基本的なセットアップ
管理者 ポータル
管理者ポータル では、ISE の設定およびレポートにアクセスできます。次の図に、 このポータルのメニューバーの主な要素を示します。
|
1 |
メニューの ドロップダウン |
|
|
2 |
右上の メニュー |
|
ISE ホーム ダッシュボード
Cisco ISE ダッシュボードには、 効果的なモニタリングおよびトラブルシューティングに必要不可欠な、統合された相関性のあるライブ統計データが表示されます。特に指定がない限り、ダッシュボード要素によって アクティビティは 24 時間表示されます。次の図に、Cisco ISE ダッシュボードで使用できる情報の一部 を示します。Cisco ISE ダッシュボードデータはプライマリ管理ノード(PAN)でのみ表示されます。
[ホーム(Home)] ページには、ISE データのビューを表示する 5 つの デフォルトダッシュボードがあります。
-
[概要(Summary)]:このビュー には、線形の [メトリック(Metrics)] ダッシュレット、円グラフダッシュレット、およびリストダッシュレットが表示されます。 [メトリック(Metrics)] ダッシュレットは設定できません。
-
[エンドポイント(Endpoints)]:ステータス、 エンドポイント、エンドポイントカテゴリ、ネットワークデバイス。
-
[ゲスト(Guests)]:ゲストユーザ タイプ、ログイン失敗、ロケーション。
-
[脆弱性(Vulnerability)]:脆弱性 サーバにより ISE に報告される情報。
-
[脅威(Threat)]:脅威サーバにより ISE に報告される情報 。
これらの各 ダッシュボードには、複数の事前定義ダッシュレットがあります。たとえば [概要(Summary)] ダッシュボード には [ステータス(Status)]、[エンドポイント(Endpoints)]、[エンドポイントカテゴリ(Endpoint Categories)]、および [ネットワークデバイス(Network Devices)] があります。
ホーム ダッシュボードの設定
ホーム ページ ダッシュボードをカスタマイズするには、ページの右上隅にある歯車アイコンをクリックします。
-
[エクスポート(Export)] は、現在選択されているホームビューを PDF に保存します。
-
[レイアウトテンプレート(Layout Template)] は、このビューに表示されるカラムの数を設定します。
-
[ダッシュボードの管理(Manage Dashboards)] では、現在のダッシュボードをデフォルト([ホーム(Home)] を選択すると表示されるダッシュボード)に設定するか、またはすべてのダッシュボードをリセットする(すべてのホームダッシュボードの 設定を削除する)ことができます。
ビュー
[コンテキストの可視性(Context Visibility)] ページの構造は [ホーム(Home)] ページに似ていますが、 [コンテキストの可視性(Context Visibility)] ページでは次の点が異なります。
-
表示データ をフィルタリングするときに、 現在のコンテキスト(ブラウザウィンドウ)を維持する
-
より細かな カスタマイズが可能である
-
エンドポイント データ を中心としている
コンテキストの可視性データはプライマリ管理ノード(PAN)にのみ表示されます。
[コンテキスト(Context)] ページのダッシュレットには、エンドポイントと、エンドポイントから NAD への接続に関する情報が表示されます。現在表示されている情報 は、各ページのダッシュレットの下にあるデータリストの内容に基づいています。各ページには、タブの名前に基づいて エンドポイントデータのビューが表示されます。データをフィルタリングすると、リストとダッシュレットの両方が更新されます。データをフィルタリングするには、1 つ以上の円グラフの 特定部分をクリックするか、表で行をフィルタリングするか、またはこれらの操作を組み合わせて実行します。 複数のフィルタを選択した場合、フィルタ結果は加算的になります。これはカスケードフィルタと呼ばれます。これにより、ドリルダウンして特定の データを見つけることができます。また、リストでエンドポイントをクリックして、そのエンドポイントの詳細ビューを表示することもできます。
[コンテキストの可視性(Context Visibility)] には 4 つのメインビューがあります。
-
[エンドポイント(Endpoints)]:デバイス タイプ、コンプライアンスステータス、認証タイプ、ハードウェアインベントリなどに基づいて表示するエンドポイントを選択できます。詳細については、「ハードウェアダッシュボード」のセクションを参照してください。
注
アカウンティングの開始および更新情報 が Cisco ISE に確実に送信されるように、NAD でアカウンティングの設定を有効にすることを推奨します。
Cisco ISE では、アカウンティングが有効な場合にのみ、最新の IP アドレス、セッションのステータス(接続(Connected)、切断(Disconnected)、 または拒否(Rejected))、エンドポイントの非アクティブな日数などのアカウンティング情報を収集できます。この情報は、[ライブログ(Live Logs)]、[ライブセッション(Live Sessions)] および [コンテキストの可視性(Context Visibility)] ページに表示されます。NAD でアカウンティングが無効にされている場合、[ライブセッション(Live Sessions)]、[ライブログ(Live Logs)] および [コンテキストの可視性(Context Visibility)] ページでアカウンティング情報が欠落しているか、間違っているか、ページ間で一致していない 可能性があります。
注
[可視性セットアップ(Visibility Setup)] ウィザードでは、エンドポイント を検出するための IP アドレス範囲のリストを追加できます。このウィザードの設定後に、Cisco ISE は エンドポイントを認証しますが、設定された IP アドレス 範囲に含まれないエンドポイントは、[コンテキストの可視性(Context Visibility)] > [エンドポイント(Endpoints)] タブと、 [エンドポイント(Endpoints)] リストページ([ワークセンター(Work Centers)] > [ネットワークアクセス(Network Access)] > [ID(Identities)] > [エンドポイント(Endpoints)] の下)には表示されません。
-
[ユーザベース(User-Based)]:ユーザ ID ソースからのユーザ情報を表示します。
このビューを使用する際には次の点に注意してください。
-
ユーザ名属性またはパスワード属性が変更されると、認証ステータスが 変更された時点でこのページに変更が即時に反映されます。
-
Active Directory でユーザ名以外の属性が変更されると、再認証から 24 時間後に初めて、更新された属性が表示されます。
-
Active Directory でユーザ名とその他の属性が変更されると、再認証後 すぐに最新の変更が表示されます。
-
-
[ネットワーク デバイス(Network Devices)]:エンドポイントに接続している NAD のリスト。NAD のエンドポイント数(右端の カラム)をクリックすると、その NAD に基づいてフィルタリングされたすべてのデバイスが [コンテキストの可視性(Context Visibility)] 画面にリストされます。
注
ネットワークデバイスに SNMPv3 パラメータを設定した場合、モニタリングサービス([操作(Operations)] > [レポート(Reports)] > [カタログ(Catalog)] > [ネットワークデバイス(Network Device)] > [セッションステータス概要(Session Status Summary)])で提供されるネットワーク デバイス セッション ステータス概要レポート は生成できません。 ネットワーク デバイスが SNMPv1 または SNMPv2c パラメータを使用して設定されている場合は、このレポートを正常に生成できます。
-
[アプリケーション(Application)]:[アプリケーション(Application)] ビューは、指定されたアプリケーションがインストールされているエンドポイントの数を識別するために使用されます。 結果は、グラフ形式と表形式で表示されます。グラフ表示は、比較分析に役立ちます。 たとえば、Google Chrome ソフトウェアを使用してエンドポイントの数をバージョン、ベンダー、 カテゴリ(フィッシング詐欺対策、ブラウザなど)と共に、表や棒グラフで確認することができます。詳細については、「[アプリケーション(Application)] タブ」のセクションを参照してください。
フィルタリング処理を追加する目的で、[コンテキストの可視性(Context Visibility)] の下に新しい ビューを作成し、カスタムリストを作成できます。このリリースでは、カスタム ビューでダッシュレットがサポートされていません。
ダッシュレットの円グラフの特定部分をクリックすると、新しいページが開き、そのダッシュレットからフィルタリングされたデータが [コンテキストの可視性(Context Visibility)] モードで表示されます。この新しいページから、表示されているデータをさらにフィルタリングできます。この操作については「ビューに表示するデータのフィルタリング」で説明します。
[コンテキストの可視性(Context Visibility)] を使用してエンドポイントデータを検索する方法の詳細については、次の Cisco YouTube ビデオを参照してください。このビデオでは ISE 2.1 を使用しています。https://www.youtube.com/watch?v=HvonGhrydfg
コンテキストの可視性の属性
コンテキストの可視性の属性を提供するシステムとサービスでは、同じ属性 名に異なる値を使用していることがよくあります。次にいくつかの例を示します。
オペレーティング システム
-
OperatingSystem:ポスチャ オペレーティング システム
-
operating-system:NMAP オペレーティングシステム
-
operating-system-result:プロファイラ統合オペレーティングシステム
注 |
Cisco ISE のエンドポイントに対して複数のプローブが有効になっている場合、 [コンテキストの可視性(Context Visibility)] ページに表示されるエンドポイントのオペレーティングシステムのデータにいくつかの不一致が生じることがあります。 |
ポータル名
-
Portal.Name:デバイス登録が有効な場合のゲストポータル名。
-
PortalName:デバイス登録が無効な場合のゲストポータル名。
ポータル ユーザ
-
User-Name:RADIUS 認証のユーザ名
-
GuestUserName:ゲストユーザ
-
PortalUser:ポータルユーザ
アプリケーション ダッシュボード
|
ラベル |
説明 |
|||||
|---|---|---|---|---|---|---|
|
1 |
デフォルトで [概要(Summary)] タブが選択されています。棒グラフを含む [アプリケーションカテゴリ(Application Categories)] ダッシュレットが表示されます。アプリケーションは 13 のカテゴリに分類されます。これらのカテゴリ に属さないアプリケーションは、「未分類(Unclassified)」と呼ばれます。 利用可能なカテゴリは、[マルウェア対策(Anti-Malware)]、[フィッシング対策(Antiphishing)]、[バックアップ(Backup)]、[ブラウザ(Browser)]、[データ漏洩防止(Data Loss Prevention)]、[データストレージ(Data Storage)]、[暗号化(Encryption)]、 [ファイアウォール(Firewall)]、[メッセンジャ(Messenger)]、[パッチ管理(Patch Management)]、[パブリックファイル共有(Public File Sharing)]、[仮想マシン(Virtual Machine)]、[VPN クライアント(VPN Client)] です。 |
|||||
|
2 |
各バーは、分類されたカテゴリに対応します。各バーの上にマウスを置くと、選択したアプリケーションカテゴリに対応するアプリケーションとエンドポイント の合計数を表示できます。 |
|||||
|
3 |
分類されたカテゴリに該当するアプリケーションとエンドポイントは青色で表示されます。未分類のアプリケーションと エンドポイントはグレーで表示されます。分類されたカテゴリバーまたは分類されていないカテゴリバーの上にマウスを置くと、そのカテゴリに属する アプリケーションとエンドポイントの合計数を表示できます。[分類済み(Classified)] をクリックして、棒グラフと表(5)で結果を表示できます。[未分類(Unclassified)] をクリックすると、棒グラフが無効になり(グレー表示)、結果が表(5)に表示されます。 |
|||||
|
4 |
アプリケーションとエンドポイントは、選択されたフィルタに基づいて表示されます。
異なるフィルタをクリックすると、パンくずリストを表示できます。[すべて選択解除(Deselect All)] をクリックして、すべてのフィルタを削除できます。
 |
|||||
|
5 |
複数のバーをクリックすると、対応する分類されたアプリケーションとエンドポイントが表に表示されます。たとえば、 [マルウェア対策(Antimalware )] および [パッチ管理(Patch Management)] カテゴリを選択すると、次の結果が表示されます。 |
|||||
| アプリケーション | Version | Vendor | カテゴリ | アプリケーション OS | このソフトウェアで使用するエンドポイント | |
| Gatekeeper | 9.9.5 | Apple Inc. | マルウェア対策 | windows 7 64 ビット、mac osx 10.10、mac osx 8、mac osx 9 | 5 | |
| Gatekeeper | 10.9.5 | Apple Inc. | マルウェア対策 | windows 8 64 ビット、mac osx 10.10 | 3 | |
|
ソフトウェア更新 |
2.3 |
Apple Inc. |
パッチ管理 |
windows 7 64 ビット、mac osx 10.10、mac osx 8、mac osx 9 |
5 |
|
|
6 |
表の [このソフトウェアで使用するエンドポイント(Endpoints With This Software)] カラムのエンドポイントをクリックして、Mac アドレス、NAD IP アドレス、NAD ポート ID/SSID、IPv4 アドレスなど のエンドポイントの詳細を表示します。 |
|||||
|
7 |
アプリケーションのコンプライアンス条件と修復を作成するには、アプリケーション名を選択し、[ポリシーアクション(Policy Actions)] ドロップダウンリストから [アプリケーションコンプライアンスの作成(Create App Compliance)] オプションを選択します。 |
|||||
ハードウェア ダッシュボード
[コンテキストの可視性(context visibility)] の下の [エンドポイントハードウェア(endpoint hardware)] タブは、短期間にエンドポイント ハードウェア インベントリ情報 を収集、分析、およびレポートするのに役立ちます。メモリ容量が小さいエンドポイントの検出や、エンドポイントの BIOS モデル/バージョン の検出といった情報を収集することができます。これらの結果に基づいて、メモリ容量を増やしたり、BIOS バージョンをアップグレードすることができます。アセットの購入を計画する前に、 要件を評価することができます。リソースを適時に交換することができます。モジュールをインストールしたりエンドポイントとやりとりしたりすることなく、この 情報を収集できます。要約すると、アセットの ライフサイクルを効果的に管理できます。
[コンテキストの可視性(Context Visibility)]ページには、[製造者(Manufacturers)] および [エンドポイント使用率(Endpoint Utilizations)] ダッシュレットが表示されます。これらのダッシュレットは、選択されたフィルタに基づく変更を反映します。[製造者(Manufacturers)] ダッシュレットには、Windows および Mac OS が搭載されたエンドポイントのハードウェアインベントリの詳細が表示されます。[エンドポイント使用率(Endpoint Utilizations)] ダッシュレットには、エンドポイントの CPU、メモリ、およびディスク使用率が表示されます。3 つのオプションのいずれかを選択すると、 利用率をパーセンテージで表示できます。
-
[CPU 使用率が n% を超えるデバイス(Devices With Over n% CPU Usage)]
-
[メモリ使用率が n% を超えるデバイス(Devices With Over n% Memory Usage)]
-
[ディスク使用率が n% を超えるデバイス(Devices With Over n% Disk Usage)]
注 |
ハードウェア インベントリ データは、ISE GUI に表示されるまでに 120 秒かかります。ハードウェア インベントリ データは、 ポスチャ準拠および非準拠の状態に関して収集されます。 |
注 |
|
エンドポイントとその接続された外部デバイスのハードウェア属性は表形式で表示されます。次の ハードウェア属性が表示されます。
-
MAC アドレス
-
BIOS 製造元
-
BIOS シリアル番号
-
BIOS モデル
-
接続デバイス
-
CPU 名
-
CPU 速度(GHz)
-
CPU 使用率(%)
-
コア数
-
プロセッサ数
-
メモリ サイズ(GB)
-
メモリ使用率(%)
-
内部ディスクの合計サイズ(GB)
-
内部ディスクの合計フリー サイズ(GB)
-
内部ディスクの合計使用率(%)
-
内部ディスク数
-
NAD ポート ID
-
ステータス
-
ネットワークデバイス名
-
参照先
-
UDID
-
IPv4 アドレス
-
ユーザ名
-
ホストネーム
-
OS タイプ
-
異常な動作
-
エンドポイント プロファイル
-
説明
-
エンドポイント タイプ
-
ID グループ
-
登録日
-
ID ストア
-
許可プロファイル
エンドポイントに対応する [接続デバイス(Attached Devices)] カラムの番号をクリックすると、現在エンドポイントに接続されている USB デバイスの名前、カテゴリ、製造元、タイプ、製品 ID、およびベンダー ID を表示できます。
注 |
Cisco ISE はクライアントのシステムのハードウェア属性をプロファイリングしますが、Cisco ISE がプロファイリングしないハードウェア属性がいくつか存在することがあります。これらのハードウェア属性は、[ハードウェア コンテキストの可視性(Hardware Context Visibility)] ページに表示されないことがあります。 |
ハードウェア インベントリ データの収集間隔は、[管理(Administration)]ページで制御できます。デフォルトの間隔は 5 分です。
ダッシュレット
次に、ダッシュレットの例を示します。
-
ウィンドウが重なり合ったシンボルは、このダッシュレットを「切り離し」ます。つまり、新しいブラウザ ウィンドウでこのダッシュレットを開きます。円形のシンボルは更新を実行します。X でこの ダッシュレットが削除されます。このシンボルは [ホーム(Home)] ページのみで使用可能です。[コンテキストの可視性(Context Visibility)] でダッシュレットを削除するには、画面右上 隅にある歯車のシンボルを使用します。
-
一部のダッシュレットには異なるカテゴリのデータが表示されます。リンクをクリックすると、そのデータ セットの円グラフが表示されます。
-
円グラフには、選択したデータが表示されます。円グラフの 1 つのセグメントをクリックすると、[コンテキストの可視性(Context Visibility)] で新しいタブが開き、その円グラフセグメントに基づいてフィルタリングされたデータが表示されます。
[ホーム(Home)] ダッシュボードで円グラフのセクションをクリックすると、新しいブラウザウィンドウが開き、円グラフでクリックしたセクション に基づいてフィルタリングされたデータが表示されます。
[コンテキスト(Context)] ビューで円グラフのセクションをクリックすると、表示されているデータがフィルタリングされますが、コンテキストは変更されず、フィルタリングされた データは同じブラウザウィンドウに表示されます。
ビューに表示するデータのフィルタリング
[コンテキストの可視性(Context Visibility)] ページでいずれかのダッシュレットをクリックすると、クリックしたアイテムに基づいて表示されるデータ( 円グラフの一部分など)がフィルタリングされます。
[エンドポイント(Endpoints)] ダッシュレットで [mobil…vices] をクリックすると、ページが再表示され、2 つの [エンドポイント(Endpoints)] ダッシュレット、[ネットワークデバイス(Network Devices)] ダッシュレット、およびデータのリストが表示されます。 次の例に示すように、ダッシュレットとリストにはモバイル デバイスのデータが表示されます。
さらにデータをフィルタリングするには、円グラフの他のセクションをクリックするか、またはデータ リストのコントロールを使用します。
-
歯車アイコンにより、表示列がフィルタリングされます。ドロップダウンでは、このダッシュボードのリストに表示する列を選択できます。
-
デフォルトではクイック フィルタが表示されます。ボックス(ラベル番号 3)に文字を入力すると、 結果に基づいてリストがフィルタリングされます。カスタム フィルタでは、次に示すようにより細かく設定できるフィルタが表示されます。
カスタム フィルタは保存できます。
カスタム フィルタの作成
カスタムフィルタを作成および保存し、プリセットフィルタでフィルタ条件を変更できます。カスタムフィルタ は Cisco ISE データベースに保存されません。カスタムフィルタにアクセスするには、そのフィルタの作成に使用した 同じコンピュータおよびブラウザを使用する必要があります。
手順
| ステップ 1 |
[表示(Show)] ドロップダウン リストをクリックし、[拡張フィルタ(Advanced Filter)] を選択します。 |
| ステップ 2 |
[フィルタ(Filter)] メニューからフィールド、演算子、値などの検索 属性を指定します。 |
| ステップ 3 |
[+] をクリックして、 その他の条件を追加します。 |
| ステップ 4 |
[実行(Go)] をクリックして、指定された属性に一致する エントリを表示します。 |
| ステップ 5 |
[保存(Save)] アイコンをクリックして フィルタを保存します。 |
| ステップ 6 |
名前を入力し、[Save(保存)] をクリックします。フィルタ が [表示(Show)] ドロップダウンリストに表示されます。 |
拡張フィルタを使用した条件によるデータのフィルタリング
拡張フィルタを使用して、 指定した条件(名 = Mike、ユーザグループ = 従業員など)に基づいて情報をフィルタリングできます。複数の条件を指定できます。
手順
| ステップ 1 |
[表示(Show)] ドロップダウン リストをクリックし、[拡張フィルタ(Advanced Filter)] を選択します。 |
| ステップ 2 |
[フィルタ(Filter)] メニューから検索および検索 属性(フィールド、演算子、値など)を指定します。 |
| ステップ 3 |
[+] をクリックして、 その他の条件を追加します。 |
| ステップ 4 |
[実行(Go)] をクリックして、指定された属性に一致する エントリを表示します。 |
クイック フィルタを使用したフィールド属性によるデータのフィルタリング
クイックフィルタを使用して、 リストページに表示されるフィールド属性の値を入力し、 ページを更新することで、フィルタ 基準に一致するレコードのみを一覧表示できます。
手順
| ステップ 1 |
[表示(Show)] ドロップダウン リストをクリックし、[クイックフィルタ(Quick Filter)] を選択します。 |
| ステップ 2 |
属性フィールドの 1 つ 以上に検索条件を入力すると、指定した 属性に一致するエントリが自動的に表示されます。 |
ビューのリストでのエンドポイント アクション
リスト上部にあるツールバーから、リストで選択したエンドポイントに対してアクションを実行できます。すべてのリストですべてのアクション が有効になっているわけではありません。一部のアクションは、使用可能な機能に依存しています。次のリストに、使用する前に ISE で有効にする必要がある 2 つのエンドポイントアクション を示します。
-
適応型ネットワーク制御(ANC)が有効な場合、リストでエンドポイントを選択して、ネットワーク アクセスを割り当てるかまたは取り消すことができます。 認可変更(CoA)も発行できます。
ANC(エンドポイント保護サービス)は、ISE の [管理(Administration)] > [システム(System)] > [設定(Settings)] > [エンドポイント保護サービス(Endpoint Protection Service)] > [適応型ネットワーク制御(Adaptive Network Control)] で有効にします。詳細については、『Cisco ISE Admin Guide: Maintain and Monitor』の「Enable Adaptive Network Control in Cisco ISE」のセクションを参照してください 。
-
MDM がインストールされている場合は、選択したエンドポイントに対して MDM アクションを実行できます。
Cisco ISE ダッシュボード
Cisco ISE ダッシュボードまたはホームページ([ホーム(Home)] > [概要(Summary)])は、Cisco ISE 管理コンソールにログインすると表示されるランディングページです。ダッシュボードは、ウィンドウの上部に沿って表示されるメトリックメーターと下にあるダッシュレットで構成された、集中 管理コンソールです。デフォルトのダッシュボードは、[概要(Summary)] 、[エンドポイント(Endpoints)]、[ゲスト(Guests)]、[脆弱性(Vulnerability)]、[脅威(Threat)] です。詳細については 、「ISE ホームダッシュボード」のセクションを参照してください。
注 |
ダッシュボード データはプライマリ PAN にのみ表示されます。 |
ダッシュボードのリアルタイムデータによって、ネットワークにアクセスしているデバイスおよびユーザの一目で確認できるステータスと、 システムの正常性の概要が示されます。
2 番目のレベルのメニューバーにある歯車アイコンをクリックして、ダッシュボード設定のドロップダウンリストを表示します。次の表に、[ダッシュボード設定(Dashboard Settings)] で使用可能なオプションに関する 情報を示します。
|
オプション |
説明 |
||
|---|---|---|---|
|
新しいダッシュボードの追加(Add New Dashboard) |
5 つのデフォルトのダッシュボードを含めて、最大で 20 個のダッシュボードを設定できます。 |
||
|
ダッシュボードの名前の変更 |
ダッシュボードの名前を変更するには、次の手順を実行します(カスタム ダッシュボードに対してのみ使用可能)。
|
||
|
ダッシュレットの追加(Add Dashlet) |
ホームページダッシュボードにダッシュレットを追加するには、次の手順を実行します。
|
||
|
エクスポート |
ダッシュレットデータを PDF または CSV ファイルとしてエクスポートできます。 手順は次のとおりです。
カスタム ダッシュボードをエクスポートする場合、ZIP ファイルは同じ名前でエクスポートされます。たとえば、MyDashboard という名前のカスタムダッシュボード をエクスポートすると、エクスポートされたファイルの名前は MyDashboard.zip となります。 |
||
|
レイアウト テンプレート(Layout Template) |
ダッシュレットが表示されるテンプレートのレイアウトを変更できます。 レイアウトを変更するには、次の手順を実行します。
|
||
|
ダッシュボードの管理 |
[ダッシュボードの管理(Manage Dashboards)] では次のオプションを使用できます。
|
対応するカスタムダッシュボードの横にある閉じる(x)アイコンをクリックすることで作成したダッシュボードを削除できます。
注 |
デフォルト ダッシュボードの名前を変更したり、削除することはできません。 |
すべてのダッシュレットには右上にツールバーがあり、次のオプションが含まれています。
-
[分離(Detach)]:別のウィンドウにダッシュレットを表示します。
-
[更新(Refresh)]:ダッシュレットを更新します。
-
[削除(Remove)]:ダッシュボードからダッシュレットを削除します。
ダッシュレットの左上隅にあるグリッパ アイコンを使用して、ダッシュレットをドラッグ アンド ドロップできます。
[アラーム(Alarms)] ダッシュレットのクイック フィルタ:[重大(Critical)]、[警告(Warning)]、[情報(Info)] などの重大度に基づいてアラームをフィルタリングできます。[アラーム(Alarms)] ダッシュレットはホームページにあり、[クイックフィルタ(Quick Filter)] オプションがある [フィルタ(Filter)] ドロップダウンリストが含まれています。
Cisco ISE 国際化およびローカリゼーション
Cisco ISE 国際化では、サポートされる言語にユーザ インターフェイスを合わせます。ユーザインターフェイスのローカリゼーションでは、 ロケール固有のコンポーネントおよび翻訳されたテキストが組み込まれます。Windows、MAC OSX、および Android デバイスの場合、ネイティブ サプリカント プロビジョニング ウィザードは、次のサポートされている 言語のいずれかで使用できます。
Cisco ISE の国際化およびローカリゼーションのサポートでは、ポータルに接する エンドユーザに対して UTF-8 符号化で英語以外のテキストをサポートすること、および管理者ポータルの選択的フィールドに重点を置いています。
サポートされる言語
Cisco ISE では、次の言語とブラウザ ロケールのローカリゼーションおよび国際化がサポートされます。
|
言語 |
ブラウザ ロケール |
|---|---|
|
中国語(繁体字) |
zh-tw |
|
中国語(簡体字) |
zh-cn |
|
チェコ語 |
cs-cz |
|
オランダ語 |
nl-nl |
|
英語 |
en |
|
フランス語 |
