ISE 2.0 でのサードパーティ CA 証明書のインストール
目次
概要
このドキュメントでは、Cisco Identity Services Engine ににサードパーティ CA 署名付き証明書をインストールする方法を説明します。
最終的な証明書のロール(EAP 認証、ポータル、管理および pxGrid)に関わらず、このプロセスは同じです。
要件
公開キー インフラストラクチャの基礎知識
使用するコンポーネント
このドキュメントの情報は、次のハードウェアとソフトウェアのバージョンに基づくものです。
- Cisco Identity Services Engine(ISE)リリース 2.0 リリース 1.3 および 1.4 にも同じ設定が適用されます。
設定
証明書署名要求(CSR)の生成
CSR を生成するには、[Administration] > [Certificates] > [Certificate Signing Requests] に移動し、[Generate Certificate Signing Requests (CSR)] を選択します。
- [Usage] セクションで、ドロップダウン メニューから使用するロールを選択します。 証明書を複数のロールに使用する場合は、[Multi-Use] を選択できます。 証明書が生成されてからも、必要に応じてロールを変更できます。
- 証明書を生成する対象のノードを選択します。
- 必要な情報を入力します(組織単位、組織、市区町村、都道府県、国)。
注: [Common Name (CN)] フィールドには、ISE が自動的にノードの完全修飾ドメイン名(FQDN)を入力します。
ワイルドカード:
- ワイルドカード証明書を生成することを目標としている場合は、[Allow Wildcard Certificates] ボックスをオンにします。
- EAP 認証に使用する証明書を生成する場合は、[Subject CN] フィールドで「*」記号を使用しないでください。そうでないと、Windows サプリカントがサーバ証明書を拒否します。
- サプリカントで「サーバ ID の検証」機能が無効になっているとしても、CN フィールドに「*」が含まれていると、SSL ハンドシェークが失敗します。
- 「*」を使用する代わりに、汎用 FQDN を CN フィールドで使用し、[Subject Alternative Name (SAN) DNS Name] フィールドで「*.domain.com」を使用するという方法をとれます。
注: 一部の認証局(CA)は、CSR にワイルドカードが含まれていないとしても、証明書の CN に自動的にワイルドカード(*)を追加することがあります。 その場合、この操作を防ぐための特殊なリクエストを行う必要があります。
個々のサーバ証明書 CSR の例
ワイルドカード CSR の例
注: 導入ノードごとの IP アドレスを SAN フィールドに追加すると、IP アドレスでサーバにアクセスするときに証明書に関する警告メッセージが表示されません。
CSR が生成されると、ISE にポップアップ ウィンドウが表示されます。そのウィンドウで、CSR をエクスポートするオプションを選択できます。 CSR をエクスポートした後は、そのファイルを CA に送信して署名してもらう必要があります。
新しい証明書チェーンのインポート
認証局からは、完全な署名チェーン(ルート認証局/中間認証局)と併せて署名付きサーバ証明書が返されます。 証明書を受信した後尾は、次の手順に従って証明書を ISE サーバにインポートします。
- [Administration] > [Certificates] > [Trusted Certificates] に移動して、CA から提供されたルートおよび中間証明書をインポートします。
- [Administration] >> [Certificates] >> [Certificate Signing Requests] に移動して、サーバ証明書をインポートします。
- 前に作成した CSR を選択してから、[Bind Certificate] をクリックします。
- 新しい証明書の場所を選択すると、ISE が秘密キーを生成してデータベースに保管し、その秘密キーに新しい証明書をバインドします。
注: 証明書に管理ロールが選択されている場合、ISE はサービスを再起動します。
検証
照明書をインポートする際に管理ロールを選択した場合は、ブラウザに管理ページを読み込むことによって、新しい証明書を検証できます。 証明書チェーンが正しく構成されていて、その証明書チェーンがブラウザで信頼されている限り、ブラウザは新しい管理証明書を信頼するはずです。
