ISEでの証明書更新の設定

ダウンロード オプション

  • PDF     (1.1 MB)
    Adobe Reader を使ってさまざまなデバイスで表示
  • ePub     (873.1 KB)
    iPhone、iPad、Android、ソニーの Reader、または Windows Phone 上で、さまざまなアプリを使って表示
  • Mobi (Kindle)     (644.7 KB)
    Kindle デバイスで、または Kindle アプリを使って複数のデバイスで表示
Updated: 2026 年 4 月 22 日
Document ID:217191

偏向のない言語

この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブ ランゲージの取り組みの詳細は、こちらをご覧ください。

翻訳について

シスコは世界中のユーザにそれぞれの言語でサポート コンテンツを提供するために、機械と人による翻訳を組み合わせて、本ドキュメントを翻訳しています。ただし、最高度の機械翻訳であっても、専門家による翻訳のような正確性は確保されません。シスコは、これら翻訳の正確性について法的責任を負いません。原典である英語版(リンクからアクセス可能)もあわせて参照することを推奨します。

はじめに

このドキュメントでは、Cisco Identity Services Engine(ISE)で証明書を更新するためのベストプラクティスと予防的な手順について説明します。

前提条件

要 件

次の項目に関する知識があることが推奨されます。

  • X509 証明書
  • Cisco ISE と証明書の設定

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づいています。

  • Cisco ISE リリース 3.0.0.458
  • アプライアンスまたは VMware

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。

バックグラウンド情報

  :このドキュメントは、証明書の診断ガイドではありません。

このドキュメントでは、Cisco Identity Services Engine(ISE)で証明書を更新するためのベストプラクティスとプロアクティブな手順について説明します。 また、証明書の期限切れなどの差し迫ったイベントについて管理者に警告できるように、アラームと通知を設定する方法についても説明します。 ISE 管理者は、いずれは ISE 証明書が期限切れになる状況を経験します。ISEサーバの証明書が期限切れになると、期限切れの証明書を新しい有効な証明書で置き換えない限り、重大な問題が発生する可能性があります。

  :拡張認証プロトコル(EAP)に使用される証明書の有効期限が切れると、クライアントがISE証明書を信頼しなくなるため、すべての認証が失敗する可能性があります。ISE管理証明書の有効期限が切れると、リスクはさらに大きくなります。管理者はISEにログインできなくなり、分散導入が機能しなくなり、複製されなくなります。

ISE管理者は、古い証明書が期限切れになる前に、新しい有効な証明書をISEにインストールする必要があります。このプロアクティブなアプローチにより、ダウンタイムを防止または最小限に抑え、エンドユーザーへの影響を回避できます。新しくインストールされた証明書の期間が始まると、新しい証明書でEAP/Adminまたはその他のロールを有効にできます。

古い証明書が期限切れになる前にアラームを発生させ、新しい証明書のインストールを管理者に通知するように ISE を設定できます。

  :このドキュメントでは、証明書の更新の影響を示すためにISE管理証明書を自己署名証明書として使用しますが、この方法は実稼働システムには推奨されません。EAPロールと管理者ロールの両方にCA証明書を使用することをお勧めします。

設定

ISE 自己署名証明書の表示

ISE をインストールすると、自己署名証明書が生成されます。自己署名証明書は、管理アクセス、分散型展開内の通信(HTTPS)、およびユーザー認証(EAP)に使用されます。 実稼働システムでは、自己署名証明書ではなく CA 証明書を使用してください。

  ヒント:詳細については、『Cisco Identity Services Engine Hardware Installation Guide, Release 3.0』の「Certificate Management in Cisco ISE」の項を参照してください。

ISE 証明書の形式は、プライバシー強化メール(PEM)または Distinguished Encoding Rules(DER)にする必要があります。

最初の自己署名証明書を表示するには、図のように、ISE GUI で [Administration] > [System] > [Certificates] > [System Certificates] に移動します。

View ISE Self-Signed Certificates

証明書署名要求(CSR)を介して ISE にサーバー証明書をインストールし、Admin または EAP プロトコルに関して証明書を変更しても、自己署名サーバー証明書は残りますが、未使用のステータスになります。

  注意:管理プロトコルを変更するには、ISEサービスを再起動する必要があります。再起動すると、数分間のダウンタイムが発生します。EAP プロトコルの変更は、ISE サービスの再起動がトリガーされず、ダウンタイムが発生しません。

