglia di consultare sempre il documento originale in inglese (disponibile al link fornito).

Introduzione

Questo documento descrive le best practice e le procedure proattive per rinnovare i certificati su Cisco Identity Services Engine (ISE).

Prerequisiti

Requisiti

Cisco raccomanda la conoscenza dei seguenti argomenti:

  • Certificati X509
  • Configurazione di un Cisco ISE con i certificati

Componenti usati

Le informazioni fornite in questo documento si basano sulle seguenti versioni software e hardware:

  • Cisco ISE Release 3.0.0.458
  • Appliance o VMware

Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.

Premesse

  Nota: Questo documento non è da considerarsi una guida alla diagnostica per i certificati.

In questo documento vengono descritte le best practice e le procedure proattive per rinnovare i certificati su Cisco ISE (Identity Services Engine). Viene inoltre esaminato come impostare allarmi e notifiche in modo che gli amministratori vengano avvisati di eventi imminenti, ad esempio la scadenza dei certificati. In qualità di amministratore ISE, alla fine si potrà verificare la scadenza dei certificati ISE. Se il certificato del server ISE è scaduto, possono verificarsi problemi gravi a meno che il certificato scaduto non venga sostituito con un nuovo certificato valido.

  Nota: Se il certificato utilizzato per il protocollo EAP (Extensible Authentication Protocol) scade, è possibile che tutte le autenticazioni abbiano esito negativo perché i client non considerano più attendibile il certificato ISE. Se il certificato di amministrazione ISE scade, il rischio è ancora maggiore: un amministratore non è più in grado di accedere all'ISE e l'implementazione distribuita può cessare di funzionare e di essere replicata.

L'amministratore ISE deve installare un nuovo certificato valido sull'ISE prima della scadenza del vecchio certificato. Questo approccio proattivo previene o riduce al minimo le interruzioni dell'operatività senza conseguenze sugli utenti finali. Una volta iniziato il periodo di tempo del nuovo certificato installato, è possibile abilitare EAP/Admin o qualsiasi altro ruolo sul nuovo certificato.

È possibile configurare ISE in modo che generi allarmi e notifiche che avvisano l'amministratore di installare i certificati nuovi prima della scadenza dei certificati esistenti.

  Nota: Questo documento utilizza il certificato ISE Admin come certificato autofirmato per dimostrare l'impatto del rinnovo del certificato, ma questo approccio non è consigliato per un sistema di produzione. È preferibile utilizzare un certificato CA per entrambi i ruoli EAP e Admin.

Configurazione

Visualizzare i certificati autofirmati ISE

Al momento dell'installazione, ISE genera un certificato autofirmato. Il certificato autofirmato viene usato per l'accesso amministrativo e per comunicare all'interno dell'implementazione distribuita (HTTPS) o per l'autenticazione degli utenti (EAP). Se il sistema è operativo, usare un certificato CA anziché un certificato autofirmato.

  Suggerimento: per ulteriori informazioni, fare riferimento alla sezione Gestione dei certificati in Cisco ISE nella Guida all'installazione dell'hardware Cisco Identity Services Engine, Release 3.0.

Il formato di un certificato ISE deve essere Privacy Enhanced Mail (PEM) o Distinguished Encoding Rules (DER).

Per visualizzare il certificato autofirmato iniziale, andare a Administration > System> Certificates> System Certificates (Amministrazione > Sistema > Certificati > Certificati di sistema) nella GUI dell'ISE, come mostrato in questa immagine.

View ISE Self-Signed Certificates

Se si installa un certificato server sull'ISE tramite una richiesta di firma del certificato, o CSR (Certificate Signing Request), e modificare il certificato del protocollo Admin o EAP. Il certificato server autofirmato è ancora presente ma lo stato è Not in-use (Non in uso).

  Attenzione: per le modifiche al protocollo Admin, è necessario riavviare i servizi ISE e prevedere alcuni minuti di interruzione dell'operatività. Le modifiche al protocollo EAP non attivano il riavvio dei servizi ISE e non causano interruzioni dell'operatività.

Stabilire quando modificare il certificato

Si supponga che il certificato installato sia in scadenza. È preferibile lasciare scadere il certificato prima di rinnovarlo o modificarlo prima della scadenza? È necessario modificare il certificato prima della scadenza in modo da avere il tempo di pianificare lo scambio del certificato e gestire eventuali tempi di inattività causati dallo scambio.

Quando è necessario modificare il certificato? Richiedere un nuovo certificato con una data di inizio antecedente alla data di scadenza del vecchio certificato. La differenza tra le due date viene chiamato intervallo di modifica.

  Attenzione: se si abilita Admin, il servizio viene riavviato sul server ISE e si verificano alcuni minuti di interruzione dell'operatività.

