ISEの内部認証局(CA)サービスについて
内容
概要
このドキュメントでは、Cisco Identity Services Engine(ISE)に存在するCAサービスとEnrollment over Secure Transport(EST)サービスについて説明します。
前提条件
要件
次の項目に関する知識があることが推奨されます。
- ISE
- 証明書と Public Key Infrastructure(PKI)
- Simple Certificate Enrollment Protocol(SCEP)
- Online Certificate Status Protocol(OCSP)
使用するコンポーネント
このドキュメントの情報は、Identity Services Engine 3.0に基づくものです。
このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、初期(デフォルト)設定の状態から起動しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。
認証局(CA)サービス
証明書は、自己署名することも、外部の認証局(CA)によってデジタル署名することもできます。Cisco ISE Internal Certificate Authority(ISE CA)は、従業員が会社のネットワーク上で個人のデバイスを使用できるように、エンドポイントのデジタル証明書を中央のコンソールから発行および管理します。 CA署名付きデジタル証明書は、業界標準と見なされ、より安全です。プライマリポリシー管理ノード(PAN)はルートCAです。ポリシーサービスノード(PSN)は、プライマリPANの下位CAです。
ISE CAの機能
ISE CAは次の機能を提供します。
-
[証明書の発行(Certificate Issuance)]:ネットワークに接続するエンドポイントの証明書署名要求(CSR)を検証および署名します。
-
キー管理:PANノードとPSNノードの両方でキーと証明書を生成し、安全に保存します。
-
証明書ストレージ:ユーザとデバイスに発行された証明書を保存します。
-
Online Certificate Status Protocol(OCSP)のサポート:OCSPレスポンダを使用して証明書の有効性を確認できます。
管理およびポリシーサービスノードにプロビジョニングされたISE CA証明書
インストール後、Cisco ISEノードはルートCA証明書とノードCA証明書をプロビジョニングされ、エンドポイントの証明書を管理します。
展開をセットアップすると、プライマリ管理ノード(PAN)として指定されたノードがルートCAになります。PANには、ルートCA証明書と、ルートCAによって署名されたノードCA証明書があります。
セカンダリ管理ノード(SAN)がPANに登録されると、ノードCA証明書が生成され、プライマリ管理ノード上のルートCAによって署名されます。
PANに登録されているポリシーサービスノード(PSN)は、エンドポイントCAと、PANのノードCAによって署名されたOCSP証明書を使用してプロビジョニングされます。ポリシーサービスノード(PSN)は、PANの下位CAです。ISE CAを使用すると、PSN上のエンドポイントCAは、ネットワークにアクセスするエンドポイントに証明書を発行します。
注:ISE 3.1パッチ2およびISE 3.2 FCSから、OCSP証明書階層が変更されました。
RFC 6960に準拠:
証明書発行者は、以下のいずれかを行わなければならない(MUST)。
- OCSP応答自体に署名する
– この権限を別のエンティティに明示的に指定します。
「OCSP応答署名者の証明書は、要求内で識別されるCAによって直接発行される必要があります。 「」
「OCSP応答に依存しているシステムは、委任証明書と失効が確認された証明書(IS)が同じキーで署名されている場合にのみ、問題の証明書を発行したCAによって発行された委任証明書を認識する必要があります。」
前述のRFC標準に準拠するために、ISEではOCSPレスポンダ証明書の証明書階層が変更されています。OCSPレスポンダ証明書が、PANのノードCAではなく、同じノードのエンドポイントサブCAによって発行されるようになりました。
Enrollment over Secure Transport(EST)サービス
Public Key Infrastructure(PKI)の概念は長い間存在していました。PKIは、デジタル証明書の形式で署名された公開キーペアを使用して、ユーザとデバイスの身元を認証します。Enrollment over Secure Transport(EST)は、これらの証明書を提供するプロトコルです。ESTサービスは、安全なトランスポート上で暗号化メッセージ構文(CMC)を介した証明書管理を使用するクライアントに対して、証明書の登録を実行する方法を定義します。IETFの「EST」によると、クライアント証明書および関連する認証局(CA)証明書を取得する必要がある公開キーインフラストラクチャ(PKI)クライアントを対象とする、シンプルでありながら機能する証明書管理プロトコルが説明されています。また、クライアントが生成した公開/秘密キーペアと、CAによって生成されたキーペアもサポートします。
ESTの使用例
ESTプロトコルは次のように使用できます。
- セキュアユニークデバイスIDを使用してネットワークデバイスを登録するには
- BYODソリューション向け
なぜESTなのか?