fr-fr |
|
ドイツ語 |
de-de |
|
ハンガリー語 |
hu-hu |
|
イタリア語 |
it-it |
|
日本語 |
ja-jp |
|
韓国語 |
ko-kr |
|
ポーランド語 |
pl-pl |
|
ポルトガル語(ブラジル) |
pt-br |
|
ロシア語 |
ru-ru |
|
スペイン語 |
es-es |
エンドユーザ Web ポータルのローカリゼーション
ゲスト、スポンサー、デバイスおよびクライアント プロビジョニングの各ポータルは、サポートされているすべての言語およびロケールにローカライズされています。ローカライズには、 テキストラベル、メッセージ、フィールド名およびボタンラベルが含まれます。クライアントブラウザが Cisco ISE テンプレートにマッピングされていない ロケールを要求した場合、ポータルは英語のテンプレートを使用して内容を表示します。
管理者ポータルを使用して、各言語のゲスト、スポンサー、デバイスの各ポータルで使用されるフィールドを個別に変更できます。 また、言語を追加することも可能です。現在、クライアント プロビジョニング ポータルについては、これらのフィールドはカスタマイズできません。
HTML ページを Cisco ISE にアップロードすることによって、ゲスト ポータルを詳細にカスタマイズできます。カスタマイズしたページをアップロードする場合、 展開に対する適切なローカリゼーションサポートに責任を負うことになります。Cisco ISE では、サンプル HTML ページを含むローカリゼーションサポート例 が提供されており、これをガイドとして使用できます。Cisco ISE には、国際化されたカスタム HTML ページをアップロード、格納、および表示する機能があります。
注 |
NAC および MAC エージェントのインストーラおよび WebAgent ページはローカライズされていません。 |
UTF-8 文字データ エントリのサポート
エンドユーザに(Cisco クライアントエージェントまたはサプリカント、あるいはスポンサー、 ゲスト、デバイス、クライアント プロビジョニングの各ポータルを介して)公開される Cisco ISE フィールドは、すべての言語の UTF-8 文字セットをサポートします。UTF-8 は、Unicode 文字セット用のマルチバイト文字 エンコーディングであり、ヘブライ語、サンスクリット語、 アラビア語など、多数の異なる言語文字セットがあります。
文字の値は、管理設定データベースに UTF-8 で格納され、UTF-8 文字は レポートおよびユーザ インターフェイス コンポーネントで正しく表示されます。
UTF-8 クレデンシャル認証
ネットワーク アクセス認証では、UTF-8 ユーザ名およびパスワードのクレデンシャルがサポートされます。これには、RADIUS、EAP、RADIUS プロキシ、RADIUS トークン、ゲストおよび管理ポータルのログイン認証からの Web 認証が含まれます。ユーザ名 とパスワードの UTF-8 サポートは、ローカル ID ストアおよび外部 ID ストアに対する認証に適用されます。
UTF-8 認証は、ネットワーク ログインに使用されるクライアント サプリカントに依存します。一部の Windows ネイティブサプリカントでは、 UTF-8 ログイン情報はサポートされません。
注 |
RSA では UTF-8 ユーザはサポートされないため、RSA を使用した UTF-8 認証はサポートされません。同様に、 Cisco ISE と互換性がある RSA サーバでも UTF-8 がサポートされません。 |
UTF-8 ポリシーおよびポスチャ評価
属性値に基づいて決定される Cisco ISE のポリシー ルールに、UTF-8 テキストが含まれている場合があります。UTF-8 属性値はルール評価でサポートされます。また、管理ポータルで UTF-8 の値を使用して条件を設定できます。
ポスチャ要件を、UTF-8 文字セットに基づくファイル、アプリケーション、およびサービス条件として変更できます。
サプリカントに送信されるメッセージの UTF-8 サポート
RSA プロンプトおよびメッセージは、RADIUS 属性 REPLY-MESSAGE を使用して、または EAP データ内で、サプリカントに転送されます。 テキストに UTF-8 データが含まれている場合は、サプリカントによって、クライアントのローカル オペレーティング システムの言語サポートに基づいて表示されます。 一部の Windows ネイティブ サプリカントでは、UTF-8 クレデンシャルはサポートされません。
Cisco ISE プロンプトおよびメッセージは、サプリカントが 実行されているクライアントのオペレーティングシステムのロケールと同期していない場合があります。エンドユーザのサプリカントのロケールを Cisco ISE によってサポートされている言語に合わせる必要があります。
レポートおよびアラートの UTF-8 サポート
モニタリングおよびトラブルシューティングのレポートおよびアラートでは、Cisco ISE でサポートされる言語について、 次のように関連属性の UTF-8 の値がサポートされます。
-
ライブ認証の表示
-
レポート レコードの詳細ページの表示
-
レポートのエクスポートと保存
-
Cisco ISE ダッシュボードの表示
-
アラート情報の表示
-
tcpdump データの表示
ポータルでの UTF-8 文字のサポート
Cisco ISE フィールド(UTF-8)では、ポータルおよびエンドユーザメッセージで ローカリゼーション用に現在サポートされているよりも、多くの文字セットが サポートされます。たとえば、Cisco ISE では、 ヘブライ語やアラビア語などの右から左へ記述する言語はサポートされていません( 文字セット自体はサポートされています)。
次の表に、データ の入力および表示に UTF-8 文字をサポートする管理者ポータルおよびエンドユーザポータルの フィールドを示します。次の制限があります。
-
Cisco ISE では、UTF-8 文字を使用したゲストのユーザ名とパスワードはサポートされません。
-
Cisco ISE では、 証明書で UTF-8 文字を使用することはできません。
|
管理者ポータル要素 |
UTF-8 フィールド |
|---|---|
|
ネットワークアクセスのユーザ 設定 |
|
|
ユーザ リスト |
|
|
ユーザ パスワード ポリシー |
パスワードには、大文字と 小文字、数字、特殊文字(「!」、「@」、 「#」、「$」、「%」、「^」、「&」、「*」、「(」、「)」など)を自由に組み合わせて使用できます。[パスワード(Password)] フィールドでは、 UTF-8 文字を含むあらゆる文字を使用できますが、制御 文字は使用できません。 言語の中には 大文字または小文字のアルファベットがないものがあります。ユーザパスワードポリシーで ユーザが大文字または小文字でパスワードを入力することを求められているときに、 ユーザの言語がこれらの文字をサポートしていない場合、ユーザは パスワードを設定できません。ユーザパスワードフィールドで UTF-8 文字をサポートするには、ユーザ パスワード ポリシー ページ([管理(Administration)])で次のオプションをオフにする必要があります。
|
|
管理者リスト |
|
|
管理者ログイン ページ |
|
|
RSA |
|
|
RADIUS トークン |
|
|
ポスチャ要件 |
|
|
ポスチャ条件 |
|
|
ゲストおよびデバイスの設定 |
|
|
システム設定 |
|
|
[操作(Operations)] > [アラーム(Alarms)] > [ルール(Rule)] |
|
|
[操作(Operations)] > [レポート(Reports)] |
|
|
[操作(Operations)] > [トラブルシューティング(Troubleshoot)] |
|
|
ポリシー |
|
|
ポリシー ライブラリ条件 の属性値 |
|
ユーザ インターフェイス外での UTF-8 サポート
このセクションでは、Cisco ISE ユーザインターフェイス外で UTF-8 がサポートされる 領域について説明します。
デバッグログおよび CLI 関連の UTF-8 サポート
一部のデバッグログには、属性値およびポスチャ 条件の詳細が表示されます。そのため、すべてのデバッグログで UTF-8 の値が受け入れられます。raw UTF-8 データを含むデバッグログをダウンロードして、 UTF-8 対応ビューアで表示できます。
ACS 移行の UTF-8 サポート
Cisco ISE では、ACS UTF-8 設定オブジェクトおよび値の移行が可能です。一部の UTF-8 オブジェクトの移行は、Cisco ISE UTF-8 言語で サポートされない場合があります。そのため、移行中に提供される UTF-8 データの一部は、 管理ポータルまたはレポート方式を使用して読み取れない表示になる場合があります。( ACS から移行された)読み取り不可能な UTF-8 値は ASCII テキストに変換する必要があります。ACS から ISE への移行についての詳細は、お使いの ISE バージョンの『Cisco Secure ACS to Cisco ISE Migration Tool』を参照してください。
UTF-8 の値のインポートおよびエクスポートのサポート
REST での UTF-8 サポート
ID ストアの許可データの UTF-8 サポート
MAC アドレス の正規化
ISE は 次のいずれかの形式で入力された MAC アドレスの正規化をサポートします。
-
00-11-22-33-44-55
-
0011.2233.4455
-
00:11:22:33:44:55
-
001122334455
-
001122-334455
次の ISE ウィンドウでは、完全または部分的な MAC アドレスを指定できます。
- [ポリシー(Policy)] > [ポリシー セット(Policy Sets)]
-
[ポリシー(Policy)] > [ポリシー要素(Policy Elements)] > [条件(Conditions)] > [許可(Authorization)]
-
[認証(Authentications)] > [フィルタ(Filters)](エンドポイント カラムおよび ID カラム)
-
[グローバル検索(Global Search)]
-
[操作(Operations)] > [レポート(Reports)] > [レポートフィルタ(Reports Filters)]
-
[操作(Operations)] > [診断ツール(Diagnostic Tools)] > [一般ツール(General Tools)] > [エンドポイントのデバッグ(Endpoint Debug)]
次の ISE ウィンドウでは、完全な MAC アドレスを指定する必要があります(「:」または 「-」または「.」で区切られた 6 オクテット)。
-
[操作(Operations)] > [エンドポイント保護サービス(Endpoint Protection Services)][適応型ネットワーク制御(Adaptive Network Control)]
-
[操作(Operations)] > [トラブルシューティング(Troubleshooting)] > [診断ツール(Diagnostic Tools)] > [一般ツール(General Tools)] > [RADIUS認証トラブルシューティング(RADIUS Authentication Troubleshooting)]
-
[操作(Operations)] > [トラブルシューティング(Troubleshooting)] > [診断ツール(Diagnostic Tools)] > [一般ツール(General Tools)] > [ポスチャのトラブルシューティング(Posture Troubleshooting)]
-
[管理(Administration)] > [ID(Identities)] > [エンドポイント(Endpoints)]
-
[管理(Administration)] > [システム(System)] > [展開(Deployment)]
-
[管理(Administration)] > [ロギング(Logging)] > [収集フィルタ(Collection Filter)]
REST API でも、 完全な MAC アドレスの正規化がサポートされます。
有効なオクテットには 0 ~ 9、a ~ f、または A ~ F のみを含めることができます。
Cisco ISE 展開の アップグレード
Cisco ISE では、管理者ポータルから GUI ベースの一元化されたアップグレードが提供されます。アップグレードプロセスは さらに簡素化され、アップグレードの進行状況およびノードのステータスが 画面に表示されます。アップグレード前およびアップグレード後のタスクのリストについては、『 Cisco Identity Services Engine Upgrade Guide』を参照してください。
[アップグレードの概要(Upgrade Overview)] ページには、展開内のすべてのノード、そのノードで有効な ペルソナ、インストールされている ISE のバージョン、およびノードのステータス (ノードがアクティブか非アクティブか)がリストされます。ノードがアクティブな状態である場合にのみ アップグレードを開始できます。
管理者アクセス コンソール
手順
| ステップ 1 |
Cisco ISE URL をブラウザのアドレスバーに入力します(例:https://<ise hostname or ip address>/admin/)。 |
| ステップ 2 |
ユーザ名と、 Cisco ISE の初期セットアップで指定して設定した 大文字と小文字が区別されるパスワードを入力します。 |
| ステップ 3 |
[ログイン(Login)] をクリックするか、Enter を押します。 ログインに 失敗した場合は、[ログイン(Login)] ページの [ログインで問題が発生する場合(Problem logging in?)] リンクをクリックして、 手順に従ってください。 |
管理者ログイン ブラウザのサポート
Cisco ISE 管理者 ポータルは次の HTTPS 対応ブラウザをサポートしています。
-
Mozilla Firefox 72 以前のバージョン
-
Mozilla Firefox ESR 60.9 以前のバージョン
-
Google Chrome 80 以前のバージョン
-
Microsoft Edge ベータ 77 以前のバージョン
-
Microsoft Internet Explorer 10.x および 11.x
Internet Explorer 10.x を使用する場合は、TLS 1.1 と TLS 1.2 を有効にし、SSL 3.0 と TLS 1.0 を無効にします([インターネットオプション(Internet Options)] > [詳細設定(Advanced)])。
ログインの試行に失敗した後の管理者のロックアウト
管理者ユーザ ID に対して誤ったパスワードを何度も入力すると、アカウントは 指定された時間一時停止されるか、またはロックアウトされます(設定による)。ロックアウトすることを選択した場合は、管理者ポータルによってシステムの「ロックアウト」が表示されます。 Cisco ISE は、サーバ管理者ログインレポートにログエントリを追加し、その管理者 ID のログイン情報を一時停止します。その管理者 ID のパスワードをリセットするには、『Cisco Identity Services Engine Installation Guide』の「Reset a Disabled Password Due to Administrator Lockout」のセクションにおける説明に従います。管理者アカウントが無効になるまでに失敗できる回数は設定可能です。詳細は、『Cisco Identity Services Engine Administrator Guide』の「 Administrative Access to Cisco ISE 」のセクションを参照してください。管理者ユーザ アカウントがロックアウトされると、そのように設定されている場合、Cisco ISE からその管理者ユーザに電子メールが送信されます。
無効になったシステム管理者のステータスは、Active Directory ユーザを含むすべてのスーパー管理者が有効にできます。
Cisco ISE でのプロキシ設定の指定
既存のネットワーク トポロジにおいて、外部 リソース(たとえば、クライアント プロビジョニングやポスチャ関連のリソースが存在するリモートダウンロードサイト)にアクセスするために、Cisco ISE に対してプロキシを使用することが要求されている場合は、管理者ポータルを使用して プロキシのプロパティを指定できます。
プロキシ設定は 次の Cisco ISE 機能に影響します。
-
パートナー モバイル管理
-
エンドポイント プロファイラ フィード サービスの更新
-
エンドポイント ポスチャの更新
-
エンドポイント ポスチャ エージェント リソースのダウンロード
-
CRL(証明書失効リスト)のダウンロード
-
ゲスト通知
-
SMS メッセージの送信
-
[Social Login]
Cisco ISE プロキシ設定は プロキシサーバの基本認証をサポートします。NT LAN Manager(NTLM)認証はサポートされていません。
手順
| ステップ 1 |
[管理(Administration)] を選択します。 |
| ステップ 2 |
プロキシの IP アドレスまたは DNS 解決可能ホスト名を入力し、 Cisco ISE との間のプロキシトラフィックを通過させるポートを [プロキシホストサーバ:ポート(Proxy host server : port)] で指定します。 |
| ステップ 3 |
必要に応じて、[パスワード必須(Password required)] チェックボックスをオンにします。 |
| ステップ 4 |
[ユーザ名(User Name)] および [パスワード(Password)] フィールドに、プロキシサーバへの認証に使用するユーザ 名とパスワードを入力します。 |
| ステップ 5 |
[次のホストとドメインに対するプロキシをバイパス(Bypass proxy for these hosts and domain)] に、バイパスするホストまたはドメインの IP アドレスまたはアドレス範囲を入力します。 |
| ステップ 6 |
[保存(Save)] をクリックします。 |
管理者ポータルで使用されるポート
管理者ポータルは HTTP ポート 80 および HTTPS ポート 443 を使用するように設定され、これらの設定は変更できません。Cisco ISE はまた、あらゆるエンドユーザポータルが同じポートを使用することを禁止して、管理者ポータルへのリスクを減らすようになっています。
外部 RESTful サービス API の有効化
外部 RESTful サービス API は HTTPS プロトコルおよび REST 方法論に基づいており、ポート 9060 を使用します。
外部 RESTful サービス API は、基本認証をサポートしています。認証ログイン情報は、暗号化され、 要求ヘッダーの一部となっています。
JAVA、curl Linux コマンド、Python などの REST クライアントやその他のクライアントを使用して、外部 RESTful サービス API コールを呼び出すことができます。
ISE 管理者は、外部 RESTful サービス API を使用して操作を実行するための特権をユーザに割り当てる必要があります。 Cisco ISE 2.6 以降では、ERS ユーザは、内部ユーザになるか、外部 AD に所属することができます。 外部ユーザが所属する AD グループは、ERS 管理者または ERS オペレータのいずれかのグループにマッピングする必要があります。
-
外部 RESTful サービス管理者:すべての ERS API へのフル アクセス(GET、POST、DELETE、PUT)。このユーザは、ERS API 要求を作成、読み取り、更新、 および削除できます。
-
外部 RESTful サービス オペレータ:読み取り専用アクセス(GET 要求のみ)。
注 |
ネットワーク管理者ユーザは、すべての ERS API にアクセスできます。 |
外部 RESTful サービス API は、デフォルトではイネーブルになっていません。それらを有効にする前に外部 RESTful サービス API コール を呼び出そうとすると、エラー応答を受信します。Cisco ISE REST API 用に開発されたアプリケーション から Cisco ISE にアクセスできるようにするには、Cisco ISE REST API を有効にする必要があります。Cisco REST API は HTTPS ポート 9060 を使用します。このポートは デフォルトでは閉じられています。Cisco ISE REST API が Cisco ISE 管理用サーバで有効になっていない場合、クライアント アプリケーションは、 サーバから Guest REST API 要求に対するタイムアウトエラーを受信します。
手順
| ステップ 1 |
[管理(Administration)]を選択します。 |
| ステップ 2 |
プライマリ管理ノードの [読み取り/書き込み用にERSを有効化(Enable ERS for Read/Write)] を選択します。 |
| ステップ 3 |
セカンダリノードがある場合は、[その他すべてのノードの読み取り用にERSを有効化(Enable ERS for Read for All Other Nodes)] を選択します。 すべてのタイプの外部 RESTful サービス要求はプライマリ ISE ノードに限り有効です。セカンダリノードは読み取りアクセス (GET 要求)に対応します。 |
| ステップ 4 |
次のオプションのいずれかを選択します。
|
| ステップ 5 |
[保存(Save)] をクリックします。 |
Cisco ISE で外部 RESTful サービスを無効にすると、ポート 9060 は開いたままになりますが、 ポート経由の通信は許可されません。
ERS API の外部 AD アクセスの有効化
次の手順を使用すると、ERS API の外部 AD アクセスを有効にすることができます。
手順
| ステップ 1 |
[管理(Administration)]を選択します。 |
| ステップ 2 |
外部ユーザが所属する AD グループを外部 ID ソースとして追加します。 『Cisco ISE Administrator Guide』の「Asset Visibility」の章の「Active Directory as an External Identity Source」のセクションを参照してください。 |
| ステップ 3 |
AD からユーザ グループを追加します。 『 Cisco ISE Administrator Guide』の「Asset Visibility」の章の「Add Users」のセクションを参照してください。 |
| ステップ 4 |
[管理(Administration)]を選択します。 |
| ステップ 5 |
[IDソース(Identity Source)] ドロップダウンから [AD:<参加ポイント名>(AD: <Join Point Name>)] を選択します。 |
| ステップ 6 |
[パスワードベース(Password Based)] または [クライアント証明書ベース(Client Certificate Based)] のいずれかの認証を選択します。 |
| ステップ 7 |
[管理(Administration)]を選択します。 |
| ステップ 8 |
外部グループを ERS 管理者グループまたは ERS オペレータ グループにメンバーユーザとして追加します。[管理(Administration)]に移動します。 |
| ステップ 9 |
[追加(Add)] をクリックします。 |
| ステップ 10 |
ユーザを選択します。 |
| ステップ 11 |
[保存(Save)] をクリックします。 |
ISE 管理者は、外部 RESTful サービス API を使用して操作を実行するための権限を ユーザに割り当てる必要があります。Cisco ISE 2.6 以降では、ERS ユーザは、内部ユーザになるか、 外部 AD に所属することができます。外部ユーザが所属する AD グループは、 ERS 管理者または ERS オペレータのいずれかのグループにマッピングする必要があります。
-
外部 RESTful サービス管理者:すべての ERS API へのフルアクセス(GET、POST、 DELETE、PUT)。このユーザは、ERS API 要求を作成、読み取り、更新、および削除できます。
-
外部 RESTful サービス オペレータ:読み取り専用アクセス(GET 要求のみ)。
注 |
ネットワーク管理者ユーザは、すべての ERS API にアクセスできます。 |
外部 RESTful サービス SDK
外部 RESTful サービス SDK を使用して、独自ツールの構築を開始できます。次の URL から外部 RESTful サービス SDK にアクセスできます。 https://<ISE-ADMIN-NODE>:9060/ers/sdk 外部 RESTful サービス SDK には、 外部 RESTful サービス管理ユーザのみがアクセスできます。
SDK は、次のコンポーネントで構成されています。
-
クイックリファレンス API マニュアル
-
すべての利用可能な API 操作の完全なリスト
-
ダウンロード可能なスキーマ ファイル
-
ダウンロード可能な Java のサンプル アプリケーション
-
cURL スクリプト形式の使用例
-
python スクリプト形式の使用例
-
Chrome POSTMAN の使用方法
システム時刻と NTP サーバ設定の指定
Cisco ISE では、Network Time Protocol(NTP)サーバを 3 台まで設定することができます。NTP サーバを使用すると、正確な 時刻を維持でき、複数のタイムゾーンの間で時刻を同期できます。また、認証済みの NTP サーバのみを Cisco ISE で使用するかどうかを指定することもでき、そのための認証キーを入力できます。
シスコは、すべての Cisco ISE ノードを協定世界時(UTC)の時間帯に設定することを推奨します(特に Cisco ISE ノードが分散展開されてインストールされている場合)。この手順では、展開内にあるさまざまなノードからのレポートとログの タイムスタンプが常に同期されます。
Cisco ISE は、NTP サーバの公開キー認証もサポートしています。NTPv4 は、対称キー暗号化を使用し、公開キー暗号化に基づく 新しい Autokey 方式も提供します。公開キー暗号化は、一般に、各サーバによって生成され公開されない非公開の値に基づいているため、対称キー 暗号化よりも安全であると考えられます。 Autokey では、すべてのキー配布および管理機能には公開値のみが含まれているため、キーの配布 と保管が大幅に簡素化されます。
コンフィギュレーション モードで Cisco ISE CLI から NTP サーバに Autokey を設定できます。IFF(Identify Friend or Foe)識別方式は最も広く使用されている方式なので、この方式を使用することを推奨します。
はじめる前に
スーパー管理者またはシステム管理者の管理者ロールが割り当てられている必要があります。
プライマリおよびセカンダリの両方の Cisco ISE ノードがある場合は、セカンダリノードのユーザインターフェイスにログインし、 展開内の各 Cisco ISE ノードのシステム時間と NTP サーバ設定を個別に設定する必要があります。
手順
| ステップ 1 |
[管理(Administration)]を選択します。 |
| ステップ 2 |
NTP サーバに一意の IP アドレス(IPv4/IPv6/FQDN)を入力します。 |
| ステップ 3 |
システムおよびネットワーク時間の維持に認証済みの NTP サーバだけを使用するように Cisco ISE を制限する場合は、[認証済みの NTP サーバのみ可能(Only allow authenticated NTP servers)] チェックボックスをオンにします。 |
| ステップ 4 |
(任意)秘密キーを使用して NTP サーバを認証する場合に、指定したサーバのいずれかが認証キーによる認証を必要とする場合は、[NTP認証キー(NTP Authentication Keys)] タブをクリックし、1 つ以上の認証 キーを次のように指定します。
|
| ステップ 5 |
(任意)公開キー認証を使用して NTP サーバを認証する場合は、 コマンドライン インターフェイス(CLI)から Cisco ISE で Autokey を設定します。詳細については、ご使用のリリースの ISE の『Cisco Identity Services Engine CLI Reference Guide』で ntp server および crypto コマンドを参照してください。 |
| ステップ 6 |
[保存(Save)] をクリックします。 |
システムの時間帯の変更
一度設定すると、管理者ポータルからの時間帯の編集はできません。時間帯設定を変更するには、Cisco ISE CLI で次の コマンドを入力します。
clock timezone timezone
注 |
Cisco ISE は、タイムゾーン名と出力の省略形に POSIX スタイルの記号を使用します。そのため、グリニッジの西側のゾーンにはプラス 記号があり、グリニッジの東側のゾーンにはマイナス記号があります。たとえば、TZ='Etc/GMT+4' はグリニッジ標準 時(UT)の 4 時間遅れに相当します。 |
 注意 |
インストール後に Cisco ISE アプライアンスでタイムゾーンを変更するには、ISE サービスをその特定のノードで再起動する必要があります。そのため、メンテナンス ウィンドウ内でこのような変更を行うことを推奨します。 また、単一 ISE 展開内のすべてのノードが同じタイムゾーンに設定されていることが重要です。複数の ISE ノードが異なる地理的な場所やタイムゾーンにある場合は、すべての ISE ノードで UTC などのグローバルなタイムゾーンを使用する必要があります。 |
clock timezone コマンドの詳細については、『Cisco Identity Services Engine CLI Reference Guide』を参照してください。
通知をサポートするための SMTP サーバの設定
SMTP サーバの詳細を更新するには、[管理(Administration)] > [システム(System)] > [設定(Settings)] > [プロキシ(Proxy)] > [SMTPサーバ(SMTP Server)] に移動します。アラームの電子メール通知を送信したり、スポンサーがゲストにログイン情報やパスワードのリセット指示の電子メール通知を送信できるようにしたり、 ゲストがアカウント登録に成功した後、自動的にログイン情報を受信したり、 ゲストアカウントの期限が切れる前に実行するアクションを受信したりできるようにするには、Simple Mail Transfer Protocol(SMTP)サーバを設定します。