Questa immagine mostra le informazioni di un certificato in scadenza:

Determine When to Change the Certificate

Generare la richiesta di firma del certificato

Questa procedura descrive come rinnovare il certificato inviando una richiesta CSR:

  1. Nella console ISE, selezionare Administration > System > Certificates > Certificate Signing Requests e fare clic su Generate Certificate Signing Request:

  2. Nel campo di testo Certificate Subject (Oggetto del certificato), immettere almeno le informazioni CN=ISEfqdn, dove ISEfqdn è il nome di dominio completo, o FQDN (Fully Qualified Domain Name), dell'ISE. Aggiungere ulteriori campi come O (Organizzazione), OU (Unità organizzativa) o C (Paese) nell'oggetto del certificato usando le virgole:

    Generate Certificate Signing Request
  3. Su una delle righe del campo di testo Subject Alternative Name (SAN) (Nome alternativo del soggetto), ripetere il nome FQDN dell'ISE. È possibile aggiungere un secondo campo SAN se si desidera utilizzare nomi alternativi o un certificato con caratteri jolly.

  4. Fare clic su Genera, una finestra popup indica se i campi CSR sono completati correttamente o meno:

    Successfully Generated CSR

  5. Per esportare la richiesta CSR, fare clic su Certificate Signing Requests (Richieste di firma del certificato) nel pannello a sinistra, selezionare CSR, quindi fare clic su Export (Esporta):

    Certificate Signing Requests
  6. Il CSR è memorizzato nel computer. Inviarla all'autorità di certificazione (CA) per la firma.

Installare il certificato

Dopo aver ricevuto il certificato finale dalla CA, è necessario aggiungere il certificato all'ISE:

  1. Nella console ISE, selezionare Amministrazione > Sistema > Certificati>Richieste di firma del certificato, quindi selezionare la casella di controllo CRS e fare clic su Binding certificato:

    Install Certificate

  2. Immettere una descrizione semplice e chiara del certificato nel campo di testo Friendly Name (Nome descrittivo) e fare clic su Submit (Invia).

      Nota: non abilitare il protocollo EAP o Admin in questa fase.

  3. In System Certificate (Certificato di sistema), viene visualizzato un nuovo certificato con lo stato Not in use (Non in uso), come mostrato qui:

    New Certificate Not in Use
  4. Poiché il nuovo certificato viene installato prima che il certificato precedente scada, viene visualizzato un errore che segnala un intervallo di date future:

    Certificate Warning

  5. Fare clic su Yes (Sì) per continuare. Il certificato è installato ma non in uso, come evidenziato in verde.

    Certificate Now Installed

  Nota: se si usano i certificati autofirmati in un'implementazione distribuita, il certificato autofirmato principale deve essere installato nell'archivio dei certificati attendibili sul server ISE secondario.  Analogamente, il certificato autofirmato secondario deve essere installato nell'archivio dei certificati attendibili del server ISE principale. Ciò consente l'autenticazione reciproca dei server ISE.   In caso contrario, l'installazione potrebbe interrompersi. Se si rinnovano i certificati di una CA di terze parti, verificare se la catena dei certificati radice è cambiata e aggiornare di conseguenza l'archivio dei certificati attendibili nell'ISE. In entrambi gli scenari, verificare che i nodi ISE, i sistemi di controllo degli endpoint e i supplicant siano in grado di convalidare la catena di certificati radice.

Configurare il sistema di allarmi

Cisco ISE avvisa l'utente quando un certificato locale scade entro 90 giorni. Tale notifica anticipata permette di evitare che i certificati scadano, pianificare eventuali modifiche e prevenire o ridurre al minimo l'interruzione dell'operatività.

La notifica viene visualizzata in diversi modi:

  • Icone di stato colorate visualizzate nella pagina Local Certificates (Certificati locali).

  • Messaggi di scadenza visualizzati nel report di diagnostica del sistema Cisco ISE.

  • Avvisi di scadenza generati a 90 giorni e a 60 giorni, quindi ogni giorno negli ultimi 30 giorni prima della scadenza.

Configurare ISE in modo che gli avvisi di scadenza vengano notificati tramite e-mail. Sulla console ISE, andare a Administration > System > Settings > SMTP Server (Amministrazione > Sistema > Impostazioni > Server SMTP), individuare il server Simple Mail Transfer Protocol (SMTP) e definire le altre impostazioni del server in modo da inviare le notifiche tramite e-mail:



Configure Alerting System

È possibile impostare le notifiche in due modi:

  1. Tramite l'accesso Admin per le notifiche agli amministratori:

    1. Andare a Administration > System > Admin Access > Administrators > Admin Users (Amministrazione > Sistema > Accesso amministratore > Amministratori > Utenti amministratori).

    2. Selezionare la casella di controllo Include system alarms in emails (Includi avvisi di sistema nelle e-mail) per ricevere notifiche. L'indirizzo e-mail del mittente delle notifiche di allarme è codificato come ise@hostname.