証明書を変更する時期の特定

インストールされた証明書がもうすぐ期限切れになるとします。証明書が期限切れになってから更新するのと、証明書が期限切れになる前に変更するのとどちらが適切だと思いますか。証明書の切り替えを計画し、切り替えによって発生するダウンタイムを管理する時間を確保するために、有効期限が切れる前に証明書を変更する必要があります。

証明書はいつ変更する必要がありますか。開始日が古い証明書の失効日より前である新しい証明書を取得します。この 2 つの日付の間の期間が移行期間です。

  注意:Adminを有効にすると、ISEサーバでサービスが再起動し、数分間のダウンタイムが発生します。

次の図は、間もなく期限切れになる証明書の情報を示しています。

Determine When to Change the Certificate

証明書署名要求の生成

次の手順では、CSR を介して証明書を更新する方法を説明します。

  1. ISEコンソールで、Administration > System > Certificates > Certificate Signing Requestsの順に移動し、Generate Certificate Signing Requestをクリックします。

  2. [Certificate Subject] テキスト フィールドに入力する必要がある最小限の情報は CN=ISEfqdn です。ここで、ISEfqdn は ISE の完全修飾ドメイン名(FQDN)です。O(組織)、OU(組織単位)、C(国)などのフィールドをカンマで区切って [Certificate Subject] に追加します。

    Generate Certificate Signing Request
  3. [Subject Alternative Name (SAN)] テキスト フィールド行の 1 つで、ISE FQDN を繰り返す必要があります。代行名またはワイルドカード証明書を使用する場合、2 つ目の SAN フィールドを追加できます。

  4. Generateをクリックすると、ポップアップウィンドウにCSRフィールドが正しく入力されているかどうかが示されます。

    Successfully Generated CSR

  5. CSR をエクスポートするために、左側のパネルで [Certificate Signing Requests] をクリックし、CSR を選択し、[Export] をクリックします。

    Certificate Signing Requests
  6. CSRはコンピュータに保存されます。それを署名用に CA に送信します。

証明書のインストール

CA から最終的な証明書を受信したら、その証明書を ISE に追加する必要があります。

  1. ISEコンソールで、Administration > System >Certificates>Certificate Signing Requestsの順に移動し、CRSのチェックボックスをオンにして、Bind Certificateをクリックします。

    Install Certificate

  2. [Friendly Name] テキストフィールドに証明書の簡単でわかりやすい説明を入力し、[Submit] をクリックします。

      :この時点では、EAPまたは管理プロトコルを有効にしないでください。

  3. [System Certificate] の下に、次に示すように未使用の新しい証明書があります。

    New Certificate Not in Use
  4. 古い証明書が期限切れになる前に新しい証明書がインストールされるため、日付範囲の指定が未来になっていることを報告するエラーが表示されます。

    Certificate Warning

  5. 続行するには [Yes] をクリックします。緑色で強調表示されているように、証明書がインストールされましたが、使用中ではありません。

    Certificate Now Installed

  :分散導入で自己署名証明書を使用する場合は、プライマリ自己署名証明書をセカンダリISEサーバの信頼できる証明書ストアにインストールする必要があります。同様に、セカンダリ自己署名証明書をプライマリ ISE サーバの信頼できる証明書ストアにインストールする必要があります。これにより、ISE サーバは相互に認証できます。  これがないと、導入が中断する可能性があります。サードパーティ CA から証明書を更新する場合は、ルート証明書チェーンが変更されているかどうかを確認し、それに応じて ISE 内の信頼できる証明書ストアを更新します。両方のシナリオで、ISEノード、エンドポイント制御システム、サプリカントがルート証明書チェーンを検証できることを確認します。

警告システムの設定

Cisco ISE はローカル証明書の失効日が 90 日以内に迫ったときに通知します。このような事前通知により、証明書の期限切れを回避して、証明書の更新を計画し、ダウンタイムを阻止または最小限に抑えることができます。

この通知はいくつかの方法で表示されます。

  • 色づけされた有効期限のステータスのアイコンが、[Local Certificates] ページに表示されます。

  • 期限切れメッセージが Cisco ISE システム診断レポートに表示されます。

  • 期限切れアラームは、期限切れの 90 日前と 60 日前に生成されたあと、期限切れ前の 30 日間は毎日生成されます。

期限切れアラームの電子メール通知を行うように ISE を設定します。ISE コンソールで、[Administration] > [System] > [Settings] > [SMTP Server] に移動して、Simple Mail Transfer Protocol(SMTP)サーバを特定し、アラームの電子メール通知が送信されるようにその他のサーバ設定を定義します。