アラーム通知の受信者は、[電子メールにシステムアラームを含む(Include system alarms in emails)] オプションが有効になっている内部管理者ユーザです。アラーム通知を送信する送信者の電子メール アドレスは、ise@<hostname> としてハード コードされています。
次の表は、電子メールを送信する分散 ISE 環境のノードを示しています。
|
電子メールの目的 |
電子メールを送信するノード |
|---|---|
|
ゲストの有効期限 |
プライマリ PAN |
|
アラーム |
アクティブな MnT |
|
ゲストとスポンサーのポータルからのスポンサーとゲストの通知 |
PSN |
|
パスワードの有効期限 |
プライマリ PAN |
次のフィールドで SMTP サーバを設定します。
-
SMTP サーバの設定(SMTP Server Settings)
-
[SMTPサーバ(SMTP Server)]:アウトバウンド SMTP サーバのホスト名を入力します。
-
[SMTPポート(SMTP Port)]:SMTP ポート番号を入力します。SMTP サーバに接続するには、このポートが開かれている必要があります。
-
[接続タイムアウト(Connection Timeout)]:Cisco ISE が、新しい接続を開始する前に SMTP サーバへの接続を待機する最大時間を入力します。
-
-
[暗号化設定(Encryption Settings)]:セキュアな SMTP サーバと通信するには、[TLS/SSL暗号化を使用(Use TLS/SSL Encryption)] をオンにします。SSL を使用する場合には、SMTP サーバのルート証明書を Cisco ISE の信頼できる証明書に追加します。
-
[認証設定(Authentication Settings)]:ユーザ名とパスワードの組み合わせと SSL のいずれかを認証に使用できます。SSL がデフォルトです。代わりにユーザ名 とパスワードを使用するには、[パスワード認証を使用(Use Password Authentication)] をオンにします。
インタラクティブヘルプ
インタラクティブヘルプを使用すると、 簡単にタスクを完了するためのヒントとステップバイステップのガイダンスが提供され、ユーザは Cisco ISE で効果的に作業することができます。
この機能はデフォルトでイネーブルになっています。この機能を有効または無効にするには、[管理(Administration)]を選択し、[インタラクティブヘルプの有効化(Enable Interactive Help)] チェックボックスをオンまたはオフにします。
セキュアなロック解除クライアントメカニズムの有効化
セキュアなロック解除クライアントメカニズムは、Cisco ISE コマンドライン インターフェイス(CLI)で一定期間 、ルートシェルアクセスを提供します。セッションが閉じられるか、または終了するとすぐに、ルートアクセスも取り消されます。
セキュアなロック解除クライアント機能は、同意トークンツールを使用して実装されています。同意トークンは、 お客様とシスコの両方からの相互の同意が得られた後にのみ、信頼できる方法でシスコ製品のアクセス権限を安全に付与するための統一された多要素 認証方式です。
Cisco ISE CLI でルートシェルを有効にするには、次の手順を実行します。
手順
| ステップ 1 |
Cisco ISE CLI で以下を入力します。permit rootaccess: |
| ステップ 2 |
Generate the Consent Token Challenge by choosing option 1: |
| ステップ 3 |
同意トークンチャレンジを Cisco テクニカル アシスタンス センター(TAC)に送信します。 Cisco TAC は、送信された同意トークンチャレンジを使用して同意トークン応答を生成します。 |
| ステップ 4 |
オプション 2 を選択してから、Cisco TAC により提供された同意トークン応答を入力します。 |
注 |
応答の署名の検証が成功すると、特権アクセスが有効になります。 |
次の作業
sh-4.2# exit
exit
Root shell exited
1. Generate Challenge Token Request
2. Enter Challenge Response for Root Access
3. Show History
4. Exit
Enter CLI Option:
3
************************************
SN No : 1
************************************
Challenge 3/WcyAAAAQEBAAQAAAABAgAEAAAAAAMACMt89YhCTVWWBAAQwo9lyianfhO4C5u1+v80AQUABAAADhAGAANJU0UHAAZJU0VfQ1QIAANJU0UJACcJIDU2NGQ5NjgwLTFmZmEtOWI0ZS0wZjY1LTdlZDllMGQ1M2UzNQo= generated at 2019-06-12 15:40:01.000
************************************
SN No : 2
************************************
FIPS モードのサポート
ISE FIPS 140 モードでは、FIPS 140-2 モードに対して Cisco FIPS オブジェクト モジュールの暗号化モジュールを初期化します。Cisco Identity Services Engine には、FIPS 140-2 の検証済み暗号化モジュールが組み込まれています。FIPS コンプライアンスの要求の詳細については、『FIPS Compliance Letter』を参照してください。
FIPS モードを有効にすると、Cisco ISE 管理者インターフェイスのページの右上隅のノード名 の左側に FIPS モードアイコンが表示されます。
Cisco ISE は、FIPS 140-2 標準でサポートされないプロトコルまたは証明書の使用を検出すると、準拠していないプロトコルまたは証明書の名前とともに 警告を表示し、FIPS モードは有効になりません。 必ず FIPS に準拠したプロトコルのみを選択し、FIPS モードを有効にする前に FIPS に非準拠の証明書を交換してください。
Cisco ISE にインストールされている証明書で使用されている暗号化方式が FIPS でサポートされていない場合には、証明書を再発行する必要があります。
FIPS モードを有効にすると、次の機能が影響を受けます。
-
Lightweight Directory Access Protocol(LDAP)over Secure Sockets Layer(SSL)
-
Cisco ISE による FIPS 140-2 準拠の有効化の手段として、RADIUS の共有秘密とキー管理が使用されます。FIPS モードが有効になると、 FIPS 非準拠アルゴリズムを使用する機能はすべて失敗します。
FIPS モードを有効にする場合:
-
EAP-TLS、PEAP、および EAP-FAST ですべての FIPS 非準拠暗号スイートは無効になります
-
SSH ですべての FIPS 非準拠暗号スイートは無効になります
-
証明書と秘密キーには、FIPS 準拠ハッシュと暗号化アルゴリズムのみを使用する必要があります
-
RSA 秘密キーには、2048 ビット以上を指定する必要があります
-
ECDSA 秘密キーには、224 ビット以上を指定する必要があります
-
ECDSA サーバ証明書は TLS 1.2 のみで機能します
-
DHE 暗号は、すべての ISE TLS クライアントの DH パラメータが 2048 ビット以上の場合に機能します
-
3DES 暗号は、サーバとして機能する ISE に使用することはできません
-
SHA1 は証明書の生成に使用することはできません
-
SHA1 はクライアント証明書で使用することはできません
-
EAP-FAST の匿名 PAC プロビジョニング オプションは無効です
-
ローカル SSH サーバは FIPS モードを動作します
-
RADIUS は次のプロトコルをサポートしていません。
-
EAP-MD5
-
PAP
-
CHAP
-
MS-CHAPv1
-
MS-CHAPv2
-
LEAP
-
FIPS モードを有効にすると、展開内のすべてのノードが自動的に再起動されます。Cisco ISE はローリング再起動を実行します。具体的には、 最初にプライマリ PAN を再起動し、その後でセカンダリノードを 1 つずつ再起動します。そのため、 設定を変更する前にダウンタイムを計画することをお勧めします。
 Tip |
データベース移行プロセスを行う場合は、 移行が完了してから FIPS モードを有効にすることを推奨します。 |
Cisco ISE での FIPS モードの有効化
FIPS モードを有効にする場合:
手順
| ステップ 1 |
[管理(Administration)] を選択します。 |
| ステップ 2 |
[FIPSモード(FIPS Mode)] ドロップダウンリストで [有効(Enabled)] オプションを選択します。 |
| ステップ 3 |
[保存(Save)] をクリックして、マシンを再起動します。 |
次の作業
FIPS モードを有効にしたら、次の FIPS 140-2 準拠機能を有効にして設定します。
-
『Cisco ISE Admin Guide: Secure Wired Access』の「Network Device Definition Settings」のセクションを参照してください。
また、Common Access Card(CAC)機能を使用して管理者アカウント の許可を有効にすることもできます。許可のために CAC 機能を使用することは、厳密には FIPS 140-2 の要件ではありませんが、 セキュアアクセスの手法としてよく知られており、多くの環境で FIPS 140-2 準拠を強化するために使用されています。
管理者 CAC 認証のための Cisco ISE の設定
はじめる前に
設定を始める前に、次の手順を実行してください。
-
Cisco ISE のドメインネーム サーバ(DNS)が Active Directory に設定されていることを確認します。
-
Active Directory のユーザとユーザ グループ メンバーシップが、管理者 証明書ごとに定義されていることを確認します。
Cisco ISE による 管理者の認証と許可を、ブラウザから送信された CAC ベースのクライアント 証明書に基づいて実行できるようにするには、 次の設定が完了していることを確認してください。
-
外部 ID ソース (次の例では Active Directory)
-
管理者が属する Active Directory のユーザグループ
-
ユーザの ID を証明書 の中で見つける方法
-
Active Directory ユーザグループ から Cisco ISE RBAC 権限へのマッピング
-
クライアント証明書に署名する認証局 (信頼)証明書
-
クライアント証明書がすでに CA によって失効させられたかどうかを判断する方法
Cisco ISE にログインする場合、ログイン情報を認証するために Common Access Card(CAC)を使用できます。
手順
| ステップ 1 |
Cisco ISE の Active Directory ID ソースを設定し、Active Directory にすべての Cisco ISE ノードを追加します。 |
||
| ステップ 2 |
ガイドラインに従って証明書 認証プロファイルを設定します。 [プリンシパル名X.509属性(Principal Name X.509 Attribute)] フィールドでは、証明書内で管理者ユーザ名が格納されている 属性を選択します。(CAC カードの場合は、カード上の署名証明書 が通常は Active Directory でのユーザの検索に使用されます。 プリンシパル名は、この証明書の「サブジェクトの別名(Subject Alternative Name)」 拡張情報の中にあります。具体的には、この拡張情報の「別の 名前(Other Name)」というフィールドです。したがって、ここで選択する属性は「Subject Alternative Name - Other Name」となります) ユーザの AD レコード にユーザの証明書が格納されている場合に、 ブラウザから受信した証明書を AD の証明書と比較するには、[証明書のバイナリ比較(Binary Certificate Comparison)] チェックボックスをオンにして、以前に指定した Active Directory インスタンス名 を選択します。 |
||
| ステップ 3 |
パスワードベースの管理者認証用の Active Directory を有効にします。Cisco ISE に接続し結合された Active Directory インスタンス名 を選択します。
|
||
| ステップ 4 |
外部 管理者グループを作成して、Active Directory グループにマッピングします。[管理(Administration)] を選択します。外部システム管理者 グループを作成します。 |
||
| ステップ 5 |
外部管理グループに RBAC 権限を割り当てる管理者 認証ポリシーを設定します。
|
||
| ステップ 6 |
[管理(Administration)] を選択して、認証局証明書 を Cisco ISE 証明書信頼ストアにインポートします。 Cisco ISE が クライアント証明書を受け入れるには、そのクライアント証明書の信頼 チェーンの CA 証明書が Cisco ISE 証明書ストアの中にあることが条件となります。Cisco ISE 証明書ストアには 適切な CA 証明書をインポートする必要があります。 |
||
| ステップ 7 |
失効ステータス確認のための認証局 証明書を設定します。
|
||
| ステップ 8 |
クライアント 証明書ベースの認証を有効にします。[管理(Administration)] を選択します。 |
サポートされる Common Access Card 標準
Cisco ISE は、Common Access Card(CAC) 認証デバイスを使用して自身を認証する米国 政府ユーザをサポートします。CAC は特定の 従業員を識別する一連の X.509 クライアント証明書を含む電子 チップの認識票です。CAC によるアクセスには、 カードを挿入し PIN を入力するカードリーダーが必要です。カードからの証明書が Windows の証明書ストアに転送されます。Windows の証明書ストアは、Cisco ISE などの ローカルブラウザで実行されているアプリケーションで使用可能です。
Windows Internet Explorer バージョン 8 または 9 を Windows 7 オペレーティングシステムで使用している場合は、 ActiveIdentity の ActivClient バージョン 6.2.0.133 をインストールする必要があります。このミドルウェアは、Cisco ISE を CAC とともに相互運用するためのサードパーティ 製品です。 ActiveIdentity セキュリティクライアント製品の詳細については、『 ActivID ActivClient Security Software Datasheet』を参照してください。
Cisco ISE での共通アクセス カードの動作
管理者ポータルは、クライアント証明書を使用してのみ Cisco ISE との認証が許可されるように設定できます。 ユーザ ID とパスワードなどのクレデンシャル ベースの認証はできません。クライアント証明書認証では、 共通アクセスカード(CAC)カードを挿入して PIN を入力してから、ブラウザのアドレス フィールドに Cisco ISE 管理者ポータルの URL を入力します。ブラウザによって証明書が Cisco ISE に転送され、Cisco ISE はログインセッションを 証明書の内容に基づいて認証および許可します。このプロセスが完了すると、ユーザは [Cisco ISEモニタリングおよびトラブルシューティング(Cisco ISE Monitoring and Troubleshooting)] ホームページに表示され、適切な RBAC 権限が与えられます。
Diffie-Hellman アルゴリズムを使用した SSH キー交換の保護
Diffie-Hellman-Group14-SHA1 SSH キー交換のみを許可するように Cisco ISE を設定することができます。このためには、Cisco ISE コマンドライン インターフェイス(CLI)のコンフィギュレーション モードから次のコマンドを入力します。
service sshd key-exchange-algorithm diffie-hellman-group14-sha1
次に例を示します。
ise/admin#conf t
ise/admin (config)#service sshd key-exchange-algorithm diffie-hellman-group14-sha1
セキュア syslog 送信のための Cisco ISE の設定
Cisco ISE ノード間で、および モニタリングノードに対して、 TLS 保護されたセキュア syslog のみを送信するように Cisco ISE を設定するには、次の手順を実行します。
はじめる前に
-
展開内のすべての Cisco ISE ノードに適切なサーバ 証明書が設定されていることを確認します。
-
デフォルト ネットワーク アクセス認証ポリシーが、いずれのバージョンの SSL プロトコルも許可しないことを確認します。
-
展開内のすべてのノードがプライマリ PAN に登録されていることを確認します。また、 展開の少なくとも 1 つのノードに、セキュア syslog レシーバ(TLS サーバ)としての動作が有効になっているモニタリングペルソナが含まれることも確認します。
手順
| ステップ 1 |
セキュア syslog リモートロギングターゲットを設定します。 |
| ステップ 2 |
セキュア syslog リモートロギングターゲットに監査可能なイベントを送信するロギング カテゴリを有効にします。 |
| ステップ 3 |
TCP syslog および UDP syslog コレクタを無効にします。TLS 保護された syslog コレクタのみを 有効にします。 |
セキュア syslog リモート ロギング ターゲットの設定
Cisco ISE システムログは、さまざまな目的のために、 ログコレクタによって収集され保存されます。セキュア syslog ターゲットを設定するためには、ログコレクタとして Cisco ISE モニタリングノードを選択する必要があります。
手順
| ステップ 1 |
管理者ポータルにログインします。 |
| ステップ 2 |
[管理(Administration)] を選択します。 |
| ステップ 3 |
[追加(Add)] をクリックします。 |
| ステップ 4 |
セキュア syslog サーバの名前を入力します。 |
| ステップ 5 |
[ターゲットタイプ(Target Type)] ドロップダウンリストからセキュア syslog を選択します。 |
| ステップ 6 |
[ステータス(Status)] ドロップダウンリストで [有効化(Enabled)] を選択します。 |
| ステップ 7 |
展開の Cisco ISE モニタリングノードの IP アドレスを入力します。 |
| ステップ 8 |
ポート 番号として「6514」を入力します。セキュア syslog レシーバは TCP ポート 6514 をリッスンします。 |
| ステップ 9 |
syslog ファシリティ コードを選択します。デフォルトは LOCAL6 です。 |
| ステップ 10 |
[サーバダウンの場合はバッファメッセージ(Buffer Messages When Server is Down)] チェックボックスをオンにします。このオプションがオンの場合、Cisco ISE は、セキュア syslog レシーバが到達不能な場合には ログを格納し、 セキュア syslog レシーバを定期的に検査し、セキュア syslog レシーバが 起動すると転送します。
|
| ステップ 11 |
Cisco ISE がセキュア syslog サーバに提示する CA 証明書を選択します。 |
| ステップ 12 |
[サーバ証明書有効性を無視(Ignore Server Certificate validation)] チェックボックスをオフにします。このオプションをオンにしてはいけません。 |
| ステップ 13 |
[送信(Submit)] をクリックします。 |
リモート ロギング ターゲットの設定
次の表で、外部の場所(syslog サーバ)を作成してロギングメッセージを保存するために使用できる [リモートロギングターゲット(Remote Logging Targets)] ページのフィールドについて説明します。 このページへのナビゲーション パスは、[管理(Administration)] です。
|
フィールド |
使用上のガイドライン |
|---|---|
|
名前(Name) |
新しい ターゲットの名前を入力します。 |
|
ターゲット タイプ(Target Type) |
ターゲット タイプを選択します。 デフォルトでは、[UDP Syslog] に設定されます。 |
|
説明(Description) |
新しいターゲットの簡単な説明を入力します。 |
|
[IPアドレス(IP Address)] |
ログを格納する宛先マシンの IP アドレスまたはホスト名を入力します。ISE は、ロギング用に IPv4 と IPv6 形式をサポートします。 |
|
[ポート(Port)] |
宛先マシンのポート番号を入力します。 |
|
ファシリティ コード(Facility Code) |
ロギングに使用する syslog ファシリティ コードを選択します。有効なオプションは、Local0 ~ Local7 です。 |
|
最大長(Maximum Length) |
リモート ログ ターゲット メッセージの最大長を入力します。有効なオプションは 200 ~ 1024 バイトです。 |
|
サーバダウン時のバッファメッセージ(Buffer Message When Server Down) |
TCP syslog ターゲットおよびセキュア syslog ターゲットが使用できないときに Cisco ISE に syslog メッセージをバッファさせるには、このチェックボックスをオンにします。 ISE は、接続が再開されるとターゲットへのメッセージの送信を再試行します。 接続が再開された後、メッセージは古いものから順に送信され、バッファ内のメッセージは常に新しいメッセージの前に送信されます。 バッファがいっぱいになると、古いメッセージが廃棄されます。 |
|
バッファ サイズ(MB)(Buffer Size (MB)) |
各 ターゲットのバッファサイズを設定します。デフォルトでは、100 MB に設定されます。バッファサイズを変更すると バッファがクリアされ、特定のターゲットのバッファリングされた既存のすべてのメッセージが失われます。 |
|
再接続タイムアウト(秒)(Reconnect Timeout (Sec)) |
サーバがダウンしている場合に TCP およびセキュア syslog を廃棄する前に保持する期間を秒単位で指定します。 |
|
CA 証明書の選択(Select CA Certificate) |
クライアント証明書を選択します。 |
|
サーバ証明書有効性を無視(Ignore Server Certificate validation) |
ISE でサーバ証明書認証が無視されるようにして、syslog サーバを許可するには、このチェックボックスをオンにします。 |
セキュア syslog ターゲットに監査可能なイベントを送信するためのロギング カテゴリの有効化
Cisco ISE によってセキュア syslog ターゲットに監査可能なイベントが送信されるようにするには、ロギング カテゴリを有効にする必要があります。
手順
| ステップ 1 |
管理者ポータルにログインします。 |
| ステップ 2 |
[管理(Administration)]を選択します。 |
| ステップ 3 |
[管理および運用の監査(Administrative and Operational Audit)] ロギングカテゴリの横にあるオプションボタンをクリックし、次に [編集(Edit)] をクリックします。 |
| ステップ 4 |
[ログ重大度レベル(Log Severity Level)] ドロップダウンリストから [警告(WARN)] を選択します。 |
| ステップ 5 |
[ターゲット(Targets)] フィールドで、以前に作成したセキュアな syslog リモートロギングターゲットを、[選択済み(Selected)] ボックスに移動します。 |
| ステップ 6 |
[保存(Save)] をクリックします。 |
| ステップ 7 |
次のロギング カテゴリを有効にする場合は、この手順を繰り返し行います。
|
ロギング カテゴリの設定
次の表では、[ロギングカテゴリ(Logging Categories)] ページのフィールドについて説明します。これらのフィールドを使用して、ログの重大度レベル を設定し、選択したカテゴリのログが保存されるロギングターゲットを選択できます。このページへのナビゲーションパスは、[管理(Administration)] > [システム(System)] > [ロギング(Logging)] > [ロギングカテゴリ(Logging Categories)] です。
|
フィールド |
使用上のガイドライン |
|---|---|
|
名前(Name) |
ロギング カテゴリの名前を表示します。 |
|
ログの重大度レベル(Log Severity Level) |
次のオプションから、診断ロギング カテゴリの重大度レベルを選択できます。
|
|
ローカル ロギング(Local Logging) |
ローカル ノードで上のこのカテゴリのロギング イベントを有効にするには、このチェックボックスをオンにします。 |
|
ターゲット(Target) |
左アイコンと右アイコンを使用して [使用可能(Available)] と [選択済み(Selected)] のボックス間でターゲットを移動することによって、カテゴリのターゲットを変更できます。[使用可能(Available)] ボックスには、論理(事前定義済み)と外部(ユーザ定義)という両方の既存のロギング ターゲットが含まれています。 最初は空の [選択済み(Selected)] ボックスには、特定のカテゴリの選択済みターゲットが含まれます。 |
TCP syslog および UDP syslog コレクタの無効化
Cisco ISE が ISE ノード間で セキュアな syslog のみを送信するには、TCP および UDP syslog コレクタを無効にして、セキュアな syslog コレクタのみを有効にする必要があります。
手順
| ステップ 1 |
管理者ポータルにログインします。 |
| ステップ 2 |
[管理(Administration)] を選択します。 |
| ステップ 3 |
TCP または UDP syslog コレクタの横にあるオプションボタンをクリックします。 |
| ステップ 4 |
[編集(Edit)] をクリックします。 |
| ステップ 5 |
[ステータス(Status)] ドロップダウンリストから [無効化(Disabled)] を選択します。 |
| ステップ 6 |
[保存(Save)] をクリックします。 |
| ステップ 7 |
すべての TCP または UDP syslog コレクタが無効になるまで、このプロセスを繰り返します。 |
デフォルトのセキュア syslog コレクタ
-
プライマリ MnT ノード:SecureSyslogCollector
-
セカンダリ MnT ノード:SecureSyslogCollector2
[リモートロギングターゲット(Remote Logging Targets)] ページ([管理(Administration)] > [システム(System)] > [ロギング(Logging)])でこの 情報を確認できます。デフォルトの syslog コレクタは削除できません。また、 デフォルト syslog コレクタの [名前(Name)]、[ターゲットタイプ(Target Type)]、[IP/ホストアドレス(IP/Host address)] 、および [ポート(Port)] フィールドは更新できません。
Cisco ISE の新規インストール中に、システムから「デフォルトの自己署名サーバ証明書(Default Self-signed Server Certificate)」が 信頼ストアに追加され、「クライアン認証および syslog 用の信頼(Trust for Client authentication and Syslog)」目的で使用されるものとしてマークされます。これにより、この証明書はセキュア syslog に使用できるようになります。 展開を設定する場合または証明書を更新する場合には、 関連する証明書をセキュア syslog ターゲットに割り当てる必要があります。
次の証明書を設定してください。 log_target_name
オフライン メンテナンス
メンテナンス 時間が 1 時間未満の場合、ISE ノードをオフラインにして メンテナンス作業を行います。ノードをオンラインに戻すと、メンテナンス時間内に行われたすべての変更が PAN により自動的に 同期されます。 変更が自動的に同期されない場合は、 PAN を使用して手動で同期できます。
メンテナンス 時間が 1 時間を超える場合は、 メンテナンスの時点でノードを登録解除し、ノードを展開に再び追加するときにノードを再登録します。
処理があまり行われていない時間帯にメンテナンスをスケジュールすることが推奨されます。
注 |
|
Cisco ISE での証明書の管理
証明書は、個人、サーバ、会社、または その他のエンティティを識別し、そのエンティティを公開キーに関連付ける 電子文書です。自己署名 証明書は、独自の作成者によって署名されます。証明書は、自己署名したり、 外部の認証局(CA)がデジタルで署名したりすることができます。CA 署名付きデジタル 証明書は、業界標準であり、よりセキュアです。
証明書は、ネットワークに対するセキュアなアクセスを提供するために使用されます。Cisco ISE は、ノード間通信、および syslog サーバ、フィードサーバ、すべてのエンドユーザポータル(ゲスト、スポンサーおよび パーソナルデバイスポータル)などの 外部サーバとの通信に証明書を使用します。証明書は、エンドポイントに対して Cisco ISE ノードを識別し、 そのエンドポイントと Cisco ISE ノード間の通信を保護します。
展開内のすべてのノードの証明書を管理するには、管理者ポータルを使用できます。
Cisco ISE によるセキュアなアクセスの提供を可能にする証明書