さらに詳しく検証するには、ブラウザで南京錠シンボルを選択し、証明書パスに完全なチェーンが含まれていて、そのチェーンがマシンで信頼されていることを確認します。 これは、サーバが完全なチェーンを渡したことを直接示すことにはなりませんが、ブラウザがローカルの信頼ストアに基づいてサーバ証明書を信頼できることを示します。
トラブルシューティング
dot1x 認証中にサプリカントが ISE ローカル サーバ証明書を信頼しない
SSL ハンドシェーク プロセス中に ISE が完全な証明書チェーンを渡していることを確認します。
サーバ証明書(PEAP)を要求する EAP 方式を使用していて、[Validate Server Identity] が選択されている場合、サプリカントは認証プロセスの一環として、ローカルの信頼ストアに保管されている証明書チェーンの有効性を確認します。 SSL ハンドシェイク プロセスの一環として、ISE はその証明書を提示するだけでなく、証明書チェーンに含まれるルート証明書や中間証明書も提示します。 チェーンが完全でないと、サプリカントはサーバ ID を検証できません。 次の手順に従うことで、証明書チェーンがクライアントに返されることを確認できます。
- 認証中に ISE(TCPDump)からキャプチャを取得します。 キャプチャが保管される場所は、[Operations] > [Diagostic Tools] > [General Tools] > [TCP Dump] です。
- Wireshark でキャプチャをダウンロードするか開いて、フィルタ「ssl.handshake.certificates」を適用し、アクセス チャレンジを見つけます。
- アクセス チャレンジを選択してから、[Radius Protocol] > [Attribute Value Pairs] > [EAP-Message Last segment] > [Extensible Authentication Protocol] > [Secure Sockets Layer] > [Certificate] > [Certificates] の順に展開します
以下に、キャプチャした証明書チェーンの例を示します。
チェーンが完全でなければ、[ISE Administration] > [Certificates] > [Trusted Certificates] に移動して、ルート証明書と中間証明書のすべてが存在することを確認します。 証明書チェーンが正常に渡されている場合は、次に説明する方法に従って、チェーン自体が有効であることを確認します。
各証明書(サーバ証明書、中間証明書、およびルート証明書)を開き、証明書のサブジェクトキー識別子(SKI)を、チェーンの次の証明書の認証局のキー識別子(AKI)と突き合わせることによって、信頼のチェーンを確認します。
以下に、証明書チェーンの例を示します。
ISE 証明書チェーンは正しいにも関わらず、認証時にエンドポイントが ISE のサーバ証明書を拒否する
SSL ハンドシェーク中に ISE が完全な証明書チェーンを提示しているのにサプリカントがその証明書チェーンを拒否する場合は、 次のステップとして、ルート証明書と中間証明書のすべてがクライアントのローカル信頼ストアに存在することを確認します。
Windows デバイスでこれを確認するには、mmc.exe ファイルを開きます。このファイルで [Add-Remove Snap-in] の [From Available snap-ins] 列にある証明書を選択してから、[Add] をクリックし、使用している認証方式(ユーザ認証またはマシン認証)に応じて [My user account] または [computer account] を選択します。 最後に [OK] をクリックします。
コンソール ビューで、[Trusted Root Certification Authorities] および [Intermediate Certification Authorities] を選択し、ローカル信頼ストアにルート証明書と中間証明書が保管されていることを確認します。
問題がサーバ ID チェックにあるかどうかを確認する簡単な方法は、サプリカント プロファイル設定で [Validate Server Certificate] をオフにしてから再テストすることです。
注: ISE では、署名アルゴリズムとして RSASSA-PSS を使用して証明書を処理することはできません。 このことは、サーバ証明書、ルート証明書、中間証明書、クライアント証明書(EAP-TLS、PEAP(TLS)など)に当てはまります。 バグ CSCug22137 を参照してください。
フィードバック