はじめに
このドキュメントでは、Identity Service Engine(ISE)のシステム証明書バックアップを取得する方法について説明します。
前提条件
要件
次の項目に関する知識が推奨されます。
- Identity Service Engine(ISE)の基礎知識
使用するコンポーネント
このドキュメントの情報は、Cisco Identity Service Engine(ISE)2.7に基づくものです。
本書の情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。このドキュメントで使用するすべてのデバイスは、初期(デフォルト)設定の状態から起動しています。稼働中のネットワークで作業を行う場合、コマンドの影響について十分に理解したうえで作業してください。
背景説明
ISEは、さまざまな目的(Web UI、Webポータル、EAP、pxgrid)のために証明書を使用します。 ISEに存在する証明書には、次のいずれかのロールを設定できます。
-
管理者:ノード間通信および管理ポータルの認証を行います。
-
EAP:EAP認証用。
-
RADIUS DTLS:RADIUS DTLSサーバ認証用。
-
ポータル:すべてのCisco ISEエンドユーザポータルとの通信
-
PxGrid:pxGridコントローラとの通信。
ISEノードにインストールされている証明書のバックアップを取ることが重要です。設定バックアップを作成する際には、設定データと管理ノードの証明書のバックアップが必要です。ただし、ポリシーサービスノード(PSN)については、証明書のバックアップを個別に取る必要があります。
Identity Service Engineの証明書バックアップを取得する方法
[Administration] > [System] > [Certificates] > [Certificate Management] > [System certificate]に移動します。ノードを展開し、証明書を選択して、図に示すように[Export]をクリックします。

Export Certificate and Private Keyを選択します。英数字のパスワードを8文字以上で入力します。このパスワードは、証明書を復元するために必要です。

ヒント:パスワードを必ず覚えておいてください。
Identity Service Engineで証明書をインポートする方法
ISEでの証明書のインポートには2つの手順があります。
ステップ1:証明書が自己署名証明書かサードパーティ署名付き証明書かを確認します。
証明書が自己署名である場合は、信頼できる証明書の下で証明書の公開キーをインポートします。証明書がサードパーティ証明書の署名を受けた場合は、証明書のルートとすべての中間証明書をインポートします。
次の図に示すように、[Administration] > [System] > [Certificates] > [Certificate Management] > [Trusted Certificate]に移動し、[Import]をクリックします。


ステップ2:実際の証明書をインポートします。
[Administration] > [System] > [Certificates] > [Certificate Management]に移動し、[Import]をクリックします。管理者ロールがノードの証明書サービスに割り当てられている場合は、再起動します。

証明書をインポートするノードを選択し、公開キーと秘密キーを参照し、証明書の秘密キーのパスワードを入力し、目的のロールを選択し、Submitをクリックします(次の図を参照)。