Cisco Identity Services Engine(ISE)は、公開キーインフラストラクチャ(PKI)に依存して、エンドポイントおよび管理者の両方とのセキュアな通信、そしてマルチノード展開内の複数の Cisco ISE ノード間のセキュアな 通信を実現しています。PKI は、X.509 デジタル証明書 に依存して、メッセージの暗号化と復号化のための公開キーの転送、 およびユーザとデバイスを表す他の証明書の信頼性の検証を行います。 Cisco ISE には、次の 2 つの X.509 証明書のカテゴリを管理する、管理者ポータルが用意されています。
-
システム証明書:これらはクライアント アプリケーションに対して Cisco ISE ノードを識別する サーバ証明書です。 各 Cisco ISE ノードには独自のシステム証明書があり、それぞれの証明書は対応する秘密キーとともにノードに 格納されています。
-
信頼できる証明書: この証明書は、ユーザおよびデバイスから受信した 公開キーの信頼を確立するために使用される認証局(CA)証明書です。信頼できる証明書ストア には、Simple Certificate Enrollment Protocol(SCEP)から配信された証明書も含まれます。これにより、モバイルデバイスを 企業ネットワークに登録できるようになります。信頼できる証明書ストア内の証明書は プライマリ管理ノード(PAN)で管理され、Cisco ISE 展開内の他のすべてのノードに自動的に 複製されます。
分散展開では、 証明書を PAN の証明書信頼リスト(CTL)のみにインポートする必要があります。この証明書はセカンダリ ノードに複製されます。
一般に、Cisco ISE での 証明書認証が、 証明書による認証機能のわずかな違いの影響を受けないようにするために、ネットワークに展開されているすべての Cisco ISE ノードには小文字のホスト名を使用してください。
証明書 の使用
Cisco ISE に証明書を追加またはインポートする場合、 証明書の使用目的を指定する必要があります。
-
管理者: ノード間通信および管理者ポータルの認証
-
EAP: TLS ベースの EAP 認証
-
RADIUS DTLS: RADIUS DTLS サーバ認証用
-
ポータル: すべての Cisco ISE エンドユーザポータルとの通信
-
xGrid: pxGrid コントローラとの通信
管理者ポータル (管理者)、pxGrid コントローラ(xGrid)との通信および TLS ベースの EAP 認証 (EAP)に、各ノードから 異なる証明書を関連付けることができます。ただし、これらの 各目的に各ノードから関連付けることができる証明書は 1 つのみです。
Web ポータル要求を処理できる展開に複数のポリシーサービスノード(PSN)がある場合、Cisco ISE には一意の ID が必要です。この ID で、 ポータルの通信に使用する必要がある証明書を識別します。 ポータルでの使用に指定された証明書を追加またはインポートする場合、 証明書グループタグを定義して、それを展開内の 各ノードの対応する証明書に関連付ける必要があります。この証明書グループタグを 対応するエンドユーザポータル(ゲスト、スポンサー、およびパーソナルデバイス ポータル)に関連付ける必要があります。この証明書グループタグは一意の ID で、Cisco ISE が 各ポータルと通信する際に使用する必要がある証明書を識別する場合に役立ちます。 ポータルごとに各ノードから 1 つの証明書を指定できます。
注 |
EAP-TLS クライアント証明書では、以下の 暗号に対し、KeyUsage=Key Agreement および ExtendedKeyUsage=Client Authentication が必要です。
EAP-TLS クライアント証明書では、以下の 暗号に対し、KeyUsage=Key Encipherment および ExtendedKeyUsage=Client Authentication が必要です。
|
Cisco ISE の証明書の一致
展開内で Cisco ISE ノードをセットアップすると、2 つのノードが相互に通信します。システムは各 ISE ノードの FQDN を調べ、FQDN が一致することを確認します(たとえば ise1.cisco.com と ise2.cisco.com、またはワイルドカード証明書を使用している場合は *.cisco.com)。 また、外部マシンから ISE サーバに証明書が提示される場合、認証のために提示される外部証明書が、 ISE サーバの証明書と照合されます。2 つの証明書が一致すると、認証は成功します。
では、 ノード間(2 ノードの場合)、または と pxGrid の間で照合が実行されます。
Cisco ISE は、サブジェクト名の一致を次のようにして確認します。
-
Cisco ISE により証明書のサブジェクト代替名(SAN)の拡張が確認されます。SAN に 1 つ以上の DNS 名が含まれている場合は、 それらの DNS 名の 1 つが Cisco ISE ノードの FQDN に一致している必要があります。ワイルドカード証明書が使用されている場合、ワイルドカードドメイン 名は Cisco ISE ノードの FQDN ドメインに一致している必要があります。
-
SAN に DNS 名が存在しない場合、または SAN 全体が欠落している場合は、証明書の [サブジェクト(Subject)] フィールドの一般名(CN)または 証明書の [サブジェクト(Subject)] フィールドのワイルドカードドメインが、ノードの FQDN に一致している必要があります。
-
一致しない場合、 証明書は拒否されます。
注
Cisco ISE にインポートされる X.509 証明書は、Privacy Enhanced Mail(PEM)または Distinguished Encoding Rules(DER)形式である必要があります。証明書チェーン (システム証明書、およびその証明書に署名する一連の信頼された証明書)が含まれたファイルはインポートすることができますが、特定の 制限の対象となります。
X.509 証明書の有効性
X.509 証明書が有効なのは、 指定された特定の日付までのみです。システム証明書が期限切れになった場合、その証明書に依存する Cisco ISE 機能が影響を受けます。Cisco ISE は、 有効期限 が 90 日以内になると、システム証明書の有効期間の残りについて通知します。この通知は、いくつかの方法で表示されます。
-
配色された有効期限のステータス アイコンが、[システム証明書(System Certificates)] ページに表示されます。
-
期限切れメッセージが Cisco ISE システム診断レポートに表示されます。
-
有効期限のアラームは、 有効期限の 90 日前、60 日前に生成され、 有効期限前の最後の 30 日間には毎日生成されます。
失効した証明書 が自己署名証明書の場合は、この 証明書を編集して有効期限を延長できます。CA 署名付き証明書の場合は、 CA から新しい証明書を取得するのに十分な期間を確保する必要があります。
Cisco ISE での PKI の有効化
公開キーインフラストラクチャ (PKI)は、セキュアな通信を可能にし、 デジタル署名を使用してユーザの ID を確認する暗号化技術です。
手順
| Step 1 |
EAP-TLS などの TLS 対応認証プロトコル、 管理者ポータルの認証、Cisco ISE Web ポータルにアクセスするブラウザおよび REST クライアント、および pxGrid コントローラ向けのシステム証明書を各展開ノードで確立します。 デフォルトで、Cisco ISE ノードには EAP 認証、管理者用ポータル、 ポータル、pxGrid コントローラに使用される自己署名証明書があらかじめインストールされています。一般的な企業環境では、この証明書は、信頼された CA によって署名されたサーバ証明書 に置き換えられます。 |
||
| ステップ 2 |
信頼できる 証明書ストアに、 ユーザとの信頼を確立するために必要な CA 証明書と、 Cisco ISE に提示されるデバイス証明書を配置します。 ルート CA 証明書 と 1 つ以上の中間 CA 証明書 で構成されている証明書チェーンでユーザまたはデバイス証明書の信頼性を確認するには、次の手順を実行します。
ノード間の通信では、Cisco ISE 展開内の各ノードに属する 管理者システム証明書を検証するために必要な信頼された証明書を、信頼できる証明書ストアに配置する必要があります。ノード間の通信にデフォルトの自己署名 証明書を使用する場合は、各 Cisco ISE ノードの [システム証明書(System Certificates)] ページからこの証明書をエクスポートし、信頼できる証明書ストアにインポートする必要があります。自己署名証明書を CA 署名証明書で置き換える場合に必要なのは、 適切なルート CA 証明書および中間 CA 証明書を信頼できる証明書ストアに配置することだけです。 この手順を完了するまでは、ノードを Cisco ISE 展開に登録できないことに注意してください。 展開内でクライアントと PSN の間のセキュアな通信に自己署名証明書を使用する場合、BYOD ユーザが ある場所から別の場所に移動すると、EAP-TLS ユーザ認証は失敗します。 一部の PSN 間で提供される必要があるこのような認証要求の場合、外部で署名された CA 証明書を使用してクライアントと PSN の間の通信を保護するか、または外部の CA によって署名された ワイルドカード証明書を使用する必要があります。
|
ワイルドカード証明書
ワイルドカード証明書は ワイルドカード表記(ドメイン名の前にアスタリスクとピリオドの形式)を使用し、 組織の複数のホスト間で証明書を共有できるようにします。 たとえば、証明書サブジェクトの CN 値は aaa.ise.local などの汎用 ホスト名であり、SAN フィールドには、同じ汎用 ホスト名と DNS.1=aaa.ise.local および DNS.2=*.ise.local などのワイルドカード表記が含まれます。
*.ise.local を使用してワイルドカード証明書を設定すると、その同じ証明書を使用して、次のような、 DNS 名が「.ise.local」で終了する他のすべてのホストを保護することができます。
-
aaa.ise.local
-
psn.ise.local
-
mydevices.ise.local
-
sponsor.ise.local
ワイルドカード証明書は通常の証明書と同じ方法で 通信を保護し、要求は 同じ検証方式を使用して処理されます。
次の図に、 Web サイトの保護に使用されるワイルドカード証明書の例を示します。
Cisco ISE のワイルドカード証明書のサポート
以前のリリースの Cisco ISE では、 CN 値を使用して、url-redirect A-V pair 文字列の変数を置き換えていました。この CN 値は、すべての Centralized Web Authentication(CWA)、オンボーディング、ポスチャ リダイレクションなどに使用されました。
Cisco ISE は CN として ISE ノードの ホスト名を使用します。
HTTPS および EAP 通信用のワイルドカード証明書
SSL/TLS トンネリングを使用する Admin(Web ベースのサービス)および EAP プロトコルに対して、Cisco ISE でワイルドカード サーバ証明書を使用できます。ワイルドカード証明書を使用することにより、 各 Cisco ISE ノードに固有の証明書を生成する必要がなくなります。 また、 証明書の警告を防ぐために、SAN フィールドに複数の FQDN 値を入力する必要もありません。SAN フィールドでアスタリスク(*)を使用すると、 展開内の複数のノードで単一の証明書を共有できるようになり、 証明書名の不一致による警告を防止することができます。ただし、ワイルドカード 証明書は、各 Cisco ISE ノードに固有のサーバ 証明書を割り当てる場合よりも安全性が低いと見なされます。
ゲストポータルにパブリックワイルドカード証明書を割り当て、ルート CA 証明書を使用してサブ CA をインポートする場合、ISE サービスが再起動されるまで証明書 チェーンは送信されません。
注 |
ワイルドカード証明書を使用する場合は、セキュリティを強化するためにドメイン 領域を分割することを推奨します。たとえば、*.example.com の代わりに *.amer.example.com を使用して領域を分割することができます。ドメインを分割しないと、 重大なセキュリティ問題が発生する可能性があります。 |
ワイルドカード証明書 では、ドメイン名の前にアスタリスク(*)およびピリオドが使用されます。たとえば、証明書のサブジェクト名の CN 値は aaa.ise.local などの汎用ホスト名になり、SAN フィールドには *.ise.local のようなワイルドカード文字が入力されます。Cisco ISE は、ワイルドカード証明書(提示される ID の一番左の文字がワイルドカード 文字(*))をサポートします。 たとえば、*.example.com または *.ind.example.com のように表記できます。 提示される ID に追加の文字と ワイルドカード文字が含まれた証明書はサポートされません。たとえば、abc*.example.com、a*b.example.com、または *abc.example.com は使用できません。
URL リダイレクションの完全修飾ドメイン名
url-redirect=https://ip:port/guestportal/gateway?sessionId=SessionIdValue&action=cwa
この要求を処理するときに、Cisco ISE は文字列の一部のキーワードを実際の値で置き換えます。たとえば、SessionIdValue は、要求の実際のセッション ID に置き換えられます。eth0 インターフェイスの場合、Cisco ISE は URL 内の IP を Cisco ISE ノードの FQDN で置き換えます。eth0 以外のインターフェイスの場合、Cisco ISE は URL 内の IP アドレスを使用します。インターフェイス eth1 から eth3 にはホストのエイリアス(名前) を割り当てることができます。このエイリアスは Cisco ISE が URL リダイレクション中に IP アドレスの代わりに置き換えることができます。
この操作は、Cisco ISE CLI の ISE /admin(config)# プロンプトからコンフィギュレーション モードで ip host コマンドを使用して実行できます。
ip host IP_address host-alias FQDN-string
ここで、IP_address はネットワーク インターフェイス(eth1 または eth2 または eth3)の IP アドレスで、host-alias は ネットワーク インターフェイスに割り当てる名前です。FQDN-string は、ネットワーク インターフェイスの完全修飾ドメイン名です。このコマンドを使用して、 ネットワーク インターフェイスに host-alias または FQDN-string あるいはその両方を割り当てることができます。
ip host コマンドの使用例:ip host a.b.c.d sales sales.amerxyz.cometh0 以外のインターフェイスにホストのエイリアスを割り当てたら、 application start ise コマンドを使用して Cisco ISE でアプリケーションサービスを再起動する必要があります。
このホスト エイリアスのネットワーク インターフェイスとの関連付けを削除するには、次のようにこのコマンドの no 形式を使用します。
no ip host IP_address host-alias FQDN-string
ホストのエイリアスの定義を表示するには、show running-config コマンドを使用します。
FQDN 文字列を指定している場合は、その FQDN で URL 内の IP アドレスが置き換えられます。ホストのエイリアスのみを指定した場合は、 Cisco ISE はそのホストエイリアスと設定された IP ドメイン名を結合して完全な FQDN を形成し、URL 内の IP アドレス をその FQDN で置き換えます。ネットワーク インターフェイスをホストのエイリアスにマッピングしない場合は、URL 内の ネットワーク インターフェイスの IP アドレスが使用されます。
クライアントのプロビジョニング、ネイティブサプリカント、またはゲストフローに対して eth0 以外のインターフェイスを使用する場合は、 eth0 以外のインターフェイスの IP アドレスまたはホストエイリアスがポリシーサービスノードの証明書の SAN フィールドに適切に設定されていることを確認する必要があります。
ワイルドカード証明書を使用する利点
-
コスト削減。サードパーティの認証局によって署名された証明書には高額な費用がかかります(特にサーバ数 が多い場合)。ワイルドカード証明書は、Cisco ISE 展開内の複数ノードで使用できます。
-
運用の効率化。ワイルドカード証明書は、すべてのポリシー サービス ノード(PSN)EAP および Web サービスが同じ証明書を共有することを可能にします。 証明書を 1 回作成して、 すべての PSN に適用することにより、コストを大幅に削減できるだけでなく、証明書の管理も簡素化されます。
-
認証エラーの低減。ワイルドカード証明書は、クライアントがプロファイル内に信頼された 証明書を保存しており、そのクライアントが iOS のキーチェーン(署名ルートが信頼されている)に従っていない Apple iOS デバイスで発生する問題に対処します。iOS クライアント が最初に PSN と通信する際、このクライアントはその PSN の証明書を(信頼された認証局 が署名している場合でも)明示的に信頼しません。ワイルドカード証明書を使用すると、この証明書がすべての PSN で同一になるため、ユーザは 証明書の受け入れを 1 回行えばよく、その後の異なる PSN に対する認証はエラーやプロンプトが表示されることなく進行します。
-
簡素化されたサプリカントの設定。たとえば、PEAP-MSCHAPv2 およびサーバ証明書の信頼 が有効になっている Microsoft Windows サプリカントで、各サーバ証明書を信頼するように指定することが必要とされており、そのように指定されていない場合、 そのクライアントが別の PSN を使用して接続を行うと、各 PSN 証明書を信用するように、ユーザにプロンプトが出される可能性があります。ワイルドカード証明書を使用すると、 各 PSN の個別の証明書ではなく、単一のサーバ証明書を信頼するだけで済みます。
-
ワイルドカード証明書を使用すると、プロンプトの提示が減り、よりシームレスな接続が実現されることにより、ユーザ エクスペリエンスが改善されます。
ワイルドカード証明書を使用することの欠点
-
監査性と否認防止性の低下
-
秘密キーの露出の増加
-
一般的ではなく、管理者により理解されていない
ワイルドカード証明書は ISE ノードごとの固有のサーバ証明書よりも安全性が低いと見なされています。ただし、コスト、およびその他の運用関連の 要因がセキュリティリスクに勝っています。
ASA などのセキュリティ デバイスも、ワイルドカード証明書をサポートしています。
ワイルドカード証明書を展開する場合には注意が必要です。たとえば、*.company.local を使用して証明書を作成したとします。 該当の秘密キーを攻撃者が回復できた場合、攻撃者は company.local ドメイン内のすべてのサーバをスプーフィングすることができます。したがって、 このタイプの危険を回避するために、ドメイン領域を分割することがベストプラクティスと見なされています。
この想定される問題に対処し、利用範囲を制限するために、ワイルドカード証明書を使用して組織の特定の サブドメインを保護することもできます。 ワイルドカードを指定する一般名のサブドメイン領域に、アスタリスク(*)を追加します。
たとえば、*.ise.company.local に対してワイルドカード証明書を設定すると、その証明書は次のような、 DNS 名が「.ise.company.local」で終わるすべてのホストを保護するために使用できます。
-
psn.ise.company.local
-
mydevices.ise.company.local
-
sponsor.ise.company.local
ワイルドカード証明書の互換性
ワイルドカード 証明書は通常、証明書サブジェクトの一般名 (CN)としてリストされているワイルドカードを使用して作成されます。Cisco ISE は、このタイプの作成をサポートします。 ただし、すべてのエンドポイントサプリカントが 証明書サブジェクトのワイルドカード文字をサポートするわけではありません。
テスト済みのすべての Microsoft ネイティブ サプリカント(Windows Mobile を含む)の一部は、証明書のサブジェクトのワイルドカード文字 をサポートしていません。
Cisco AnyConnect Network Access Manager(NAM)など、 [サブジェクト(Subject)] フィールドでのワイルドカード文字の使用をサポートできる他の サプリカントを使用することができます。
また、DigiCert の Wildcard Plus など、証明書の サブジェクト代替名に特定のサブドメインを含めることで、 互換性のないデバイスを使用するように設計された、 特別なワイルドカード証明書を使用することもできます。
Microsoft サプリカントの制限はワイルドカード 証明書の使用にとって妨げになるように見えますが、ワイルドカード証明書 を作成して、 Microsoft のネイティブサプリカントを含む、セキュアなアクセスについてテスト済みのすべてのデバイスを使用できるようにする別の方法があります。
このためには、 サブジェクトにワイルドカードを使用する代わりに、[Subject Alterative Name (SAN)] フィールドでワイルドカード 文字を使用します。SAN フィールド はドメイン名(DNS 名)を検査するように設計された拡張を保持します。詳細については、 RFC 6125 および 2128 を参照してください。
証明書の階層
管理者ポータルから、すべてのエンドポイント、システム、および信頼できる証明書の証明書階層または証明書信頼チェーンを表示できます。証明書階層には、証明書、すべての中間認証局(CA)の証明書、 およびルート証明書が含まれています。たとえば、管理者ポータルからシステム証明書を表示すると、デフォルトでは該当するシステム証明書の詳細が表示されます。証明書階層は、 証明書の上部に表示されます。詳細を表示するには、その階層で証明書をクリックします。自己署名証明書には 階層または信頼チェーンがありません。
証明書の リストページで、[ステータス(Status)] 列に次のアイコンのいずれかが表示されます。
-
緑色の アイコン:有効な証明書(有効な信頼チェーン)を示します。
-
赤色のアイコン: エラーを示します(たとえば、信頼証明書の欠落または期限切れ)。
-
黄色のアイコン: 証明書が期限切れ間近であることを警告し、更新処理を求めます。
システム証明書
Cisco ISE システム 証明書は、展開に含まれる その他のノードおよびクライアント アプリケーションに対して Cisco ISE ノードを識別するサーバ証明書です。 システム証明書の用途は次のとおりです。
-
Cisco ISE 展開で ノード間通信に使用されます。 この証明書の場合、[使用方法(Usage)] フィールドで [管理(Admin)] オプションを選択します。
-
Cisco ISE Web ポータルに接続するブラウザおよび REST クライアントで使用されます。この証明書の場合、 [使用方法(Usage)] フィールドで [ポータル(Portal)] オプションを選択します。
-
PEAP および EAP-FAST を使用する外部 TLS トンネルを形成するために使用されます。EAP-TLS、PEAP、および EAP-FAST の相互認証の場合、 [使用方法(Usage)] フィールドで [EAP] オプションを選択します。
-
RADIUS DTLS サーバ認証に使用されます。
-
SAML ID プロバイダー(IdP)との通信に使用されます。この証明書の [使用方法(Usage)] フィールドで [SAML] オプションを選択します。[SAML] オプションを選択すると、 その他のサービスにこの証明書を使用することはできません。
-
pxGrid コントローラとの通信に使用されます。この証明書の場合、[使用方法(Usage)] フィールドで [pxGrid] オプションを選択します。
Cisco ISE 展開内の 各ノードで有効なシステム証明書をインストールする必要があります。 デフォルトでは、 インストール時に Cisco ISE ノードに 2 つの自己署名証明書と、内部 Cisco ISE CA により署名された 1 つの証明書が作成されます。
-
[EAP]、 [管理(Admin)]、[ポータル(Portal)]、および [RADIUS DTLS] のための自己署名 サーバ証明書(キーサイズは 2048 で 1 年間有効)
-
SAML IdP との安全な通信に使用できる自己署名 SAML サーバ証明書(キーサイズは 2048 で 1 年間有効)
-
pxGrid クライアントとの安全な通信に使用できる内部 Cisco ISE CA 署名付きサーバ証明書(キーサイズは 4096 で 1 年間有効)
展開をセットアップし、セカンダリノードを登録すると、pxGrid コントローラ用の証明書が自動的に プライマリノードの CA 署名付き証明書に置き換わります。したがってすべての pxGrid 証明書が同一の PKI トラスト階層の一部となります。
注 |
ワイルドカードシステム証明書をエクスポートして、( ノード間通信用に)他のノードにインポートする場合は、必ず証明書と秘密 キーをエクスポートして、暗号化パスワードを指定してください。インポート時は、 証明書、秘密キー、および暗号化パスワードが必要です。 |
注 |
お使いのリリースでサポートされているキーと暗号情報を確認するには、適切なバージョンの『Cisco Identity Services Engine Network Component Compatibility』ガイドを参照してください。 |
セキュリティを強化するために、自己署名証明書を CA 署名付き証明書で置き換えることを推奨します。 CA 署名付き証明書を取得するには、以下を行う必要があります。
|
How To: Implement ISE Server-Side Certificates Certificate Renewal on Cisco Identity Services Engine Configuration Guide |
システム証明書の表示
[システム証明書(System Certificate)] ページに、Cisco ISE に追加されたすべてのシステム証明書が一覧表示されます。
はじめる前に
次のタスクを実行するには、スーパー管理者またはシステム管理者である必要があります。
手順
| ステップ 1 |
[管理(Administration)]を選択します。 [システム証明書(System Certificate)] ページが表示されます。このページには、システム証明書に関する次の情報が表示されています。
|
| ステップ 2 |
証明書を選択し、[表示(View)] を選択して証明書 の詳細を表示します。 |
システム証明書のインポート
管理者ポータルから、任意の Cisco ISE ノードのシステム証明書をインポートできます。
注 |
プライマリ PAN 上の管理者ロール証明書の証明書を変更すると、他のすべてのノード上のサービスが再起動されます。プライマリ管理ノード(PAN)の再起動が完了すると、システムによって 一度に 1 つのノードが再起動されます。 |
はじめる前に
-
クライアントブラウザを実行しているシステムに、 システム証明書と秘密キーファイルがあることを確認します。
-
インポートするシステム証明書が外部 CA によって署名されている場合は、関連するルート CA および中間 CA 証明書 を信頼できる証明書ストアにインポートします([管理(Administration)] > [システム(System)] > [証明書(Certificates)] > [信頼できる証明書(Trusted Certificates)])。
-
SHA-256 より大きいハッシュアルゴリズムで署名されたサーバ証明書はインポートしないでください。
-
インポートするシステム証明書 に、CA フラグが true に設定された基本制約拡張が含まれている場合は、キー使用拡張が存在すること、および keyEncipherment ビットと keyAgreement ビットのいずれかまたは両方が設定されていることを確認します。
-
次のタスクを実行するには、スーパー管理者またはシステム管理者である必要があります。
手順
| ステップ 1 |
[管理(Administration)]を選択します。 |
| ステップ 2 |
[インポート(Import)] をクリックします。 [サーバ証明書のインポート(Import Server Certificate)] 画面が表示されます。
|
| ステップ 3 |
インポートする証明書の 値を入力します。 |
| ステップ 4 |
[送信(Submit)] をクリックします。 |
システム証明書 のインポート設定
次の表では、サーバ証明書をインポートするために使用できる [システム証明書のインポート(Import System Certificate)] ページのフィールドについて説明します。 このページへのナビゲーション パスは、[管理(Administration)]です。
| フィールド名 | 説明 | ||
|---|---|---|---|
|
ノードの選択(Select Node) |
(必須) システム証明書をインポートする Cisco ISE ノードを選択します。 |
||
|
証明書ファイル(Certificate file) |
(必須)[参照(Browse)] をクリックして、ローカルシステムから証明書ファイルを選択します。 |
||
|
秘密キー ファイル(Private key file) |
(必須)[参照(Browse)] をクリックして、秘密キーファイルを選択します。 |
||
|
[パスワード(Password)] |
(必須)秘密キーファイルを復号化するためのパスワードを入力します。 |
||
|
フレンドリ名(Friendly Name) |
証明書のフレンドリ名を入力します。 名前を指定しない場合は、Cisco ISE により <common name> # <issuer> # <nnnnn> の形式で自動的に名前が作成されます。ここで、<nnnnn> は固有の 5 桁の数値です。 |
||
|
ワイルドカード証明書の許可(Allow Wildcard Certificates) |
ワイルドカード証明書(サブジェクトの任意の一般名またはサブジェクト代替名の DNS 名、またはその両方にアスタリスク(*)が含まれている証明書)をインポートする場合は、このチェックボックスをオンにします。 たとえば、SAN に割り当てられている DNS 名が *.amer.cisco.com の場合です。このチェックボックスをオンにすると、Cisco ISE は展開内の他のすべてのノードにこの証明書をインポートします。 |