Configure Alerting System

通知をセットアップするには、次の 2 つの方法があります。

  1. 管理者に通知するには、管理者アクセスを使用します。

    1. [Administration] > [System] > [Admin Access] > [Administrators] > [Admin Users] に移動します。

    2. アラーム通知を受信する必要のある管理者ユーザの [Include system alarms in emails] チェックボックスをオンにします。アラーム通知の送信者の電子メール アドレスは ise@hostname としてハードコードされています。

      Set-Up Notifications Option 1

  2. ユーザに通知するには、ISE アラーム設定を構成します。

    1. 下図に示す [Administration] > [System] > [Settings] > [Alarm Settings] > [Alarm Configuration] に移動します。

      Set-Up Notifications Option 2

        :カテゴリのアラームを回避するには、そのカテゴリのステータスを無効にします。

    2. Certificate Expirationを選択してから、Alarm Notificationをクリックします。通知するユーザの電子メールアドレスを入力し、設定変更を保存します。変更がアクティブになるまでに最大で15分かかる場合があります。

      Alarm Settings

確認

この項では、設定が正常に機能していることを確認します。

警告システムの確認

警告システムが正しく機能していることを確認します。この例では、設定の変更によって、情報の重大度を含むアラートが生成されます(情報アラームが最も低い重大度ですが、証明書の期限切れはそれよりも高い重大度である警告を生成します)。

Verify Alerting System



ISE から送信される電子メール アラームの例を以下に示します。

Email Alarm Example

証明書変更の確認

この手順では、証明書が正しくインストールされたことを確認する方法と、EAPまたは管理者ロールを変更する方法について説明します。

  1. ISE コンソールで [Administration] > [Certificates] > [System Certificates] に移動し、新しい証明書を選択して、詳細情報を表示します。

      注意:管理用途を有効にすると、ISEサービスが再起動し、サーバのダウンタイムが発生します。


    Verify Certificate Change


  2. ISE サーバ上の証明書ステータスを確認するために、次のコマンドを CLI に入力します。

    CLI:> show application status ise
  3. すべてのサービスがアクティブになったら、管理者としてログインします。

  4. 分散導入シナリオの場合は、Administration > System > Deploymentの順に選択します。ノードに緑色のアイコンが表示されていることを確認します。アイコンの上にカーソルを置き、凡例に[接続]と表示されていることを確認します。

  5. エンドユーザー認証が成功することを確認します。これを行うには、Operations > RADIUS > Livelogsの順に移動します。  特定の認証の試行を検索し、それらの試行が正常に認証されたことを確認できます。

証明書の確認

証明書を外部からチェックする場合は、組み込みの Microsoft Windows ツールまたは OpenSSL ツールキットを使用します。

OpenSSL はセキュア ソケット レイヤ(SSL)プロトコルのオープン ソース実装です。証明書で独自のプライベート CA が使用されている場合は、ローカル マシンにルート CA 証明書を配置して、OpenSSL オプション -CApath を使用する必要があります。中間 CA が存在する場合は、それも同じディレクトリに配置する必要があります。

証明書に関する一般情報を取得してそれを検証するには、以下を使用します。

openssl x509 -in certificate.pem -noout -text
openssl verify certificate.pem

OpenSSLツールキットを使用して証明書を変換することも有効です。

openssl x509 -in certificate.der -inform DER -outform PEM -out certificate.pem

トラブルシュート

現在のところ、この設定に関する特定の診断情報はありません。

結論

アクティブになる前に新しい証明書を ISE にインストールできるため、古い証明書が期限切れになる前に新しい証明書をインストールすることをお勧めします。古い証明書の失効日と新しい証明書の開始日の間の重複期間が、証明書を更新してそれらのインストールを最小限のダウンタイムでまたはダウンタイムなしで計画するための時間になります。新しい証明書が有効な日付範囲に入ったら、EAP か Admin または両方を有効にします。Admin の使用を有効にすると、サービスが再起動されることに注意してください。

更新履歴

改定 発行日 コメント
5.0
22-Apr-2026
SEOを更新。
4.0
10-Oct-2024
免責事項と代替テキストを追加。 スタイル要件と書式を更新。
3.0
07-Sep-2023
再認定
2.0
04-Aug-2022
初版リリース
1.0
16-Jun-2021
初版
TAC Authored

シスコ エンジニア提供

  • アピシェク・トマール
    テクニカルコンサルティングエンジニア
  • ロジャー・ノーベル
    テクニカルコンサルティングエンジニア

このドキュメントは役に立ちましたか?

Feedbackフィードバック

シスコに問い合わせ

このドキュメントは次の製品に対応しています