      Set-Up Notifications Option 1

  2. Configurare le impostazioni di allarme ISE per inviare notifiche agli utenti:

    1. Andare a Administration > System > Settings > Alarm Settings > Alarm Configuration (Amministrazione > Sistema > Impostazioni > Impostazioni allarme > Configurazione allarmi), come mostrato nell'immagine.

      Set-Up Notifications Option 2

        Nota: disabilitare lo stato di una categoria per escludere la generazione di allarmi per tale categoria.

    2. Selezionare Scadenza certificato, quindi fare clic su Notifica di allarme. Immettere gli indirizzi e-mail degli utenti a cui inviare la notifica, quindi salvare la modifica alla configurazione. Le modifiche possono richiedere fino a 15 minuti prima che siano attive.

      Alarm Settings

Verifica

Fare riferimento a questa sezione per verificare che la configurazione funzioni correttamente.

Verificare il sistema di avvisi

Verificare che il sistema di avvisi funzioni correttamente. In questo esempio, una modifica alla configurazione genera un avviso con un livello di gravità Information (Avviso informativo). (Un avviso informativo ha la gravità più bassa; quando il certificato scade, il livello di gravità è più elevato.)

Verify Alerting System



Ecco un esempio dell'allarme e-mail inviato da ISE:

Email Alarm Example

Verificare la modifica al certificato

In questa procedura viene descritto come verificare che il certificato sia installato correttamente e come modificare i ruoli EAP e/o Admin:

  1. Sulla console ISE, andare a Administration > Certificates > System Certificates (Amministrazione > Certificati > Certificati di sistema) e selezionare il nuovo certificato per visualizzare i dettagli.

      Attenzione: se si abilita l'utilizzo da parte dell'amministratore, il servizio ISE viene riavviato, causando l'interruzione dell'operatività del server.


    Verify Certificate Change


  2. Per verificare lo stato del certificato sul server ISE, immettere questo comando nella CLI:

    CLI:> show application status ise
  3. Una volta che tutti i servizi sono attivi, provare ad accedere come amministratore.

  4. Per uno scenario di distribuzione distribuita, passare a Amministrazione > Sistema > Distribuzione. Verificare che il nodo disponga di un'icona verde. Posizionare il cursore sull'icona per verificare che la legenda indichi Connesso.

  5. Controllare che l'autenticazione dell'utente finale sia corretta. A tale scopo, selezionare Operazioni > RAGGIO > Livelog.  È possibile trovare un tentativo di autenticazione specifico e verificare che sia stato autenticato correttamente.

Verificare il certificato

Se si desidera controllare il certificato esternamente, è possibile usare gli strumenti Microsoft Windows integrati o il toolkit OpenSSL.

OpenSSL è un'implementazione open source del protocollo Secure Sockets Layer (SSL). Se i certificati usano un'autorità di certificazione privata, posizionare il certificato CA radice su una macchina locale e usare l'opzione OpenSSL -CApath. Se si usa una CA intermedia, inserirla nella stessa directory.

Per ottenere informazioni generali sul certificato e verificarle, usare:

openssl x509 -in certificate.pem -noout -text
openssl verify certificate.pem

Può inoltre essere utile convertire i certificati con il toolkit OpenSSL:

openssl x509 -in certificate.der -inform DER -outform PEM -out certificate.pem

Risoluzione dei problemi

Non sono attualmente disponibili informazioni di diagnostica specifiche per questa configurazione.

Conclusioni

Poiché è possibile installare un nuovo certificato su ISE prima che sia attivo, Cisco consiglia di installare il nuovo certificato prima che il certificato precedente scada. Questo periodo di sovrapposizione tra la data di scadenza del vecchio certificato e la data di inizio del nuovo certificato dà il tempo di rinnovare i certificati e pianificare la loro installazione con interruzione dell'operatività minima. Dopo aver immesso il nuovo certificato nel relativo intervallo di date valido, abilitare il protocollo EAP e/o Admin. Ricordare che, se si abilita l'utilizzo del protocollo Admin, il servizio viene riavviato.

Cronologia delle revisioni

Revisione Data di pubblicazione Commenti
5.0
22-Apr-2026
SEO aggiornato.
4.0
10-Oct-2024
Sono state aggiunte la dichiarazione di non responsabilità e il testo alternativo. Requisiti di stile e formattazione aggiornati.
3.0
07-Sep-2023
Certificazione
2.0
04-Aug-2022
Release iniziale
1.0
16-Jun-2021
Versione iniziale
TAC Authored

Contributo dei tecnici Cisco

  • Abhishek Tomar
    Tecnico di consulenza
  • Roger Nobel
    Tecnico di consulenza

Questo documento ti è stato utile?

FeedbackFeedback

Contattaci

Questo documento si applica a questi prodotti