||
|
証明書の拡張の検証(Validate Certificate Extensions) |
Cisco ISE に証明書の拡張の検証を許可する場合は、このチェックボックスをオンにします。 このチェックボックスをオンにし、かつインポートする証明書に CA フラグが true に設定された基本制約拡張が含まれている場合は、キー使用拡張が存在すること、および keyEncipherment ビットと keyAgreement ビットのいずれかまたは両方が設定されていることを確認します。 |
||
|
使用方法 |
このシステム証明書を使用する必要があるサービスを選択します。
|
自己署名証明書の生成
自己署名証明書を生成することにより、新しいローカル証明書を追加できます。自己署名 証明書は、内部テストと評価のニーズに対してのみ使用することを推奨します。実稼働環境に Cisco ISE を展開することを計画している場合は、可能な限り CA 署名付き証明書を使用して、 実稼働ネットワーク全体でより均一な受け入れが行われるようにします。
注 |
自己署名証明書を使用しており、Cisco ISE ノードのホスト名を変更する必要がある場合は、Cisco ISE ノードの管理者用ポータルにログインし、古いホスト名が使用された自己署名証明書を削除し、新しい自己署名証明書を生成します。そうしないと、 Cisco ISE は古いホスト名が使用された自己署名証明書を引き続き使用します。 |
はじめる前に
次のタスクを実行するには、スーパー管理者またはシステム管理者である必要があります。
手順
| ステップ 1 |
[管理(Administration)]を選択します。 セカンダリノードから自己署名証明書を生成するには、[管理(Administration)]を選択します。 |
| ステップ 2 |
[自己署名証明書の生成(Generate Self Signed Certificate)] をクリックし、[自己署名証明書の生成(Generate Self Signed Certificate)] ページに詳細を入力します。 |
| ステップ 3 |
自己署名したワイルドカード証明書(サブジェクトの任意の一般 名またはサブジェクト代替名の DNS 名、またはその両方にアスタリスク(*)が含まれている証明書)を生成する場合は、[ワイルドカード証明書の許可(Allow Wildcard Certificates)] チェックボックスをオンにします。たとえば、SAN に割り当てられている DNS 名が *.amer.cisco.com の場合です。 |
| ステップ 4 |
この証明書を使用するサービスに基づいて [使用方法(Usage)] 領域のチェックボックスをオンにします。 |
| ステップ 5 |
証明書を生成するには、[送信(Submit)] をクリックします。 CLI から セカンダリノードを再起動するには、指定された順序で次のコマンドを入力します。
|
自己署名証明書 の設定
次の表では、[自己署名証明書の生成(Generate Self Signed Certificate)] ページのフィールドについて説明します。このページでは、ノード間通信、EAP-TLS 認証、Cisco ISE Web ポータル、および pxGrid コントローラとの通信用のシステム証明書を作成できます。 このページのナビゲーションパスは、[管理(Administration)] > [システム(System)] > [証明書(Certificates)] > [システム証明書(System Certificates)] > [自己署名証明書の生成(Generate Self Signed Certificate)] です。
| フィールド名 | 使用上のガイドライン | ||
|---|---|---|---|
|
ノードの選択(Select Node) |
(必須)システム証明書を生成するノード。 |
||
|
一般名(Common Name)(CN) |
(SAN を指定しない場合に必須)デフォルトでは、一般名は自己署名証明書を生成する ISE ノードの完全修飾ドメイン名です。 |
||
|
組織 |
組織ユニット名。Engineering など。 |
||
|
組織(Organization)(O) |
組織名。Cisco など。 |
||
|
都市(City)(L) |
(省略不可)都市名。 San Jose など。 |
||
|
州(State)(ST) |
(省略不可)州名。 California など。 |
||
|
国(Country)(C) |
国 名。2 文字の ISO 国番号を入力する必要があります。US など。 |
||
|
サブジェクト代替名(Subject Alternative Name)(SAN) |
証明書に関連付けられた IP アドレスまたは DNS 名 IP アドレス、DNS 名、または Uniform Resource Identifier(URI)。 |
||
|
キー タイプ |
RSA または ECDSA の公開キーの作成に使用するアルゴリズムを指定します。 |
||
|
キーの長さ(Key Length) |
公開キーのビット サイズを指定します。RSA には、次のオプションを使用できます。
パブリック CA 署名付き証明書を取得する場合、または FIPS 準拠ポリシー管理システムとして Cisco ISE を展開する場合は、2048 を選択します。 |
||
|
署名するダイジェスト(Digest to Sign With) |
ハッシュアルゴリズム SHA-1 または SHA-256 を選択します。 |
||
|
証明書ポリシー(Certificate Policies) |
証明書が従うべき証明書ポリシーの OID または OID のリストを入力します。 OID を区切るには、カンマまたはスペースを使用します。 |
||
|
TTL 有効期限(Expiration TTL) |
証明書が失効するまでの日数を指定します。 |
||
|
フレンドリ名(Friendly Name) |
証明書のフレンドリ名を入力します。 名前を指定しない場合は、Cisco ISE により <common name> # <issuer> # <nnnnn> の形式で自動的に名前が作成されます。ここで、<nnnnn> は固有の 5 桁の数値です。 |
||
|
ワイルドカード証明書の許可(Allow Wildcard Certificates) |
自己署名したワイルドカード証明書(サブジェクトの任意の一般名またはサブジェクト代替名の DNS 名、またはその両方にアスタリスク(*)が含まれている証明書)を生成する場合は、このチェックボックスをオンにします。 たとえば、SAN に割り当てられている DNS 名が *.amer.cisco.com の場合です。 |
||
|
使用方法 |
このシステム証明書を使用する必要があるサービスを選択します。
|
システム証明書の編集
このページを使用して、 システム証明書を編集し、自己署名証明書を更新できます。 ワイルドカード証明書を編集すると、変更が 展開内のすべてのノードに複製されます。ワイルドカード証明書を削除した場合、そのワイルドカード証明書は 展開内のすべてのノードから削除されます。
はじめる前に
次のタスクを実行するには、スーパー管理者またはシステム管理者である必要があります。
手順
| ステップ 1 |
[管理(Administration)]を選択します。 |
| ステップ 2 |
編集する 証明書の横にあるチェックボックスをオンにして、[編集(Edit)] をクリックします。 |
| ステップ 3 |
自己署名 証明書を更新するには、[更新期間(Renewal Period)] チェックボックス をオンにして、有効期限 TTL(存続可能時間)を日、週、月、または年単位で入力します。 |
| ステップ 4 |
[保存(Save)] をクリックして 変更を保存します。 [管理者(Admin)] チェックボックスがオンになっている場合、Cisco ISE ノードのアプリケーションサーバが再起動されます。また、その Cisco ISE ノードが展開の PAN である場合は、展開 内のその他すべてのノードでもアプリケーションサーバが再起動されます。プライマリ管理ノード(PAN)の再起動が完了すると、システムによって一度に 1 つのノードが再起動されます。 |
注 |
Chrome 65 以上を使用して ISE を起動すると、 URL が正しくリダイレクトされたにもかかわらず、BYOD ポータルまたはゲスト ポータルがブラウザで起動に失敗することがあります。これは、すべての [サブジェクトの別名(Subject Alternative Name)] フィールドに証明書 を必要とする、Google で導入された新しいセキュリティ機能が原因です。ISE 2.4 以降のリリースの場合、[サブジェクトの別名(Subject Alternative Name)] フィールドを入力する必要があります。 Chrome 65 以上で起動するには、次の手順に従います。 1. [サブジェクトの別名(Subject Alternative Name)] フィールドに入力することで、ISE GUI から新しい自己署名証明書を生成します。DNS と IP アドレス の両方を入力する必要があります。 2. ISE サービスが再起動します。 3. Chrome ブラウザでポータルにリダイレクトされます。 4. ブラウザで [証明書の表示(View Certificate)] > [詳細(Details)] > [コピー(Copy)] の順に選択し、base-64 エンコードを選択して、証明書をコピーします。 5. 高信頼パスで証明書をインストールします。 6. Chrome ブラウザを終了し、ポータルのリダイレクトを試みます。 |
注 |
Win RS4 または RS5 のオペレーティングシステムでブラウザ Firefox 64 以降のワイヤレス BYOD セットアップを設定する場合は、 証明書の例外を追加することができない場合があります。この現象は Firefox 64 以降の新規インストール時に発生することがあります。 以前のバージョンから Firefox 64 以降にアップグレードした場合は発生しません。次の手順では、 このような場合でも証明書の例外を追加することができます。 1. BYOD フローのシングル/デュアル PEAP または TLS を設定します。 2. Windows のすべてのオプションで CP ポリシーを設定します。 3. エンド クライアント Windows RS4/RS5 で Dot1.x/MAB SSID に接続します。 4. ゲスト/BYOD ポータルにリダイレクトするために、FF64 ブラウザに 1.1.1.1 と入力します。 5. [例外を追加(Add Exception)]をクリックし、フローを続行します。 これを回避するには、[オプション(Options)]に移動して、Firefox 64 に証明書を手動で追加する必要があります。 |
システム 証明書の削除
今後使用しないシステム証明書を削除できます。
システム証明書ストアから複数の証明書を一度に削除できますが、管理および EAP 認証に使用できる 証明書を少なくとも 1 つ所有する必要があります。また、管理、EAP 認証、ポータル、または pxGrid コントローラに使用される証明書は削除できません。ただし、サービスがディセーブルの場合は、pxGrid 証明書を削除できます。
ワイルドカード証明書を削除することを選択した場合、証明書は 展開内のすべてのノードから削除されます。
手順
| ステップ 1 |
[管理(Administration)]を選択します。 |
| ステップ 2 |
削除する証明書の隣にあるチェックボックスをオンにし、[削除(Delete)] をクリックします。 警告メッセージが表示されます。 |
| ステップ 3 |
[はい(Yes)] をクリックして、証明書を削除します。 |
システム証明書のエクスポート
選択した システム証明書とその証明書に関連付けられている秘密キーをエクスポートできます。 証明書とその秘密キーをバックアップ用にエクスポートする場合は、 それらを必要に応じて後で再インポートできます。
はじめる前に
次のタスクを実行するには、スーパー管理者またはシステム管理者である必要があります。
手順
| ステップ 1 |
[管理(Administration)]を選択します。 |
||
| ステップ 2 |
エクスポートする証明書の横にあるチェックボックスをオンにし、[エクスポート(Export)] をクリックします。 |
||
| ステップ 3 |
証明書のみをエクスポートするか、証明書と証明書に関連付けられている秘密キーをエクスポートするかを選択します。
|
||
| ステップ 4 |
秘密キーをエクスポートする場合は、パスワードを入力します。パスワードは、8 文字以上にする必要があります。 |
||
| ステップ 5 |
[エクスポート(Export)] をクリックして、クライアントブラウザを実行しているファイルシステムに 証明書を保存します。 証明書のみをエクスポートする場合、証明書は Privacy Enhanced Mail 形式で保存されます。 証明書と秘密キーの両方をエクスポートする場合、証明書は Privacy Enhanced Mail 形式 の証明書と暗号化された秘密キーファイルを含む .zip ファイルとしてエクスポートされます。 |
信頼できる証明書ストア
信頼できる証明書 ストアには、信頼に使用される、Simple Certificate Enrollment Protocol(SCEP)用の X.509 証明書が含まれています。
信頼できる証明書ストア内の 証明書は PAN で管理され、 Cisco ISE 展開内の他のすべてのノードに複製されます。Cisco ISE は ワイルドカード証明書をサポートしています。
Cisco ISE は、次の目的で信頼できる 証明書を使用します。
-
エンドポイントによる認証と、証明書ベースの管理者認証を使用して ISE-PIC 管理者ポータル にアクセスする Cisco ISE 管理者による認証に使用するクライアント証明書 を確認するため。
-
展開内の Cisco ISE ノード間のセキュアな 通信を可能にするため。信頼できる証明書ストアには、展開内の各ノード のシステム証明書との信頼を確立するために必要な CA 証明書のチェーンが含まれている必要があります。
-
自己署名証明書 をシステム証明書に使用する場合は、各ノード の自己署名証明書を PAN の信頼できる証明書ストアに配置する必要があります。
-
CA 署名付き証明書を システム証明書に使用する場合は、CA ルート証明書だけでなく、信頼チェーン内のすべての 中間証明書も PAN の信頼できる 証明書ストアに配置する必要があります。
-
-
セキュア LDAP 認証を有効にするには、SSL を経由してアクセスされる LDAP ID ソースを定義するときに、証明書ストアから証明書を 選択する必要があります。
-
パーソナルデバイス ポータルを使用してネットワークへの登録を準備しているパーソナル デバイスに配信するため。Cisco ISE は、 パーソナルデバイス登録をサポートするために、ポリシーサービスノード(PSN)での SCEP を実装しています。登録するデバイスは、SCEP プロトコルを使用して PSN からクライアント証明書を要求します。PSN には中継の役割を果たす登録 局(RA)があります。RA は、登録するデバイスからの 要求を受信して検証し、その後クライアント証明書を発行する 外部 CA または内部 Cisco ISE CA にその要求を転送します。 CA は RA に証明書を返し、RA が証明書をデバイスに返します。
Cisco ISE によって使用される各 SCEP CA は、SCEP RA プロファイルによって定義されます。SCEP RA のプロファイルが作成されると、次の 2 つの 証明書が信頼できる証明書ストアに自動的に追加されます。
-
CA 証明書( 自己署名証明書)
-
CA によって署名された RA 証明書(証明書要求のエージェントの 証明書)。
SCEP プロトコルでは、 これらの 2 つの証明書が RA によって登録デバイスに提供されている必要があります。 信頼できる証明書ストアにこの 2 つの証明書を配置すると、これらのノードの RA が使用するために、 証明書がすべての PSN ノードに複製されます。
注
SCEP RA プロファイルが削除されると、関連付けられている CA チェーンが信頼できる証明書ストアからも削除されます。
-
注 |
|
信頼できる証明書ストアの証明書
信頼できる証明書ストア は、次の信頼できる証明書で事前設定されています。製造業者証明書、ルート 証明書、 その他の信頼できる証明書。ルート証明書 (Cisco Root CA)は、製造業者(Cisco CA Manufacturing)証明書に署名します。 これらの証明書は、デフォルトでは無効になっています。展開で エンドポイントとして Cisco IP Phone を使用している場合は、これら 2 つの証明書を有効にして、この電話用に シスコが署名した証明書の認証ができるようにします。
[信頼できる証明書ストア(Trusted Certificate Store)] ページ
次の表では、管理ノードに追加された証明書を表示するために使用できる [信頼できる証明書ストア(Trusted Certificates Store)] ページのフィールドについて説明します。 このページへのナビゲーションパスは、[管理(Administration)] > [システム(System)] > [証明書(Certificates)] > [信頼できる証明書(Trusted Certificates)] です。
|
フィールド名 |
使用上のガイドライン |
|---|---|
|
フレンドリ名(Friendly Name) |
証明書の名前を表示します。 |
|
ステータス(Status) |
有効または無効にします。 [無効(Disabled)] の場合、ISE は信頼を確立するために証明書を使用しません。 |
|
信頼対象(Trusted for) |
証明書を使用するサービスを表示します。 |
|
発行先(Issued To) |
証明書のサブジェクトの一般名(CN)。 |
|
発行元(Issued By) |
証明書の発行元の一般名(CN)。 |
|
有効期限の開始(Valid From) |
「Not Before」証明書属性。 |
|
期限日(Expiration Date) |
「Not After」証明書属性。 |
|
有効期限ステータス(Expiration Status) |
証明書の有効期限のステータスに関する情報です。 このカラムに表示される情報メッセージには 5 つのアイコンとカテゴリ があります。
|
信頼できる証明書の命名の制約
CTL の信頼できる証明書には名前の制約の拡張が含まれている場合があります。この拡張は、証明書チェーンの後続のすべての 証明書のサブジェクト名とサブジェクト代替名フィールドの 値の名前空間を定義します。Cisco ISE は、ルート証明書で指定された制約 を検査しません。
次の名前 の制約がサポートされています。
-
ディレクトリ名
ディレクトリ名の制限は 、サブジェクト/SAN のディレクトリ名のプレフィクスです。次の例を参考にしてください。
-
正しいサブジェクト プレフィクス:
CA 証明書の名前 の制約:Permitted: O=Cisco
クライアント証明書のサブジェクト: O=Cisco,CN=Salomon
-
不正なサブジェクト プレフィクス:
CA 証明書の名前 の制約:Permitted: O=Cisco
クライアント証明書のサブジェクト: CN=Salomon,O=Cisco
-
-
DNS
-
E-mail
-
URI(URI の制約は、 http://、https://、ftp://、または ldap:// のような URI プレフィクスで始まる必要があります)。
次の名前の 制約はサポートされていません。
-
IP アドレス
-
Othername
信頼できる証明書 にサポートされていない制約が含まれており、 検証中の証明書に該当のフィールドが含まれていない場合は、Cisco ISE がサポートされない制約を検証できないため、その証明書は拒否されます。
信頼できる証明書内の名前の制約の定義例 を次に示します。
X509v3 Name Constraints: critical
Permitted:
othername:<unsupported>
email:.abcde.at
email:.abcde.be
email:.abcde.bg
email:.abcde.by
DNS:.dir
DirName: DC = dir, DC = emea
DirName: C = AT, ST = EMEA, L = AT, O = ABCDE Group, OU = Domestic
DirName: C = BG, ST = EMEA, L = BG, O = ABCDE Group, OU = Domestic
DirName: C = BE, ST = EMEA, L = BN, O = ABCDE Group, OU = Domestic
DirName: C = CH, ST = EMEA, L = CH, O = ABCDE Group, OU = Service Z100
URI:.dir
IP:172.23.0.171/255.255.255.255
Excluded:
DNS:.dir
URI:.dir
受け入れ可能なクライアント 証明書のサブジェクトは、次のように上記の定義に一致します。
Subject: DC=dir, DC=emea, OU=+DE, OU=OU-Administration, OU=Users, OU=X1, CN=cwinwell
信頼できるストア証明書の表示
[信頼できる証明書(Trusted Certificates)] ページに、Cisco ISE に追加されたすべての信頼できる証明書が一覧表示されます。 信頼できる証明書を表示するには、スーパー管理者またはシステム管理者である必要があります。
すべての証明書を表示するには、[管理(Administration)]を選択します。[信頼できる証明書(Trusted Certificates)] ページが表示され、すべての信頼できる証明書が一覧表示されます。
はじめる前に
次のタスクを実行するには、スーパー管理者またはシステム管理者である必要があります。
信頼できる証明書 ストアの証明書のステータス変更
証明書のステータスが有効になっている必要があります。これにより、Cisco ISE が信頼の確立にこの証明書を使用できるようになります。証明書が信頼できる証明書ストアにインポートされると、この証明書は 自動的に有効になります。
手順
| ステップ 1 |
[管理(Administration)]を選択します。 |
| ステップ 2 |
有効または無効にする証明書の隣にあるチェックボックスをオンにし、[編集(Edit)] をクリックします。 |
| ステップ 3 |
ステータスを変更します。 |
| ステップ 4 |
[保存(Save)] をクリックします。 |
信頼できる証明書ストアへの証明書の追加
[証明書ストア(Certificate Store)] ページを使用して、Cisco ISE に CA 証明書を追加することができます。
はじめる前に
-
次のタスクを実行するには、スーパー管理者またはシステム管理者である必要があります。
-
ブラウザ を実行しているコンピュータのファイルシステムに、証明書 ストアの証明書が存在することを確認します。証明書は PEM または DER 形式である必要があります。
-
管理者認証または EAP 認証に証明書を使用する場合は、基本 制約が証明書に定義され、CA フラグが true に設定されていることを確認します。
手順
| ステップ 1 |
[管理(Administration)]を選択します。 |
| ステップ 2 |
[インポート(Import)] をクリックします。 |
| ステップ 3 |
必要に応じてフィールドの値を設定します。 EAP 認証用または証明書ベースの管理者 認証用に証明書チェーンにサブ CA 証明書を使用する場合は、ルート CA までに証明書チェーンにすべての証明書をインポートする際に [クライアント認証およびsyslog用に信頼する(Trust for client authentication and Syslog)] チェックボックスを必ずオンにしてください。Cisco ISE 2.6 パッチ 1 以降では、同じサブジェクト名を持つ複数の CA 証明書をインポートできます。証明書ベースの管理者認証の場合は、信頼できる証明書を追加する際に、 [証明書ベースの管理者認証用に信頼する(Trust for certificate based admin authentication)] チェックボックスをオンにします。 パスワードベースの認証から証明書ベースの認証に認証タイプを変更すると、Cisco ISE は展開内の各ノードでアプリケーションサーバを再起動します。PAN のアプリケーションサーバから開始され、その後に各追加ノードが 1 つずつ続きます。 |
信頼できる証明書の編集
証明書 を信頼できる証明書ストアに追加したら、編集の 設定を使用して、その証明書をさらに編集できます。
はじめる前に
次のタスクを実行するには、スーパー管理者またはシステム管理者である必要があります。
手順
| ステップ 1 |
[管理(Administration)]を選択します。 |
| ステップ 2 |
編集する 証明書の横にあるチェックボックスをオンにして、[編集(Edit)] をクリックします。 |
| ステップ 3 |
必要に応じて編集可能なフィールドを変更します。 |
| ステップ 4 |
[保存(Save)] をクリックして、証明書ストアに対して行った 変更を保存します。 |
証明書設定の編集
次の表では、認証局(CA)証明書属性を編集するために使用できる [証明書ストアの証明書編集(Certificate Store Edit Certificate)] ページのフィールドについて説明します。 このページへのナビゲーションパスは、[管理(Administration)] > [システム(System)] > [証明書(Certificates)] > [信頼できる証明書(Trusted Certificates)] > [証明書(Certificate)] > [編集(Edit)] です。
|
フィールド名 |
使用上のガイドライン |
|---|---|
|
証明書発行元(Certificate Issuer) |
|
|
フレンドリ名(Friendly Name) |
証明書のフレンドリ名を入力します。 |
|
ステータス(Status) |
[有効(Enabled)] または [無効(Disabled)] を選択します。 [無効(Disabled)] の場合、ISE は信頼を確立するために証明書を使用しません。 |
|
説明 |
任意で説明を入力します。 |
|
使用方法 |
|
|
ISE 内の認証用に信頼する(Trust for authentication within ISE) |
この証明書で(他の ISE ノードまたは LDAP サーバから)サーバ証明書を検証する場合は、このチェックボックスをオンにします。 |
|
クライアント認証および syslog 用に信頼する(Trust for client authentication and Syslog) |
([ISE 内の認証用に信頼する(Trust for authentication within ISE)] チェックボックスをオンにした場合に限り適用可能)この証明書を使用して次を行う場合は、このチェックボックスをオンにします。
|
|
シスコ サービスの認証用に信頼する(Trust for authentication of Cisco Services) |
フィードサービスなどの外部シスコサービスを信頼するためにこの証明書を使用する場合は、このチェックボックスをオンにします。 |
|
証明書ステータスの検証(Certificate Status Validation) |
ISE は、特定の CA が発行するクライアントまたはサーバ証明書の失効ステータスをチェックする 2 とおりの方法をサポートしています。 1 つは、Online Certificate Status Protocol(OCSP)を使用して証明書を検証することです(OCSP は、CA によって保持される OCSP サービス に要求を行います)。もう 1 つは、ISE に CA からダウンロードした証明書失効リスト(CRL)に対して証明書を検証することです。 両方の方法は、OCSP を最初に使用し、ステータスを判断できないときに限り CRL を使用する場合に使用できます。 |
|
OCSP サービスに対して検証する(Validate Against OCSP Service) |
OCSP サービスに対して証明書を検証するには、このチェックボックスをオンにします。 このボックスをオンにするには、まず OCSP サービスを作成する必要があります。 |
|
OCSP が不明なステータスを返した場合は要求を拒否する(Reject the request if OCSP returns UNKNOWN status) |
認証ステータスが OCSP によって判別されなかった場合に要求を拒否するには、このチェックボックスをオンにします。 この チェックボックスをオンにした場合、OCSP サービスによって不明のステータス値が返されると、ISE は現在評価されているクライアントまたはサーバ証明書を拒否します。 |
|
OCSP応答側が到達不能な場合は要求を拒否する(Reject the request if OCSP Responder is unreachable) |
OCSP 応答側が到達不能な場合に ISE が要求を拒否するには、このチェックボックスをオンにします。 |
|
CRL のダウンロード(Download CRL) |
Cisco ISE で CRL をダウンロードするには、このチェックボックスをオンにします。 |
|
CRL 配信 URL(CRL Distribution URL) |
CA から CRL をダウンロードするための URL を入力します。 認証局証明書で指定されている場合、このフィールドは自動的に読み込まれます。URL は「http」、「https」、または「ldap」で始まる必要があります。 |
|
CRL の取得(Retrieve CRL) |
CRL は、自動的または定期的にダウンロードできます。 ダウンロードの時間間隔を設定します。 |
|
ダウンロードが失敗した場合は待機する(If download failed, wait) |
Cisco ISE が CRL を再度ダウンロードするまでに待機する時間間隔 を設定します。 |
|
CRL を受信しない場合 CRL 検証をバイパスする(Bypass CRL Verification if CRL is not Received) |
このチェックボックスをオンにした場合、クライアント要求は CRL が受信される前に受け入れられます。 この チェックボックスをオフにした場合、選択した CA によって署名された証明書を使用するすべてのクライアント要求は、Cisco ISE によって CRL ファイルが受信されるまで拒否されます。 |