ESTプロトコルとSCEPプロトコルの両方が証明書のプロビジョニングに対応します。ESTは、Simple Certificate Enrollment Protocol(SCEP)の後継プロトコルです。SCEPは、そのシンプルさのために、長年にわたり証明書プロビジョニングの事実上のプロトコルでした。ただし、次の理由から、SCEPではなくESTを使用することを推奨します。
- 証明書とメッセージの安全な転送のためのTLSの使用:EST(RFC 2513)では、証明書署名要求(CSR)を、TLSを使用してすでに信頼および認証されている要求者に関連付けることができます。クライアントは自分以外のユーザの証明書を取得できません。SCEPでは、クライアントとCAの間の共有秘密によってCSRが認証されます。共有秘密にアクセスできるユーザが自分以外のエンティティの証明書を生成する可能性があるため、セキュリティ上の問題が生じます。
- ECC署名付き証明書の登録のサポート:ESTは暗号化の俊敏性を提供します。楕円曲線暗号(ECC)をサポートします。SCEPはECCをサポートしておらず、RSA暗号化に依存しています。ECCは、RSAのような他の暗号化アルゴリズムに比べて、はるかに小さい鍵サイズを使用する一方で、より高いセキュリティとパフォーマンスを提供します。
- ESTは、証明書の自動再登録をサポートするように構築されています。
TLSの実績あるセキュリティと継続的な改善により、ESTトランザクションが暗号化保護の面で安全になります。SCEPとRSAの緊密な統合によるデータ保護では、テクノロジーの進歩に伴ってセキュリティ上の懸念が生じます。
ISEでのEST
このプロトコルを実装するには、クライアントとサーバモジュールが必要です。
- ESTクライアント:通常のISE tomcatに組み込まれています。
- ESTサーバ:NGINXと呼ばれるオープンソースのWebサーバに導入されます。これは別のプロセスとして実行され、ポート8084でリッスンします。
証明書ベースのクライアントおよびサーバ認証は、ESTでサポートされています。エンドポイントCAは、ESTクライアントとESTサーバの証明書を発行します。ESTクライアント証明書とサーバ証明書、およびそれぞれのキーは、ISE CAのNSS DBに保存されます。
ISE ESTの要求のタイプ
ESTサーバが起動するたびに、CAサーバからすべてのCA証明書の最新のコピーを取得して保存します。次に、ESTクライアントは、このESTサーバからチェーン全体を取得するためにCA証明書要求を行うことができます。単純な登録要求を行う前に、ESTクライアントは最初にCA証明書要求を発行する必要があります。
CA証明書要求(RFC 7030に基づく)
- ESTクライアントは、現在のCA証明書のコピーを要求します。
- HTTPS GETメッセージの操作パス値が
/cacerts. - この操作は、他のEST要求の前に実行されます。
- 最新のCA証明書のコピーを取得する要求が5分ごとに行われます。
- ESTサーバはクライアント認証を必要としません。
2番目の要求は単純な登録要求であり、ESTクライアントとESTサーバ間の認証を必要とします。これは、エンドポイントがISEに接続して証明書要求を行うたびに発生します。
シンプルな登録要求(RFC 7030に基づく)
- ESTクライアントは、ESTサーバに証明書を要求します。
- HTTPS POSTメッセージの動作パス値が
/simpleenroll. - ESTクライアントは、ISEに送信されるこのコール内にPKCS#10要求を埋め込みます。
- ESTサーバはクライアントを認証する必要があります。
ESTおよびCAサービスステータス
CAおよびESTサービスは、セッションサービスが有効になっているポリシーサービスノード上でのみ実行できます。ノードでセッションサービスを有効にするには、 Administration > System > Deployment .セッションサービスを有効にする必要があるサーバのホスト名を選択し、 Edit .次のいずれかを選択します。 Enable Session Services [Policy Service persona]の下のチェックボックスをオンにします。
GUIに表示されるステータス
ESTサービスのステータスは、ISEのISE CAサービスのステータスと連動します。CAサービスがアップしている場合はESTサービスがアップし、CAサービスがダウンしている場合はESTサービスもダウンします。
CLIに表示されるステータス
ダッシュボードのアラーム
ESTおよびCAサービスがダウンしている場合、アラームはISEダッシュボードに表示されます。
CAおよびESTサービスが実行されていない場合の影響
- ESTクライアント
/cacertsestサーバがダウンすると、コールが失敗する可能性があります。 「/cacertsコール障害は、EST CAチェーン証明書CAチェーンが不完全な場合にも発生する可能性があります。 -
ECCベースのエンドポイント証明書登録要求が失敗する。
- 前の2つの障害のいずれかが発生すると、BYODフローが中断します。
- Queue Link Errorアラームを生成できます。
トラブルシュート
ESTプロトコルを使用したBYODフローが正常に動作しない場合は、次の状態を確認します。
-
証明書サービスエンドポイントのサブCA証明書チェーンが完了しました。証明書チェーンが完了しているかどうかを確認するには、次の手順を実行します。
-
移動先
Administration > System > Certificates > Certificate Authority > Certificate Authority Certificates. -
特定の証明書を確認するには、証明書の横にあるチェックボックスをオンにし、[View] をクリックします。
-
-
CAおよびESTサービスが稼働していることを確認します。サービスが実行されていない場合は、
Administration > System > Certificates > Certificate Authority > Internal CA SettingsCAサービスを有効にします。 -
アップグレードを実行した場合は、アップグレード後にISEルートCA証明書チェーンを置き換えます。確認するには、次の手順を実行します。
-
選択
Administration > System > Certificates > Certificate Management > Certificate Signing Requests. -
クリック
Generate Certificate Signing Requests (CSR). -
選択
ISE Root CAのCertificate(s) will be used forドロップダウンリスト -
クリック
Replace ISE Root CA Certificate Chain.
-
- ログを確認するために有効にできる便利なデバッグには、次のものがあります
est、provisioning、ca-service,とca-service-cert.詳細については、ise-psc.log、catalina.out、caservice.log,とerror.logファイルが削除されます。
関連情報
更新履歴
| 改定 | 発行日 | コメント |
|---|---|---|
3.0 |
14-Apr-2023 |
形式、修正を更新。再認定。 |
2.0 |
10-Apr-2023 |
RFC標準6960に準拠するようにドキュメントに変更を加えました。このリビジョンでそれぞれの図とRFCを追加。 |
1.0 |
21-May-2021 |
初版 |
フィードバック