|
CRL がまだ有効でないか、または期限切れの場合は無視する(Ignore that CRL is not yet valid or expired) |
Cisco ISE で開始日と期限日を無視し、まだアクティブでないかまたは期限切れの CRL を引き続き使用し、CRL の内容に基づいて EAP-TLS 認証を許可または拒否する場合は、このチェックボックスをオンにします。 Cisco ISE で [有効日(Effective Date)] フィールドの開始日と [次の更新(Next Update)] フィールドの期限日を CRL ファイルでチェックする場合は、このチェックボックスをオフにします。CRL がまだアクティブではないか、または期限切れの場合、その CA によって署名された証明書を使用するすべての認証は拒否されます。 |
信頼できる 証明書の削除
今後使用しない信頼できる証明書を削除できます。ただし、ISE 内部 CA(認証局)の証明書は削除しないでください。ISE 内部 CA 証明書を削除できるのは、展開全体の ISE ルート証明書チェーンを置き換える場合のみです。
手順
| ステップ 1 |
[管理(Administration)]を選択します。 |
| ステップ 2 |
削除する 証明書の隣にあるチェックボックスをオンにし、[削除(Delete)] をクリックします。 警告メッセージが表示されます。ISE 内部 CA 証明書を削除することを選択した場合は、次のとおりにクリックします。
|
| ステップ 3 |
[はい(Yes)] をクリックして、証明書を削除します。 |
信頼できる証明書ストアからの証明書のエクスポート
はじめる前に
次のタスクを実行するには、スーパー管理者またはシステム管理者である必要があります。
注 |
内部 CA から証明書をエクスポートし、そのエクスポートを使用してバックアップから復元する場合は、
CLI コマンド |
手順
| ステップ 1 |
[管理(Administration)]を選択します。。 |
| ステップ 2 |
エクスポートする 証明書の隣にあるチェックボックスをオンにし、[エクスポート(Export)] をクリックします。 一度に 1 つの証明書のみをエクスポートできます。 |
| ステップ 3 |
クライアントブラウザを実行しているファイルシステムに Privacy Enhanced Mail ファイルを保存します。 |
信頼できる証明書 ストアへのルート証明書のインポート
ルート CA 証明書および中間 CA 証明書をインポートするとき、 信頼できる CA 証明書を使用する対象のサービスを指定できます。
はじめる前に
CSR に署名し、デジタルで署名された CA 証明書を返した認証局 のルート 証明書および他の中間証明書が必要です。
手順
| ステップ 1 |
[管理(Administration)]を選択します。 |
| ステップ 2 |
[インポート(Import)] をクリックします。 |
| ステップ 3 |
表示された [証明書ストアへの新しい証明書のインポート(Import a new Certificate into the Certificate Store)] ウィンドウで、[ファイルの選択(Choose File)] をクリックし、CA によって署名され、返されたルート CA 証明書を選択します。 |
| ステップ 4 |
わかりやすい名前を入力します。 わかりやすい名前を入力しないと、Cisco ISE により、このフィールドには、common-name#issuer#nnnnn 形式(nnnnn は一意の番号)で名前が自動的に入力されます。再度証明書を編集して、わかりやすい名前を変更できます。
|
| ステップ 5 |
この信頼できる証明書を使用するサービスの横にあるチェックボックスをオンにします。 |
| ステップ 6 |
(任意)[説明(Description)] フィールドに証明書の説明を入力します。 |
| ステップ 7 |
[送信(Submit)] をクリックします。 |
次の作業
信頼できる証明書ストアに 中間 CA 証明書をインポートします( 該当する場合)。
信頼できる証明書のインポート設定
次の表では、認証局(CA)証明書を Cisco ISE に追加するために使用できる [信頼できる証明書のインポート(Trusted Certificate Import)] ページのフィールドについて説明します。 このページへのナビゲーションパスは、[管理(Administration)] > [システム(System)] > [証明書(Certificates)] > [信頼できる証明書(Trusted Certificates)] > [インポート(Import)] です。
|
フィールド |
説明 |
|---|---|
|
証明書ファイル(Certificate file) |
[参照(Browse)] をクリックして、ブラウザを実行しているコンピュータから証明書ファイルを選択します。 |
|
フレンドリ名(Friendly Name) |
証明書のフレンドリ名を入力します。名前を指定しない場合は、Cisco ISE により <common name># <issuer># <nnnnn> の形式で自動的に名前が作成されます。<nnnnn> には一意の 5 桁の数値が入ります。 |
|
ISE 内の認証用に信頼する(Trust for authentication within ISE) |
この証明書を(他の ISE ノードまたは LDAP サーバから)サーバ証明書の検証に使用する場合は、このチェックボックスをオンにします。 |
|
クライアント認証および syslog 用に信頼する(Trust for client authentication and Syslog) |
([ISE 内の認証用に信頼する(Trust for authentication within ISE)] チェックボックスをオンにした場合に限り適用可能)この証明書を使用して次を行う場合は、このチェックボックスをオンにします。
|
|
シスコ サービスの認証用に信頼する(Trust for authentication of Cisco Services) |
フィードサービスなどの外部シスコサービスを信頼するためにこの証明書を使用する場合は、このチェックボックスをオンにします。 |
|
証明書の拡張の検証(Validate Certificate Extensions) |
([クライアント認証用に信頼する(Trust for client authentication)] オプションと [証明書拡張の検証を有効にする(Enable Validation of Certificate Extensions)] オプションの両方をオンにした場合のみ)「keyUsage」拡張が存在し、「keyCertSign」ビットが設定されていることと、CA フラグが true に設定された基本制約拡張が存在することを確認します。 |
|
説明 |
任意で説明を入力します。 |
証明書チェーンのインポート
証明書ストアから受信した証明書チェーンを含む単一のファイルから、複数の 証明書をインポートすることができます。ファイル内のすべての証明書は Privacy-Enhanced Mail(PEM)の形式であり、証明書は次の 順序に並べられている必要があります。
-
ファイル内の最後の証明書は、CA によって発行されたクライアントまたはサーバ証明書である必要があります。
-
先行するすべての証明書 は、ルート CA 証明書と、発行された証明書の 署名チェーンにあるいずれかの中間 CA 証明書である必要があります。
証明書チェーン のインポートは、次の 2 ステップのプロセスです。
-
管理者ポータルで信頼できる証明書ストアに証明書チェーン ファイルをインポートします。この操作により 、信頼できる 証明書ストアにある最後の 1 つを除き、すべての証明書がファイルからインポートされます。
-
CA 署名付き証明書のバインド操作を使用して証明書チェーン ファイルをインポートします。この操作により、 最後の証明書がローカル証明書としてファイルからインポートされます。
Cisco ISE ノード間通信の信頼できる 証明書のインストール
展開をセットアップする場合、セカンダリノードを登録する前に、 セカンダリノードの管理者証明書の検証に使用される適切な CA 証明書を PAN の 証明書信頼リスト(CTL)に配置する必要があります。PAN の CTL に入力する手順は、シナリオに応じて異なります。
-
セカンダリノードが 管理者ポータルとの通信に CA 署名付き証明書を使用する場合は、 セカンダリノードの CA 署名付き証明書、関連する 中間証明書(ある場合)、および( セカンダリノードの証明書に署名した CA の)ルート CA 証明書を PAN の CTL にインポートする必要があります。
-
セカンダリノードが 管理者ポータルとの通信に自己署名証明書を使用する場合は、 PAN の CTL にセカンダリノードの自己署名証明書をインポートできます。
注
-
登録されたセカンダリノードの 管理者証明書を変更する場合は、セカンダリノードの 管理者証明書の検証に使用できる 適切な CA 証明書を取得し、PAN の CTL にインポートする必要があります。
-
展開内でクライアントと PSN の間のセキュアな通信に自己署名証明書を使用する場合、BYOD ユーザが ある場所から別の場所に移動すると、EAP-TLS ユーザ認証は失敗します。 一部の PSN 間で提供される必要があるこのような認証要求の場合、外部で署名された CA 証明書を使用してクライアントと PSN の間の通信を保護するか、または外部の CA によって署名された ワイルドカード証明書を使用する必要があります。
-
外部 CA から発行された証明書に基本制約が定義されており、CA フラグが true に設定されていることを確認します。ノード間通信の CA 署名付き証明書をインストールするには、次の手順を実行します。これらのタスクの詳細については、『Cisco ISE Administrator Guide』の 「Basic Setup」の章を参照してください。
手順
| ステップ 1 |
証明書署名要求(CSR)を作成し、認証局に CSR を送信します。 |
| ステップ 2 |
信頼できる証明書ストアへのルート証明書をインポートします。 |
| ステップ 3 |
CSR に CA 署名付き証明書をバインドします。 |
Cisco ISE でのデフォルトの信頼できる証明書
Cisco ISE の信頼できる証明書ストア( [管理(Administration)])には、デフォルトで使用可能な証明書がいくつか含まれています。これらの証明書は、セキュリティ要件を満たすために ストアに自動的にインポートされます。ただし、これらすべてを使用する必要はありません。 次の表に記載されている場合を除き、すでに使用可能になっている証明書ではなく、自分で選択した証明書を使用できます。
|
信頼できる証明書の名前 |
シリアル番号(Serial Number) |
証明書の目的 |
証明書を含む Cisco ISE リリース |
|---|---|---|---|
|
Baltimore CyberTrust Root CA |
02 00 00 B9 |
この証明書は、一部の地域で cisco.com が使用する CA チェーン内のルート CA 証明書として機能することができます。また、この証明書 は、https://s3.amazonaws.com でホストされている ISE 2.4 のポスチャ/CP 更新 XML ファイルでも使用されていました。 |
リリース 2.4 以降。 |
|
DST Root CA X3 Certificate Authority |
44 AF B0 80 D6 A3 27 BA 89 30 39 86 2E F8 40 6B |
この証明書は、cisco.com が使用する CA チェーンのルート CA 証明書として機能することができます。 |
リリース 2.4 以降。 |
|
Thawte Primary Root CA |
34 4E D5 57 20 D5 ED EC 49 F4 2F CE 37 DB 2B 6D |
この証明書は、cisco.com と perfigo.com が使用する CA チェーンのルート CA 証明書として機能することができます。 |
リリース 2.4 以降。 |
|
VeriSign Class 3 Public Primary Certification Authority |
18 DA D1 9E 26 7D E8 BB 4A 21 58 CD CC 6B 3B 4A |
この証明書は、VeriSign Class 3 Secure Server CA-G3 のルート CA 証明書として機能します。 Cisco ISE でプロファイラ フィード サービスを設定する場合は、この証明書を使用する必要があります。 |
リリース 2.4 以降。 |
|
VeriSign Class 3 Secure Server CA - G3 |
6E CC 7A A5 A7 03 20 09 B8 CE BC F4 E9 52 D4 91 |
これは、2020 年 2 月 7 日に期限切れになる中間 CA 証明書です。この証明書を更新する必要はありません。 証明書を削除するには、下記のタスクを実行します。 |
リリース 2.4 以降。 |
|
Cisco CA Manufacturing |
6A 69 67 B3 00 00 00 00 00 03 |
この証明書は、Cisco ISE に接続している特定のシスコデバイスが使用する場合があります。この証明書はデフォルトでは無効になっています。 |
リリース 2.4 および 2.6。 |
|
Cisco Manufacturing CA SHA2 |
02 |
この証明書は、管理者認証、エンドポイント認証、および展開インフラストラクチャ フローの CA チェーン内で使用できます。 |
リリース 2.4 以降。 |
|
Cisco Root CA 2048 |
5F F8 7B 28 2B 54 DC 8D 42 A3 15 B5 68 C9 AD FF |
この証明書は、Cisco ISE に接続している特定のシスコデバイスが使用することができます。この証明書はデフォルトでは無効になっています。 |
リリース 2.4 以降。 |
|
Cisco Root CA M2 |
01 |
この証明書は、管理者認証、エンドポイント認証、および展開インフラストラクチャ フローの CA チェーン内で使用できます。 |
リリース 2.4 以降。 |
|
DigiCert Root CA |
02 AC 5C 26 6A 0B 40 9B 8F 0B 79 F2 AE 46 25 77 |
Facebook を使用したゲストログインを使用しているフローには、この証明書を使用する必要があります。 |
リリース 2.4 以降。 |
|
DigiCert SHA2 High Assurance Server CA |
04 E1 E7 A4 DC 5C F2 F3 6D C0 2B 42 B8 5D 15 9F |
Facebook を使用したゲストログインを使用しているフローには、この証明書を使用する必要があります。 |
リリース 2.4 以降。 |
|
HydrantID SSL ICA G2 |
75 17 16 77 83 D0 43 7E B5 56 C3 57 94 6E 45 63 B8 EB D3 AC |
シスコサービスで信頼されています。 |
リリース 2.4 および 2.6。 |
|
QuoVadis Root CA 2 |
05 09 |
この証明書は、プロファイラ、ポスチャ、およびクライアント プロビジョニング フロー内で使用する必要があります。 |
リリース 2.4 以降。 |
|
Cisco ECC Root CA |
01 |
この証明書は、Cisco ISE で使用されるシスコの信頼ルートストアバンドルの一部です。 |
リリース 2.6。 |
|
Cisco Licensing Root CA |
01 |
この証明書は、Cisco ISE で使用されるシスコの信頼ルートストアバンドルの一部です。 |
リリース 2.6 以降。 |
|
Cisco Root CA 2099 |
01 9A 33 58 78 CE 16 C1 C1 |
この証明書は、Cisco ISE で使用されるシスコの信頼ルートストアバンドルの一部です。 |
リリース 2.6 以降。 |
|
Cisco Root CA M1 |
2E D2 0E 73 47 D3 33 83 4B 4F DD 0D D7 B6 96 7E |
この証明書は、Cisco ISE で使用されるシスコの信頼ルートストアバンドルの一部です。 |
リリース 2.6 以降。 |
|
Cisco RXC-R2 |
01 |
この証明書は、Cisco ISE で使用されるシスコの信頼ルートストアバンドルの一部です。 |
リリース 2.6 以降。 |
|
DigiCert Global Root CA |
08 3B E0 56 90 42 46 B1 A1 75 6A C9 59 91 C7 4A |
この証明書は、Cisco ISE で使用されるシスコの信頼ルートストアバンドルの一部です。 |
リリース 2.6 以降。 |
|
Cisco ECC Root CA 2099 |
03 |
この証明書は、Cisco ISE で使用されるシスコの信頼ルートストアバンドルの一部です。 |
リリース 2.6 以降。 |
Cisco ISE からのデフォルトの信頼できる証明書の削除
-
すべての信頼できる証明書を表示するには、[管理(Administration)]に移動します。
-
削除する証明書をエクスポートして保存します。これにより、必要に応じて再度インポートできるようになります。
エクスポートする証明書のチェックボックスをクリックし、上にあるメニューバーの [エクスポート(Export)] をクリックします。キーチェーンがシステムにダウンロードされます。
-
証明書を削除します。削除する証明書のチェックボックスをクリックし、上にあるメニューバーの [削除(Delete)] をクリックします。CA チェーン、セキュアな syslog、 またはセキュアな LDAP によって使用されている場合は、その証明書を削除することはできません。
-
CA チェーン、セキュアな syslog、および それが含まれている syslog から証明書を削除するために必要な設定変更を行ってから、証明書を削除します。
-
証明書が削除されたら、関連するサービス(証明書の目的を参照)が 想定どおりに動作していることを確認します。
証明書署名要求
認証局 (CA)が署名付き証明書を発行するためには、証明書署名 要求(CSR)を作成して CA に送信する必要があります。
自分が作成した証明書 署名要求(CSR)のリストは、[証明書署名要求(Certificate Signing Requests)] ページで使用できます。認証局(CA)から署名を取得するには、 CSR をエクスポートし、その証明書を CA に送信する必要があります。証明書は CA によって署名され、 返されます。
管理者ポータルから 証明書を一元的に管理できます。展開内のすべてのノード の CSR を作成およびエクスポートできます。その後、CSR を CA に送信し、 CA から CA 署名付き証明書を取得し、CA によって返されたルートおよび中間 CA 証明書を信頼できる証明書ストアにインポートし、 CSR に CA 署名付き証明書をバインドする必要があります。
証明書 署名要求の作成と認証局への CSR の送信
証明書署名要求(CSR)を生成して、展開内の ノードの CA 署名付き証明書を取得できます。 展開の選択ノードまたは展開のすべてのノード用の CSR を生成できます。
手順
| ステップ 1 |
[管理(Administration)]を選択します。 |
| ステップ 2 |
CSR を生成するための値を入力します。各フィールドの詳細については、「証明書署名要求の設定」を参照してください。 |
| ステップ 3 |
[生成(Generate)] をクリックして CSR を生成します。 CSR が 生成されます。 |
| ステップ 4 |
[Export(エクスポート)] をクリックして、メモ帳で CSR を開きます。 |
| ステップ 5 |
「-----BEGIN CERTIFICATE REQUEST-----」から「-----END CERTIFICATE REQUEST-----」までのすべての テキストをコピーします。 |
| ステップ 6 |
選択した CA の証明書要求に、この CSR の 内容を貼り付けます。 |
| ステップ 7 |
署名済みの証明書をダウンロードします。 CA によっては、署名付き証明書が電子メールで送信される場合があります。署名付き証明書は、zip ファイルの形式で、Cisco ISE の信頼された証明書ストアに追加する必要がある、 新規発行の証明書と CA のパブリック署名証明書が含まれています。デジタル署名された CA 証明書、ルート CA 証明書、および他の中間 CA 証明書 (該当する場合)がクライアントブラウザを実行するローカルシステムにダウンロードされます。 |
CSR への CA 署名付き証明書のバインド
CA からデジタル 署名付き証明書を受け取った後、それを証明書 署名要求(CSR)にバインドする必要があります。管理者ポータルから 展開内のすべてのノードに対してバインド操作を実行できます。
はじめる前に
-
デジタル署名付き証明書、および関連する ルート中間 CA 証明書を CA から受け取る必要があります。
-
関連するルートおよび中間 CA 証明書を信頼できる証明書ストアにインポートします([管理(Administration)])。
手順
| ステップ 1 |
[管理(Administration)]を選択します。 CA 署名付き証明書に CSR をバインドするノードの隣にあるチェックボックスをオンにします。 |
||
| ステップ 2 |
[バインド(Bind)] をクリックします。 |
||
| ステップ 3 |
[参照(Browse)] をクリックし、 CA 署名付き証明書を選択します。 |
||
| ステップ 4 |
証明書の [わかりやすい名前(Friendly Name)] を指定します。 |
||
| ステップ 5 |
Cisco ISE に証明書の拡張の検証を許可する場合は、[証明書の拡張の検証(Validate Certificate Extensions)] チェックボックスをオンにします。 [証明書の拡張の検証(Validate Certificate Extensions)] オプションが有効になっており、インポートする証明書に CA フラグが true に設定された基本制約拡張が含まれている場合は、 キー使用拡張が存在すること、および keyEncipherment ビットと keyAgreement ビットのいずれかまたは両方が設定されていることを確認します。
|
||
| ステップ 6 |
この証明書が使用領域で使用される サービスを確認します。 この情報は、CSR の生成時に [使用方法(Usage)] オプションを有効にした場合は自動入力されます。 証明書のバインディング時に使用方法を指定しない場合は、[使用方法(Usage)] オプションをオフにします。後で
証明書を編集し、使用方法を指定できます。
プライマリ PAN 上の管理者ロール証明書の証明書を変更すると、他のすべてのノード上のサービスが再起動されます。プライマリ管理ノード(PAN)の再起動が完了すると、システムによって 一度に 1 つのノードが再起動されます。 |
||
| ステップ 7 |
[送信(Submit)] をクリックし、 CA 署名付き証明書をバインドします。 Cisco ISE ノード間通信にこの証明書を使用するように選択した場合、Cisco ISE ノードでアプリケーションサーバが再起動されます。 他のノードで CA 署名付き証明書に CSR をバインドするために、この プロセスを繰り返します。 |
次の作業
証明書署名要求のエクスポート
このページを使用して、 証明書署名要求をエクスポートすることができます。
はじめる前に
次のタスクを実行するには、スーパー管理者またはシステム管理者である必要があります。
手順
| ステップ 1 |
[管理(Administration)]を選択します。 |
| ステップ 2 |
エクスポートする 証明書の隣にあるチェックボックスをオンにし、[エクスポート(Export)] をクリックします。 |
| ステップ 3 |
[OK] をクリックして、クライアントブラウザを実行しているファイルシステムに ファイルを保存します。 |
証明書署名要求の設定
Cisco ISE では、1 つの要求で、管理者ポータルから展開内の すべての ノードの CSR を生成することができます。 また、展開内の単一ノードまたは 複数 両方の ノードのどちらの CSR を生成するのか選択することもできます。単一ノードの CSR を生成する場合、ISE は証明書サブジェクトの [CN=] フィールドの特定ノードの完全修飾ドメイン名(FQDN)を自動的に置き換えます。 証明書の [サブジェクト代替名(Subject Alternative Name (SAN))] フィールドにエントリを含めることを選択した場合、他の SAN 属性に加えて ISE ノードの FQDN を入力する必要があります。 展開内のすべてのノードの CSR を生成することを選択した場合は、[ワイルドカード証明書の許可(Allow Wildcard Certificates)] チェックボックスをオンにして、[SAN] フィールド(DNS 名)にワイルドカード表記で FQDN を入力します(*.amer.example.com など)。 EAP 認証に証明書を使用する場合は、[CN=] フィールドにワイルドカード値を入力しないでください。
ワイルドカード証明書を使用することにより、各 Cisco ISE ノードに固有の証明書を生成する必要がなくなります。 また、証明書の警告を防ぐために、SAN フィールドに複数の FQDN 値を入力する必要もありません。 SAN フィールドでアスタリスク(*)を使用すると、展開内の複数の両方のノードで単一の証明書を共有できるようになり、証明書名の不一致による警告を防止することができます。 ただし、ワイルドカード証明書は、各 Cisco ISE ノードに固有のサーバ証明書を割り当てる場合よりも安全性が低いと見なされます。
次の 表に、 認証局 (CA)が署名可能な証明書署名要求(CSR)の生成に使用できる [証明書署名要求(Certificate Signing Request)] ページのフィールドを示します。このページへのナビゲーション パスは、[管理(Administration)] > [システム(System)] > [証明書(Certificates)] > [証明書管理(Certificate Management)] > [証明書署名要求(Certificate Signing Request)] です。
| フィールド | 使用上のガイドライン | ||||
|---|---|---|---|---|---|
|
証明書の用途(Certificate(s) will be used for) |
証明書を使用するサービスを選択します。 Cisco ISE ID 証明書
Cisco ISE 認証局 証明書
|
||||
|
ワイルドカード証明書の許可(Allow Wildcard Certificates) |
証明書の [SAN] フィールドの CN/DNS 名にワイルドカード文字(*)を使用するには、このチェックボックスをオンにします。 このチェックボックスをオンにすると、 展開内のすべてのノードが自動的に選択されます。左端のラベルの位置にアスタリスク(*)ワイルドカード文字を使用する必要があります。 ワイルドカード証明書を使用する場合は、セキュリティを強化するためにドメイン領域を分割することを推奨します。 たとえば、*.example.com の代わりに *.amer.example.com を使用して領域を分割することができます。 ドメインを分割しないと、セキュリティ問題が発生する可能性があります。 |
||||
|
これらのノードの CSR の生成(Generate CSRs for these Nodes) |
証明書を生成するノードの隣のチェックボックスをオンにします。 展開内の選択されたノードの CSR を生成するには、 [ワイルドカード証明書の許可(Allow Wildcard Certificates)] オプションをオフにします。 |
||||
|
一般名(Common Name)(CN) |
デフォルトでは、一般名は CSR を生成する ISE ノードの FQDN です。 $FQDN$ は ISE ノードの FQDN を意味します。展開内の複数ノードの CSR を生成すると、CSR の [一般名(Common Name)] フィールドは各 ISE ノードの FQDN に置き換えられます。 |
||||
|
組織 |
組織ユニット名。Engineering など。 |
||||
|
組織(Organization)(O) |
組織名。Cisco など。 |
||||
|
都市(City)(L) |
(省略不可)都市名。 San Jose など。 |
||||
|
州(State)(ST) |
(省略不可)州名。 California など。 |
||||
|
国(Country)(C) |
国 名。2 文字の ISO 国番号を入力する必要があります。US など。 |
||||
|
サブジェクト代替名(Subject Alternative Name)(SAN) |
証明書に関連付けられている IP アドレス、DNS 名、Uniform Resource Identifier(URI)、またはディレクトリ名。
|
||||
|
キー タイプ |
RSA または ECDSA の公開キーの作成に使用するアルゴリズムを指定します。 |
||||
|
キーの長さ(Key Length) |
公開キーのビット サイズを指定します。 RSA には、次のオプションを使用できます。
ECDSA には、次のオプションを使用できます。
パブリック CA 署名付き証明書を取得する予定の場合は、 2048 以上を選択します。 |
||||
|
署名するダイジェスト(Digest to Sign With) |
ハッシュアルゴリズム SHA-1 または SHA-256 を選択します。 |
||||
|
証明書ポリシー(Certificate Policies) |
証明書が従うべき証明書ポリシーの OID または OID のリストを入力します。 OID を区切るには、カンマまたはスペースを使用します。 |
ポータルで使用する証明書 のセットアップ
Web ポータル要求を処理できる展開に複数のポリシーサービスノード(PSN)がある場合、Cisco ISE には一意の ID が必要です。この ID で、 ポータルの通信に使用する必要がある証明書を識別します。 ポータルでの使用に指定された証明書を追加またはインポートする場合、 証明書グループタグを定義して、それを展開内の 各ノードの対応する証明書に関連付ける必要があります。この証明書グループタグを 対応するエンドユーザポータル(ゲスト、スポンサー、およびパーソナルデバイス ポータル)に関連付ける必要があります。この証明書グループタグは一意の ID で、Cisco ISE が 各ポータルと通信する際に使用する必要がある証明書を識別する場合に役立ちます。 ポータルごとに各ノードから 1 つの証明書を指定できます。
注 |
Cisco ISE は TCP ポート 8443(またはポータルが使用するように設定したポート)でポータル証明書を提示します。 |
手順
| ステップ 1 |
すでに定義済みの証明書グループ タグを選択するか、ポータル用に新しく作成する必要があります。たとえば、mydevicesportal などです。 |
| ステップ 2 | |
| ステップ 3 |
CA 署名付き証明書へのデフォルトの ポータル証明書グループタグの再割り当て
デフォルトでは、すべての Cisco ISE ポータルは自己署名証明書を使用します。ポータルに CA 署名付き証明書を使用する場合は、デフォルトのポータル 証明書グループタグを CA 署名付き証明書に割り当てることができます。既存の CA 署名付き証明書を使用するか、または CSR を生成して、ポータルに使用する新しい CA 署名付き証明書 を取得できます。1 つの証明書から 別の証明書にポータルグループタグを再割り当てすることができます。
注 |
既存の証明書を編集する場合、証明書に関連付けられているポータルタグ(ゲスト) がいずれかの ポータルですでに使用されている場合は、デフォルトのポータル証明書グループタグまたは 他のポータルグループタグをこの証明書に再割り当てすることはできません。「ゲスト」ポータルタグを使用している ポータルのリストが表示されます。 |
次に、CA 署名付き証明書にデフォルトのポータル 証明書グループタグを再割り当てする手順について説明します。
手順
| ステップ 1 |
[管理(Administration)] を選択します。 このタグを使用する ポータルのリストを表示するには、デフォルトのポータル証明書グループタグの横にある i アイコンにマウスポインタを合わせます。このタグが割り当てられているポータル証明書がある 展開内の ISE ノードを表示することもできます。 |
| ステップ 2 |
ポータルに使用する CA 署名付き証明書の横にあるチェック ボックスをオンにして、 [編集(Edit)] をクリックします。 いずれのポータルでも使用されていない CA 署名付き証明書を選択してください。 |
| ステップ 3 |
[使用方法(Usage)] 領域で、[ポータル(Portal)] チェックボックスをオンにして、デフォルトのポータル 証明書グループタグを選択します。 |
| ステップ 4 |
[保存(Save)] をクリックします。 警告 メッセージが表示されます。 |
| ステップ 5 |
[はい(Yes)] をクリックして、CA 署名付き証明書にデフォルトのポータル証明書グループ タグを再割り当てします。 |
ノード登録前のポータル 証明書タグの関連付け
展開内のすべてのポータルに 「デフォルトポータル証明書グループ」タグを使用する場合は、 新しい ISE ノードを登録する前に、関連する CA 署名付き証明書をインポートし、サービスとして「ポータル」を選択し、この証明書に「デフォルト ポータル証明書グループ」タグを関連付けます。
展開に新しい ノードを追加すると、デフォルトの自己署名証明書が 「デフォルトポータル証明書グループ」タグに関連付けられ、 このタグを使用するようにポータルが設定されます。
新しいノードの登録後、証明書グループタグの関連付けは変更できません。したがって、 展開にノードを登録する前に、次を実行してください。
手順
| ステップ 1 |
自己署名証明書を作成し、サービスとして「ポータル」を選択し、別の 証明書グループタグ(たとえば、tempportaltag)を割り当てます。 |
||||||||
| ステップ 2 |
新しく作成した証明書グループタグ (tempportaltag)を使用するように ポータル設定を変更します。 |
||||||||
| ステップ 3 |
デフォルト 自己署名証明書を編集し、ポータルロールを削除します。 このオプションは、 デフォルトポータル証明書グループタグとデフォルト 自己署名証明書との関連付けを削除します。 |
||||||||
| ステップ 4 |
次のいずれか を実行します。
|
||||||||
| ステップ 5 |
展開に ISE ノードを登録します。 展開内の
ポータル構成は「デフォルトポータル
証明書グループ」タグに設定され、ポータルは
新しいノードの「デフォルトポータル証明書グループ」タグに関連付けられた CA 署名付き
証明書を使用するように設定されます。
|
ユーザおよびエンドポイントの 証明書の更新
デフォルトでは、Cisco ISE は証明書が期限切れになったデバイスからの要求を拒否します。 ただし、このデフォルト動作を変更し、このような要求を処理し、 ユーザに証明書の更新を求めるように ISE を設定できます。
ユーザが証明書を更新することを許可する場合は、 要求をさらに処理する前に証明書が更新されたかどうかを判断する 認証ポリシールールを設定することを推奨します。証明書が期限切れになったデバイス からの要求を処理することで、潜在的なセキュリティ脅威が発生する可能性があります。 組織のセキュリティが侵害されていないことを保証するには、 適切な認証プロファイルおよびルールを設定する必要があります。
あるデバイスは 有効期限の前後に証明書を更新できます。ただし、Windows デバイスでは、期限切れになる前にだけ証明書を更新できます。Apple iOS、Mac OSX、および Android デバイスでは、 有効期限の前または後に証明書を更新できます。
ポリシー条件で証明書更新に使用されるディクショナリ 属性
Cisco ISE 証明書ディクショナリには、ユーザに証明書更新を許可するポリシー条件で使用される次の属性 が含まれます。
-
[有効期限までの日数(Days to Expiry)]:この属性は、 証明書が有効な日数を指定します。この属性を使用して、 認証ポリシーで使用できる条件を作成できます。この属性には、 0 ~ 15 の値を指定できます。0 の値は、証明書の有効期限がすでに 切れていることを示します。1 の値は、証明書の 有効期限が切れるまで 1 日未満であることを示します。
-
[有効期限切れ(Is Expired)]:このブール属性は、証明書が 有効期限切れかどうかを示します。 証明書の有効期限が近く、有効期限切れではない場合にのみ証明書更新を許可する場合は、 認証ポリシー条件でこの属性を使用します。
証明書更新用の許可ポリシー 条件
認証ポリシーで CertRenewalRequired の単純条件( デフォルトで使用可能)を使用すると、Cisco ISE が要求を処理する前に証明書(有効期限切れまたはまもなく 有効期限が切れる)を更新できます。
証明書を更新するための CWA リダイレクト
ユーザ証明書が期限切れになる前に失効している場合、Cisco ISE は、CA がパブリッシュした CRL をチェックして認証要求を拒否します。 失効した証明書の期限が切れている場合は、CA が CRL でこの証明書をパブリッシュしない可能性があります。このシナリオでは、失効した証明書 が Cisco ISE によって更新される可能性があります。このことを避けるために、証明書を更新する前に、 要求が中央 Web 認証(CWA)にリダイレクトされ、完全 認証が実行されるようにします。 CWA のユーザをリダイレクトするには、認証プロファイルを作成する必要があります。
ユーザによる証明書の更新を許可する Cisco ISE の設定
ユーザが証明書を更新できるように Cisco ISE を設定するには、 この手順で示すタスクを実行する必要があります。
はじめる前に
WLC で制限されたアクセス ACL を設定して、CWA 要求をリダイレクトします。
手順
| ステップ 1 | |
| ステップ 2 | |
| ステップ 3 | |
| ステップ 4 |
許可される プロトコルの設定の更新
手順
| ステップ 1 |
[ポリシー(Policy)] を選択します。 |
| ステップ 2 |
PEAP および EAP-FAST プロトコルの EAP-TLS プロトコルおよび EAP-TLS 内部方式下の [認証ポリシーの証明書更新を可能にするために失効した証明書の認証を許可(Allow Authentication of expired certificates to allow certificate renewal in Authorization Policy)] チェックボックスをオンにします。 EAP-TLS プロトコルを使用する要求が NSP フローを通過します。 PEAP および EAP-FAST プロトコルについては、要求を処理するように Cisco ISE 向け Cisco AnyConnect を手動で設定する必要があります。 |
| ステップ 3 |
[送信(Submit)] をクリックします。 |
次の作業
CWA リダイレクションの 認証ポリシープロファイルの作成
はじめる前に
WLC で制限されたアクセス ACL が設定されていることを確認します。
手順
| ステップ 1 |
[ポリシー(Policy)] を選択します。 |
| ステップ 2 |
[追加(Add)] をクリックします。 |
| ステップ 3 |
認証プロファイルの名前を入力します。たとえば、CertRenewal_CWA です。 |
| ステップ 4 |
[共通タスク(Common Tasks)] 領域の [Webリダイレクション(CWA、DRW、MDM、NSP、CPP)(Web Redirection (CWA, DRW, MDM, NSP, CPP))] チェックボックスをオンにします。 |
| ステップ 5 |
ドロップダウンリストの [中央集中Web認証(Centralized Web Auth)] および制限されたアクセス ACL を選択します。 |
| ステップ 6 |
[証明書更新メッセージの表示(Display Certificates Renewal Message)] チェックボックスをオンにします。 url-redirect 属性値が変更され、この値に 証明書が有効である日数が含まれます。 |
| ステップ 7 |
[送信(Submit)] をクリックします。 |
注 |
Cisco ISE 1.2 で 無線デバイスの次のデバイス登録 WebAuth(DRW)ポリシーを設定している場合:
ISE 1.3 以上のバージョンにアップグレードした後は、DRW-Allow ポリシー条件を 次のように更新する必要があります。
|
次の作業
証明書を更新する 認証ポリシールールの作成
はじめる前に
中央 Web 認証リダイレクションの認証プロファイルが作成されていることを確認します。
[管理(Administration)] でポリシーセットを有効にします。
手順
| ステップ 1 |
[ワークセンター(Work Centers)] の順に選択します。 |
| ステップ 2 |
[上を作成(Create Above)] をクリックします。 |
| ステップ 3 |
新しいルールの名前を入力します。 |
| ステップ 4 |
次の単純条件と結果を選択します。 CertRenewalRequired EQUALS True の場合は、 権限用に以前に作成した認証プロファイル(CertRenewal_CWA)を選択します。 |
| ステップ 5 |
[保存(Save)] をクリックします。 |
次の作業
証明書が期限切れになったデバイスを持つ 企業ネットワークにアクセスした場合は、[更新(Renew)] をクリックして、デバイスを再設定します。
ゲスト ポータルでの BYOD 設定の有効化
ユーザがパーソナル デバイス証明書を更新できるようにするには、選択したゲスト ポータルで BYOD 設定を有効にする必要があります。
手順
| ステップ 1 |
[ワークセンター(Work Center)]を選択します。
|
| ステップ 2 |
[BYOD設定(BYOD Settings)] から [従業員にネットワークでのパーソナルデバイスの使用を許可する(Allow employees to use personal devices on the network)] チェックボックスをオンにします。 |
| ステップ 3 |
[保存(Save)] をクリックします。 |
Apple iOS デバイスの証明書更新の 失敗
ISE を使用して Apple iOS デバイスのエンドポイント証明書を更新する場合、エラーメッセージ「プロファイル済みでインストールできませんでした(Profiled Failed to Install)」が表示される場合があります。このエラー メッセージは、同じポリシーサービスノード(PSN)または別の PSN で、期限切れ間近または期限切れのネットワークプロファイルが 更新のプロセス時に使用されるものとは 異なる管理者 HTTPS 証明書によって署名されている場合に表示されます。
回避策としては、展開内のすべての PSN で管理者 HTTPS 用にマルチドメイン SSL 証明書( 通称 Unified Communications Certificates(UCC))またはワイルドカード 証明書を使用します。
証明書のステータス(OCSP または CRL)の確認
Cisco ISE は、証明書失効リスト(CRL)を定期的にチェックします。 このページを使用して、自動的にダウンロードされた CRL に対して進行中のセッションをチェックするように Cisco ISE を設定できます。OCSP または CRL のチェックを毎日開始する時刻と、OCSP サーバまたは CRL を再度チェックする前に Cisco ISE が待機する時間間隔を時間単位で指定できます。
次の表では、[証明書定期チェックの設定(Certificate Periodic Check Settings)] ページのフィールドについて説明します。このページを使用して、証明書(OCSP または CRL)のステータスをチェックする時間間隔を指定できます。 このページへのナビゲーションパスは、[管理(Administration)] > [システム(System)] > [証明書(Certificates)] > [証明書管理(Certificate Management)] > [証明書定期チェックの設定(Certificate Periodic Check Settings)] です。
| フィールド名 | 使用上のガイドライン |
|---|---|
|
証明書チェックの設定 |
|
|
自動的に取得されたCRLに対する進行中のセッションのチェック(Check ongoing sessions against automatically retrieved CRL) |
Cisco ISE が自動的にダウンロードされた CRL に対する進行中のセッションをチェックするようにするには、このチェックボックスをオンにします。 |
|
CRL/OCSP の定期的な証明書チェック |
|
|
最初のチェック時刻(First check at) |
CRL または OCSP のチェックを 毎日開始する時刻を指定します。00:00 ~ 23:59 の時間範囲の値を入力します。 |
|
チェック間隔(Check every) |
CRL または OCSP サーバを再度チェックする前に Cisco ISE が待機する時間間隔を時間単位で指定します。 |
Cisco ISE CA サービス
証明書は、自己署名したり、外部の認証局(CA)がデジタルで署名したりできます。Cisco ISE 内部認証局(ISE CA)は、従業員が企業ネットワークでパーソナルデバイスを使用できるように、一元的な コンソールからエンドポイントのデジタル証明書を発行し、管理します。 CA 署名付きデジタル証明書は、業界標準であり、よりセキュアです。プライマリ PAN は、ルート CA です。ポリシー サービス ノード(PSN)は、プライマリ PAN の下位 CA です(SCEP RA)。 ISE CA には次の機能があります。
-
証明書 の発行:ネットワークに接続するエンドポイント の証明書署名要求(CSR)を検証し、署名します。
-
キー管理:PAN ノードと PSN ノードの両方でキーと証明書を生成し、セキュアに保存します。
-
証明書 ストレージ:ユーザやデバイスに発行された証明書を保存します。
-
Online Certificate Status Protocol(OCSP)サポート:OCSP 応答側に証明書の 有効性を確認する手段を提供します。
CA サービスがプライマリ管理ノードで無効になっている場合でも、CA サービスはセカンダリ 管理ノードの CLI で実行中として表示されます。理想的には、CA サービスは無効として表示される必要があります。これは、Cisco ISE の既知の問題です。
管理ノードとポリシーサービスノードでプロビジョニングされる ISE CA 証明書
インストール後に、 Cisco ISE ノードはルート CA 証明書およびノード CA 証明書でプロビジョニングされ、エンドポイントの証明書が管理されます。
展開をセットアップすると、プライマリ管理ノード (PAN)として指定したノードがルート CA になります。PAN には、ルート CA 証明書と、ルート CA によって署名されたノード CA 証明書があります。
PAN に セカンダリ管理ノードを登録すると、ノード CA 証明書が生成され 、プライマリ管理ノードでルート CA によって署名されます。
PAN に登録したポリシーサービス ノード(PSN)には、エンドポイント CA と、PAN のノード CA によって署名された OCSP 証明書がプロビジョニングされます。ポリシーサービスノード (PSN)は、PAN の下位 CA です。ISE CA を使用すると、PSN のエンドポイント CA によってネットワークにアクセスするエンドポイントに証明書が発行されます。
ISE CA チェーン の再生成
Cisco ISE CA チェーンを再生成すると、ルート CA、ノード CA、 およびエンドポイント CA 証明書を含むすべての証明書が再生成されます。PAN または PSN のドメイン名またはホスト名を変更すると、ISE CA チェーンを再生する必要があります。 以前のリリースから 2.0 以降にアップグレードするときには、2 つのルート階層から 1 つの ルート階層に移行するように ISE CA チェーンを再生成することをお勧めします。
システム証明書を再生成すると、ルート CA または中間 CA 証明書のいずれでも、ISE メッセージングサービスが再起動して 新しい証明書チェーンがロードされます。監査ログは、ISE メッセージングサービスが再び利用可能になるまで失われます。
注 |
展開で Cisco ISE の内部 CA を置き換えるたびに、 完全な証明書チェーンを取得するように ISE メッセージングサービスも更新する必要があります。 |
楕円曲線 暗号化証明書のサポート
Cisco ISE CA サービスが、楕円曲線暗号化(ECC)アルゴリズムに基づく証明書をサポートするようになりました。ECC は、より小さいキー サイズを使用している場合でも、他の暗号化アルゴリズムよりも高いセキュリティ とパフォーマンスを提供します。
次の表では、ECC および RSA のキー サイズとセキュリティ強度を比較しています。
| ECC のキー サイズ(ビット単位) | RSA のキー サイズ(ビット単位) |
|---|---|
| 160 | 1024 |
| 224 | 2048 |
| 256 | 3072 |
| 384 | 7680 |
| 521 | 15360 |
キー サイズが小さいため、暗号化が迅速になります。
Cisco ISE では、次の ECC 曲線タイプがサポートされています。曲線タイプまたはキー サイズが大きくなると、セキュリティが強化されます。
-
P-192
-
P-256
-
P-384
-
P-521
ISE は、証明書の EC 部分の明示的なパラメータをサポートしていません。明示的なパラメータで証明書をインポートしようとすると、 「証明書の検証に失敗しました」というエラーが表示されます。名前付き ECParameters のみがサポートされています。
Cisco ISE CA サービスは、BYOD フローを介して接続するデバイスの ECC 証明書をサポートします。また、証明書プロビジョニングポータルから ECC 証明書 を生成することもできます。
注 |
次の表に、ECC をサポートしているオペレーティング システムおよびバージョンと、サポートされている曲線タイプを示します。 デバイスがサポートされているオペレーティングシステムを実行していない場合、またはサポートされているバージョンでない場合には、代わりに RSA ベースの証明書を使用することもできます。
Windows 7 と Apple iOS は、EAP-TLS を介した認証用の ECC をネイティブでサポートしていません。Cisco ISE のこのリリースでは、 Mac OS X デバイスでの ECC 証明書の使用はサポートされていません。 |
Enrollment over Secure Transport(EST)プロトコルを備えた BYOD フローが適切に機能しない場合は、次のことを確認します。
-
証明書サービス エンドポイント サブ CA 証明書チェーンが完全であること。証明書チェーンが完全かどうかを確認するには:
-
[管理(Administration)] > [システム(System)] > [証明書(Certificates)] > [認証局(Certificate Authority)] > [認証局証明書(Certificate Authority Certificates)] の順に選択します。
-
確認する証明書の横にあるチェックボックスをオンにして、[表示(View)] をクリックします。
-
-
CA および EST サービスが起動し、実行されていることを確認します。サービスが実行されていない場合は、[管理(Administration)] > [システム(System)] > [証明書(Certificates)] > [認証局(Certificate Authority)] > [内部CAの設定(Internal CA Settings)] に移動して CA サービスを有効にします。
-
2.0 以前の ISE バージョンから Cisco ISE 2.x にアップグレードしている場合は、 アップグレード後に ISE ルート CA 証明書チェーンを置き換えます。手順は次のとおりです。
-
[管理(Administration)] > [システム(System)] > [証明書(Certificates)] > [証明書の管理(Certificate Management)] > [証明書署名要求(Certificate Signing Requests)] の順に選択します。
-
[証明書署名要求(CSR)の生成(Generate Certificate Signing Requests (CSR))] をクリックします。
-
[1つ以上の証明書の使用先(one or more Certificates will be used for)] ドロップダウンリストから ISE ルート CA を選択します。
-
[ISEルートCA証明書チェーンの置き換え(Replace ISE Root CA Certificate chain)] をクリックします。
-
注 |
Cisco ISE のこのリリースでは、EST クライアントが Cisco ISE に存在する EST サーバに対して直接認証を行うことはサポートされていません。 Android または Windows エンドポイントでのオンボーディング時に、要求が ECC ベースの証明書用である場合には、ISE が EST フローをトリガーします。 |
Cisco ISE 認証局証明書
[認証局(CA)証明書(Certificate Authority (CA) Certificates)] ページには、内部 Cisco ISE CA に関連するすべての証明書が表示されます。以前のリリースでは、これらの CA 証明書は信頼できる証明書ストアにありましたが、現在は [CA証明書(CA Certificates)] ページに移動しています。これらの証明書は、このページにノード方式で表示されます。ノードを展開して、そのノードの ISE CA 証明書をすべて表示することができます。プライマリおよびセカンダリ管理ノードには、ルート CA、ノード CA、下位 CA、OCSP 応答側証明書があります。展開内の他のノードには、エンドポイント下位 CA および OCSP 証明書があります。
Cisco ISE CA サービスを有効にすると、すべてのノードでこれらの証明書が自動的に生成され、インストールされます。また、 ISE ルート CA チェーン全体を置き換えると、すべてのノードでこれらの証明書が自動的に再生成され、インストールされます。手動による介入 は必要ありません。
Cisco ISE CA 証明書は、次の命名規則に従います。証明書サービス <エンドポイントサブ CA/ノード CA/ルート CA/OCSP 応答側>-<node_hostname>#certificate_number
[CA 証明書(CA Certificates)] ページで Cisco ISE CA 証明書を編集、インポート、エクスポート、削除、表示できます。
Cisco ISE CA 証明書の編集
証明書を Cisco ISE CA 証明書ストアに追加した後、編集の設定を使用して、その証明書をさらに編集できます。
はじめる前に
次のタスクを実行するには、スーパー管理者またはシステム管理者である必要があります。
手順
| ステップ 1 |
[管理(Administration)]。 |
| ステップ 2 |
編集する 証明書の横にあるチェックボックスをオンにして、[編集(Edit)] をクリックします。 |
| ステップ 3 |
必要に応じて編集可能なフィールドを変更します。フィールドの説明については、「証明書設定の編集」を参照してください。 |
| ステップ 4 |
[保存(Save)] をクリックして、証明書ストアに対して行った 変更を保存します。 |
Cisco ISE CA 証明書のエクスポート
Cisco ISE ルート CA およびノード CA 証明書をエクスポートするには、次の手順を実行します。
はじめる前に
次のタスクを実行するには、ネットワーク管理者またはシステム管理者である必要があります。
手順
| ステップ 1 |
[管理(Administration)]の順に選択します。 |
| ステップ 2 |
エクスポートする 証明書の隣にあるチェックボックスをオンにし、[エクスポート(Export)] をクリックします。 一度に 1 つの証明書のみをエクスポートできます。 |
| ステップ 3 |
クライアントブラウザを実行しているファイルシステムに Privacy Enhanced Mail ファイルを保存します。 |
Cisco ISE CA 証明書のインポート
エンドポイント が別の展開の Cisco ISE CA によって発行された証明書を使用してネットワークへの認証を試みる場合、Cisco ISE ルート CA、ノード CA、エンドポイント サブ CA 証明書をその展開から Cisco ISE の信頼できる証明書ストアにインポートする必要があります。
はじめる前に
-
次のタスクを実行するには、スーパー管理者またはシステム管理者である必要があります。
-
ISE ルート CA、ノード CA、エンドポイントサブ CA 証明書を、エンドポイント証明書が署名されている展開からエクスポートし、 ブラウザが実行されているコンピュータのファイルシステムに保存します。
手順
| Step 1 |
エンドポイントが認証されている展開の管理者用ポータルにログインします。 |
| ステップ 2 |
[管理(Administration)]を選択します。 |
| ステップ 3 |
[インポート(Import)] をクリックします。 |
| ステップ 4 |
必要に応じてフィールドの値を設定します。詳細については、「信頼できる証明書のインポート設定」を参照してください。 クライアント証明書ベースの認証が有効である場合は、Cisco ISE により展開内の各ノードのアプリケーションサーバが再起動されます(最初に PAN のアプリケーションサーバが再起動され、続いて追加のノードのアプリケーションサーバが 1 つずつ再起動されます)。 |
証明書 テンプレート
証明書テンプレートには、そのテンプレートに基づいて認証局(CA) によって発行されたすべての証明書に共通のプロパティ が含まれています。証明書テンプレートでは、件名、サブジェクト 代替名(SAN)、キータイプ、キーサイズ、使用する必要がある SCEP RA プロファイル、 証明書の有効期間、 証明書がクライアントやサーバの 認証またはその両方に使用される必要があるかどうかを指定した拡張キーの使用状況(EKU)を定義します。内部 Cisco ISE CA(ISE CA)は、証明書 テンプレートを使用し、そのテンプレートに基づいて証明書を発行します。
Cisco ISE には、 次の ISE CA のデフォルト証明書テンプレートが付属しています。必要に応じて、 追加の証明書テンプレートを作成できます。デフォルトの証明書テンプレート は次のとおりです。
-
CA_SERVICE_Certificate_Template: Cisco ISE を認証局として使用するその他のネットワークサービス用。たとえば、ASA VPN ユーザに対し証明書を発行するには、ISE の設定時にこの証明書 テンプレートを使用します。この証明書テンプレートでは、 有効期間のみを変更できます。
-
EAP_Authentication_Certificate_Template:EAP 認証用。
-
pxGrid_Certificate_Template:証明書プロビジョニング ポータルから証明書を生成するときの pxGrid コントローラ用。
証明書テンプレート 名の拡張子
Cisco ISE の内部 CA には、 エンドポイント証明書を作成するために使用された証明書テンプレートを表す拡張子が含まれています。 内部 CA によって発行されたすべてのエンドポイント証明書には、証明書テンプレート名の拡張子が含まれています。この拡張子 は、そのエンドポイント 証明書を作成するために使用された証明書テンプレートを表します。拡張子の ID は 1.3.6.1.4.1.9.21.2.5 です。 CERTIFICATE: Template Name 属性を認証ポリシーの条件に使用して、 評価の結果に基づいて適切なアクセス権限を割り当てることができます。
認証ポリシー条件での証明書 テンプレート名の使用
認証ポリシールールで 証明書テンプレート名の拡張子を使用できます。
手順
| ステップ 1 |
[ポリシー(Policy)]を選択し、認証ポリシールールを表示するデフォルトのポリシーセットを展開します。 |
| ステップ 2 |
新しいルール を追加するか、既存のルールを編集します。次に、 Compliant_Device_Access ルールを編集する例を示します。
|
| ステップ 3 |
[保存(Save)] をクリックします。 |
pxGrid コントローラ用の Cisco ISE CA 証明書の展開
Cisco ISE CA は、証明書プロビジョニング ポータルから証明書を生成するための pxGrid コントローラの証明書テンプレートを提供します。
はじめる前に
pxGrid クライアントの 証明書署名要求(CSR)を生成し、CSR の内容 をクリップボードにコピーします。
手順
| ステップ 1 |
ネットワーク アクセス ユーザ アカウントを作成します([管理(Administration)] > [IDの管理(Identity Management)] > [ID(Identities)] > [ユーザ(Users)] > [追加(Add)])。 ユーザが割り当てられている ユーザグループをメモします。 |
| ステップ 2 |
証明書プロビジョニングポータルの設定を編集します([管理(Administration)] > [デバイスポータル管理(Device Portal Management)] > [証明書プロビジョニング(Certificate Provisioning)])。
|
| ステップ 3 |
証明書プロビジョニングポータルを起動します。[ポータル テスト URL(Portal test URL)] リンクをクリックします。 |
| ステップ 4 |
pxGrid クライアントの信頼できる証明書ストアに Cisco ISE CA チェーンをインポートします。 |
Simple Certificate Enrollment Protocol プロファイル
ユーザがネットワークで登録できるさまざまなモバイルデバイスの証明書のプロビジョニング機能を有効にするために、 Cisco ISE では、1 つ以上の Simple Certificate Enrollment Protocol(SCEP)認証局(CA)プロファイル( Cisco ISE 外部 CA 設定と呼ばれる)を設定して、Cisco ISE に複数の CA の場所を指定できます。複数のプロファイルを使用できる利点は、ハイアベイラビリティを実現し、指定した CA の場所の間でロード バランシングを実行できることです。特定の SCEP CA への要求に 3 回連続して 応答がなかった場合、Cisco ISE は特定のサーバが使用不能であると宣言し、次に負荷が小さく応答 時間が短い既知の CA に自動的に移動し、サーバがオンラインに復帰するまで、定期的なポーリングを開始します。
Microsoft SCEP サーバを Cisco ISE と相互運用するように設定する方法については、次を参照してください。
発行した 証明書
管理者ポータルには、内部 ISE CA によってエンドポイントに対して発行されたすべての証明書のリストが示されます([管理(Administration)] > [システム(System)] > [証明書(Certificates)] > [エンドポイント証明書(Endpoint Certificates)])。[発行された証明書(Issued Certificates)] ページでは、証明書ステータスを一目で確認できます。証明書が失効している場合は、[ステータス(Status)] カラムの上にマウスカーソルを移動すると、失効の理由 を確認できます。[証明書テンプレート(Certificate Template)] カラムの上にマウスカーソルを移動すると、キータイプ、キーサイズ、曲線タイプ、サブジェクト、サブジェクト代替名(SAN)、証明書の有効性などの詳細情報 を表示できます。エンドポイント証明書クリックして、 証明書を表示できます。
ISE CA によって発行されたすべての証明書(BYOD フローを介して 自動的にプロビジョニングされた証明書と 証明書プロビジョニングポータルから取得された証明書)は、[エンドポイント証明書(Endpoint Certificates)] ページにリストされます。このページからこれらの証明書を管理できます。
たとえば user7 に発行された証明書を確認する場合は、 [わかりやすい名前(Friendly Name)] フィールドの下に表示されるテキストボックスに 「user7」 と入力します。このユーザに Cisco ISE によって発行されたすべての証明書が表示されます。 フィルタをキャンセルするには、テキストボックスから検索語を削除します。また、[拡張フィルタ(Advanced Filter)] オプションを使用して、 さまざまな検索基準に基づいてレコードを表示することもできます。
この [エンドポイント証明書(Endpoint Certificates)] ページには、必要に応じてエンドポイント 証明書を取り消すためのオプションもあります。
[証明書管理概要(Certificate Management Overview)] ページには、展開内の各 PSN ノードによって発行されたエンドポイント証明書 の合計数が表示されます。また、 失効した証明書の合計数と 失敗した証明書の合計数をノードごとに確認することもできます。このページのデータは任意の属性に基づいてフィルタリングできます。
発行された証明書と失効した証明書
次の表で、[発行および失効した証明書の概要(Overview of Issued and Revoked Certificates)] ページのフィールドについて説明します。展開内の PSN ノードがエンドポイントに証明書を発行します。このページでは、展開内の各 PSN ノードが発行するエンドポイント証明書に関する情報を示します。 このページへのナビゲーションパスは、[管理(Administration)] > [システム(System)] > [証明書(Certificates)] > [概要(Overview)] です。
| フィールド | 使用上のガイドライン |
|---|---|
|
ノード名 |
証明書を発行したポリシー サービス ノード(PSN)の名前。 |
|
[発行された証明書(Certificates Issued)] |
PSN ノードが発行したエンドポイント証明書の数。 |
|
[取り消された証明書(Certificates Revoked)] |
失効したエンドポイント証明書(PSN ノードが発行した証明書)の数。 |
|
[証明書要求(Certificates Requests)] |
PSN ノードが処理した証明書ベースの認証要求の数。 |
|
[失敗した証明書(Certificates Failed)] |
PSN ノードが処理する失敗した認証要求の数。 |
Cisco ISE CA 証明書およびキーのバックアップと復元
PAN に障害が発生し 、セカンダリ管理ノードを外部 PKI のルート CA または中間 CA として機能させるために昇格する場合に備え、Cisco ISE CA 証明書およびキーをセキュアにバックアップして、セカンダリ管理ノードにこれらを復元できるようにする必要があります。 Cisco ISE 設定のバックアップには、CA 証明書とキーは含まれていません。CA 証明書およびキーをリポジトリにエクスポートおよびインポートするには、代わりにコマンドライン インターフェイス(CLI) を使用する必要があります。application configure ise コマンドには、CA 証明書およびキーのバックアップと復元のための、エクスポートおよびインポート オプションが含まれています。
信頼できる証明書ストアからの次の 証明書が、セカンダリ 管理ノードで復元されます。
-
Cisco ISE ルート CA 証明書
-
Cisco ISE サブ CA 証明書
-
Cisco ISE エンドポイント RA 証明書
-
Cisco ISE OCSP 応答側証明書
次の場合、Cisco ISE CA 証明書およびキーのバックアップおよび 復元が必要となります。
-
展開内にセカンダリ 管理ノードが存在する
-
Cisco ISE CA ルートチェーン全体を置き換える
-
外部 PKI の下位 CA として機能するように Cisco ISE ルート CA を設定する
-
リリース 1.2 からそれ以降のリリースにアップグレードする
-
設定のバックアップからデータを復元する。この場合、最初に Cisco ISE CA ルートチェーンを再生成し、次に ISE CA 証明書およびキーのバックアップと復元を行う必要があります。
注 |
展開で Cisco ISE の内部 CA を置き換えるたびに、 完全な証明書チェーンを取得するように ISE メッセージングサービスも更新する必要があります。 |
Cisco ISE CA 証明書およびキーのエクスポート
CA 証明書およびキーを PAN からエクスポートし、セカンダリ 管理ノードでインポートする必要があります。このオプションでは、PAN がダウンした場合にセカンダリ管理ノードで エンドポイントの証明書を発行および管理し、 セカンダリ管理ノードを PAN に昇格させることができます。
はじめる前に
CA 証明書およびキーを格納するためのリポジトリを作成したことを確認します。
手順
| ステップ 1 |
Cisco ISE CLI から application configure ise コマンドを入力します。 |
| ステップ 2 |
7 を入力して、 証明書およびキーをエクスポートします。 |
| ステップ 3 |
リポジトリの名前を入力します。 |
| ステップ 4 |
暗号キーを入力します。 エクスポートされた証明書のリスト、 件名、発行者、およびシリアル番号とともに成功 メッセージが表示されます。 例: |
Cisco ISE CA 証明書およびキーのインポート
セカンダリ管理ノードを登録したら、PAN から CA 証明書およびキー をエクスポートし、セカンダリ管理ノードにインポートします。
手順
| ステップ 1 |
Cisco ISE CLI から application configure ise コマンドを入力します。 |
| ステップ 2 |
8 を入力して、 証明書およびキーをインポートします。 |
| ステップ 3 |
リポジトリの名前を入力します。 |
| ステップ 4 |
インポートするファイルの名前を入力します。ファイル名は ise_ca_key_pairs_of_<vm hostname> 形式である必要があります。 |
| ステップ 5 |
ファイルを復号化するための 暗号キーを入力します。 処理が正常に完了したことを知らせる メッセージが表示されます。 例: |
プライマリ PAN および PSN でのルート CA および下位 CA の生成
展開をセットアップする場合、Cisco ISE は、ポリシーサービスノード(PSN)のプライマリ PAN と下位 CA 証明書で、Cisco ISE CA サービスに対するルート CA を生成します。ただし、プライマリ PAN または PSN のドメイン名またはホスト名を変更する場合は、プライマリ PAN でルート CA、PSN で下位 CA をそれぞれ再生成する必要があります。
PSN のホスト名を変更する場合は、プライマリ PAN および PSN でそれぞれルート CA と下位 CA を再生成する代わりに、ホスト名を変更する前に PSN を登録解除し、再登録できます。新しい下位証明書は PSN 上で自動的にプロビジョニングされます。
手順
| ステップ 1 |
[管理(Administration)]を選択します。 |
| ステップ 2 |
[証明書署名要求(CSR)の生成(Generate Certificate Signing Requests (CSR))] をクリックします。 |
| ステップ 3 |
[証明書の使用先(Certificate(s) will be used for)] ドロップダウンリストから ISE ルート CA を選択します。 |
| ステップ 4 |
[ISEルートCA証明書チェーンの置き換え(Replace ISE Root CA Certificate chain)] をクリックします。 ルート CA と 下位 CA 証明書が、展開内のすべてのノードに対して生成されます。 |
次の作業
展開にセカンダリ PAN がある場合は、プライマリ PAN から Cisco ISE CA 証明書およびキーのバックアップを取得し、セカンダリ PAN で復元します。これにより、プライマリ PAN の障害が発生した場合に、 セカンダリ PAN がルート CA として機能するようになり、セカンダリ PAN をプライマリ PAN に昇格させることができます。
外部 PKI の下位 CA としての Cisco ISE ルート CA の設定
外部 PKI の下位 CA として機能するプライマリ PAN のルート CA が必要な場合は、ISE 中間 CA 証明書署名要求を生成して、外部 CA に送信し、ルートおよび CA 署名付き証明書を入手して、 ルート CA 証明書を信頼できる証明書ストアにインポートし、CA 署名付き証明書を CSR にバインドします。この場合、 外部 CA はルート CA、プライマリ PAN は外部 CA の下位 CA、PSN はプライマリ PAN の下位 CA です。
手順
| ステップ 1 |
[管理(Administration)]を選択します。 |
| ステップ 2 |
[証明書署名要求(CSR)の生成(Generate Certificate Signing Requests (CSR))] をクリックします。 |
| ステップ 3 |
[証明書の使用目的(Certificate(s) will be used for)] ドロップダウンリストから [ISE中間CA(ISE Intermediate CA)] を選択します。 |
| ステップ 4 |
[生成(Generate)] をクリックします。 |
| ステップ 5 |
CSR をエクスポートし、 外部 CA に送信して、CA 署名付き証明書を取得します。 |
| ステップ 6 |
信頼できる証明書ストアに外部 CA のルート CA 証明書をインポートします。 |
| ステップ 7 |
CSR に CA 署名付き証明書をバインドします。 |
次の作業
展開にセカンダリ PAN がある場合は、プライマリ PAN から Cisco ISE CA 証明書およびキーのバックアップを取得し、セカンダリ PAN で復元します。これにより、プライマリ PAN の障害が発生した場合に、セカンダリ PAN が外部 PKI の下位 CA として機能するようになり、セカンダリ PAN をプライマリ PAN に昇格させることができます。
証明書を使用してパーソナルデバイスを許可するための Cisco ISE の設定
ネットワークに接続するエンドポイント(パーソナルデバイス) の証明書を発行し、管理するように Cisco ISE を設定できます。内部 Cisco ISE 認証 局(CA)サービスを使用して、 エンドポイントから証明書署名要求(CSR)に署名したり、外部 CA に CSR を転送したりすることができます。
はじめる前に
-
プライマリ PAN から Cisco ISE CA 証明書およびキーのバックアップを取得し、ディザスタ リカバリのため、安全な場所に保管してください。
-
展開にセカンダリ PAN がある場合は、プライマリ PAN から Cisco ISE CA 証明書およびキーをバックアップし、 セカンダリ PAN で復元します。
手順
| ステップ 1 |
内部 ID ストアまたは Active Directory などの外部 ID ストアにユーザを追加できます。
|
| ステップ 2 | |
| ステップ 3 | |
| ステップ 4 |
クライアント プロビジョニング ポリシーを作成します。 |
| ステップ 5 | |
| ステップ 6 |
TLS ベース認証用の認証ポリシールールを設定します。 パーソナルデバイスからワイヤレス SSID に接続するときに ECC RSA ベースの証明書を使用すると、 2 回目のパスワード入力を行うよう求められます。 |
Employee ユーザグループへのユーザの追加
次の 手順では、Cisco ISE ID ストアの Employee ユーザグループにユーザを追加する方法について説明します。外部 ID ストアを使用した場合でも、 ユーザを追加できる Employee ユーザグループがあることを確認します。
手順
| ステップ 1 |
[管理(Administration)] を選択します。 |
| ステップ 2 |
[追加(Add)] をクリックします。 |
| ステップ 3 |
ユーザの 詳細情報を入力します。 |
| ステップ 4 |
[パスワード(Passwords)] セクションで、[ログインパスワード(Login Password)] と [TACACS+イネーブルパスワード(TACACS+ Enable Password)] を選択し、 ネットワークデバイスにアクセスレベルを設定します。 |
| ステップ 5 |
[ユーザグループ(User Group)] ドロップダウンリストから [従業員(Employee)] を選択します。
Employee ユーザグループに属するすべてのユーザが同じ権限セットを共有します。
|
| ステップ 6 |
[送信(Submit)] をクリックします。 |
次の作業
TLS ベース認証の証明書 認証プロファイルの作成
ネットワークに接続するエンドポイントの認証に証明書 を使用するには、Cisco ISE で 証明書認証プロファイルを定義するか、またはデフォルトの Preloaded_Certificate_Profile を編集する必要があります。証明書認証プロファイルには、プリンシパルユーザ名として使用する必要がある 証明書フィールドが含まれています。 たとえば、ユーザ名が [一般名(Common Name)] フィールドにある場合は、 証明書認証プロファイルを [プリンシパルユーザ名(Principal Username)] が [サブジェクト-一般名(Subject - Common Name)] であるものとして定義できます。これは ID ストアを参照して確認できます。
手順
| ステップ 1 |
[管理(Administration)] を選択します。 |
| ステップ 2 |
証明書認証プロファイルの名前を入力します。たとえば、CAP となります。 |
| ステップ 3 |
[サブジェクト-一般名(Subject - Common Name)] に [プリンシパルユーザ名X509属性(Principal Username X509 Attribute)] を選択します。 |
| ステップ 4 |
[保存(Save)] をクリックします。 |
次の作業
TLS ベース認証の ID ソース順序の作成
証明書認証プロファイルを作成したら、Cisco ISE が証明書の属性を取得し、 その属性を ID ソース順序で定義した ID ソースと照合できるように、証明書認証プロファイルを ID ソース 順序に追加します。
はじめる前に
次のタスクが完了していることを確認します。
-
Employee ユーザグループへのユーザの追加。
-
証明書ベース認証の 証明書認証プロファイルの作成。
手順
| ステップ 1 |
[管理(Administration)] を選択します。 |
| ステップ 2 |
[追加(Add)] をクリックします。 |
| ステップ 3 |
ID ソース順序の名前を入力します。たとえば、Dot1X となります。 |
| ステップ 4 |
[証明書認証プロファイルの選択(Select Certificate Authentication Profile)] チェックボックスをオンにし、作成した証明書認証 プロファイル、つまり CAP を選択します。 |
| ステップ 5 |
ユーザ情報を含む ID ソースを [認証検索リスト(Authentication Search List)] 領域の [選択済み(Selected)] リストボックスに移動します。
追加の ID ソースを追加すると、Cisco ISE は、これらのデータストア
を順に一致が見つかるまで検索します。
|
| ステップ 6 |
[ユーザが見つからなかったとして処理し、順序内の次のストアに進む(Treat as if the user was not found and proceed to the next store in the sequence)] オプションボタンをクリックします。 |
| ステップ 7 |
[送信(Submit)] をクリックします。 |
次の作業
認証局の設定
CSR への署名に外部 CA を使用する場合、 外部 CA を設定する必要があります。外部 CA 設定は Cisco ISE の以前の リリースでは、SCEP RA プロファイルと呼ばれていました。Cisco ISE CA を使用する場合、 CA 設定を明示的に設定する必要はありません。[管理(Administration)] > [システム(System)] > [証明書(Certificates)] > [内部CA設定(Internal CA Settings)] で、内部 CA 設定を確認できます。
ユーザのデバイスが 検証済みの証明書を受信すると、証明書はデバイス上の 次の表の場所に置かれます。
|
Device |
証明書ストレージの場所 |
アクセス方式 |
||
|---|---|---|---|---|
|
iPhone/iPad |
標準の証明書ストア |
[設定(Settings)] > [一般(General)] > [プロファイル(Profile)] |
||
|
Android |
暗号化された証明書ストア |
エンド ユーザに不可視です。
|
||
|
Windows |
標準の証明書ストア |
/cmd プロンプトから mmc.exe を起動するか、または証明書スナップインで表示します。 |
||
|
Mac |
標準の証明書ストア |
[アプリケーション(Application)] > [ユーティリティ(Utilities)] > [キーチェーンアクセス(Keychain Access)] |
はじめる前に
証明書署名 要求(CSR)への署名に 外部認証局(CA)を使用する場合は、外部 CA の URL が必要となります。
手順
| ステップ 1 |
[管理(Administration)] を選択します。 |
| ステップ 2 |
[追加(Add)] をクリックします。 |
| ステップ 3 |
外部 CA 設定の名前を入力します。たとえば、EXTERNAL_SCEP などです。 |
| ステップ 4 |
[URL] テキストボックスに、 外部 CA サーバの URL を入力します。 外部 CA が到達可能かどうかを確認するには、[テスト接続(Test Connection)]
をクリックします。追加 CA サーバの URL を入力するには、[+]
ボタンをクリックします。
|
| ステップ 5 |
[送信(Submit)] をクリックします。 |
次の作業
CA テンプレートの作成
証明書 テンプレートは、(内部または 外部 CA のために)使用する必要がある SCEP RA プロファイル、 キータイプ、キーサイズ、曲線タイプ、 サブジェクト、サブジェクト代替名(SAN)、証明書の有効期間、 拡張キーの使用状況を定義します。この例では、 内部 Cisco ISE CA を使用すると想定します。外部 CA テンプレートの場合、有効期間は 外部 CA によって決定され、指定することはできません。
新しい CA テンプレートを作成するか、デフォルトの証明書テンプレート EAP_Authentication_Certificate_Template を編集できます。
デフォルトでは、次の CA テンプレートが Cisco ISE で使用できます。
-
CA_SERVICE_Certificate_Template: ISE CA を使用する他のネットワークサービス用。たとえば、ASA VPN ユーザに対し証明書を発行するには、 ISE の設定時にこの証明書テンプレートを使用します。
-
EAP_Authentication_Certificate_Template:EAP 認証用。
-
pxGrid_Certificate_Template:証明書プロビジョニング ポータルから証明書を生成する際の pxGrid コントローラ用。
注 |
ECC キータイプを使用する証明書 テンプレートは、内部 Cisco ISE CA とのみ使用することができます。 |
はじめる前に
CA が設定されていることを確認します。
手順
| ステップ 1 |
[管理(Administration)] を選択します。 |
|||||||||||
| ステップ 2 |
内部 CA テンプレートの名前を入力します。たとえば、Internal_CA_Template とします。 |
|||||||||||
| ステップ 3 |
(任意) [組織単位(Organizational Unit)]、[組織(Organization)]、[市(City)]、[州/都道府県(State)]、 [国(Country)] フィールドに値を入力します。 証明書テンプレートフィールド([組織ユニット(Organizational Unit)] 、[組織(Organization)]、[都市(City)]、[州(State)]、および [国(Country)])の UTF-8 文字は サポートしていません。 UTF-8 文字を証明書テンプレートで使用すると、証明書プロビジョニングが失敗します。 証明書を生成する内部ユーザのユーザ名 が、 証明書の一般名として使用されます。Cisco ISE 内部 CA は、「+」または「*」の文字 を [一般名(Common Name)] フィールドでサポートしていません。ユーザ名に「+」または「*」の 特殊文字が含まれていないことを確認してください。 |
|||||||||||
| ステップ 4 |
サブジェクト代替名(SAN)および証明書の有効期間を指定します。 |
|||||||||||
| ステップ 5 |
キー タイプを指定します。RSA または ECC を選択します。 次の 表に、ECC をサポートしているオペレーティングシステムおよびバージョンと、サポートされている 曲線タイプを示します。デバイスがサポートされている オペレーティングシステムを実行していない場合、またはサポートされているバージョンでない場合には、代わりに RSA ベースの証明書 を使用することもできます。
Windows 7 と Apple iOS は、EAP-TLS 認証用の ECC をネイティブでサポートしていません。Cisco ISE のこのリリース では、Mac OS X デバイスでの ECC 証明書の使用はサポートされていません。 ネットワークのデバイス がサポートされていないオペレーティングシステム(Windows 7、MAC OS X、Apple iOS)を実行する場合は、キータイプとして RSA を選択することを推奨します。 |
|||||||||||
| ステップ 6 |
( RSA キータイプを選択する場合に適用)キーサイズを指定します。1024 以上のキーサイズを選択する必要があります。 |
|||||||||||
| ステップ 7 |
( ECC キータイプを選択する場合にのみ適用)曲線タイプを指定します。デフォルトは P-384 です。 |
|||||||||||
| ステップ 8 |
ISE 内部 CA を SCEP RA プロファイルとして選択します。 |
|||||||||||
| ステップ 9 |
有効期間を日数単位で入力します。デフォルトは 730 日です。有効な 範囲は 1 ~ 730 です。 |
|||||||||||
| ステップ 10 |
拡張キーの使用状況を指定します。証明書を クライアント認証に使用する場合は、[クライアント認証(Client Authentication)] チェックボックスにマークを付けます。証明書を サーバ認証に使用する場合は、[サーバ認証(Server Authentication)] チェックボックスにマークを付けます。 |
|||||||||||
| ステップ 11 |
[送信(Submit)] をクリックします。 |
内部 CA 証明書テンプレートが作成され、クライアント プロビジョニング ポリシーによって使用されます。
次の作業
内部 CA の設定
次の表では、内部 CA の設定ページのフィールドについて説明します。内部 CA の設定を表示し、このページから内部 CA サービスを無効にできます。 このページへのナビゲーションパスは、[管理(Administration)] > [システム(System)] > [証明書(Certificates)] > [内部 CA の設定(Internal CA Settings)] です。
| フィールド名 | 使用上のガイドライン |
|---|---|
|
認証局の無効化(Disable Certificate Authority) |
内部 CA サービスを無効にするには、このボタンをクリックします。 |
|
ホスト名(Host Name) |
CA サービスを実行している Cisco ISE ノードのホスト名。 |
|
ペルソナ(Personas) |
CA サービスを実行しているノードで有効な Cisco ISE ノードのペルソナ。 たとえば、管理、ポリシーサービスなどです。 |
|
ロール(Role(s)) |
CA サービスを実行する Cisco ISE ノードが担当するロール。 たとえば、 スタンドアロンまたはプライマリまたはセカンダリです。 |
|
CA、EST、および OCSP 応答側のステータス(CA, EST & OCSP Responder Status) |
[有効(Enabled)]または [無効(Disabled)] です。 |
|
OCSP 応答側 URL(OCSP Responder URL) |
OCSP サーバにアクセスするための Cisco ISE ノードの URL。 |
|
SCEP URL |
SCEP サーバにアクセスするための Cisco ISE ノードの URL。 |
クライアント プロビジョニング ポリシーで使用されるネイティブ サプリカント プロファイルの作成
ネイティブ サプリカント プロファイルを作成して、ユーザがパーソナルデバイスを 企業ネットワークに含めることができます。Cisco ISE では、異なる オペレーティングシステムごとに異なるポリシールールを使用します。各クライアント プロビジョニング ポリシー ルールには、 どのオペレーティングシステムにどのプロビジョニングウィザードを使用するかを指定するネイティブ サプリカント プロファイルが含まれています。
はじめる前に
-
Cisco ISE で CA 証明書テンプレートを設定します。
-
TCP ポート 8905 および UDP ポート 8905 を開き、クライアントエージェントとサプリカントのプロビジョニングウィザードのインストールを有効にします。 ポートの使用法の詳細については、『Cisco Identity Services Engine Hardware Installation Guide』の付録「Cisco ISE Appliance Ports Reference」を参照してください。
手順
| ステップ 1 |
[ポリシー(Policy)] を選択します。 |
||
| ステップ 2 |
[追加(Add)] を選択します。 |
||
| ステップ 3 |
ネイティブ サプリカント プロファイルの名前を入力します。たとえば、EAP_TLS_INTERNAL となります。 |
||
| ステップ 4 |
[オペレーティングシステム(Operating System)] ドロップダウンリストから [すべて(ALL)] を選択します。
|
||
| ステップ 5 |
[有線(Wired)] または [無線(Wireless)] チェックボックスをオンにします。 |
||
| ステップ 6 |
[許可されるプロトコル(Allowed Protocol)] ドロップダウンリストから [TLS] を選択します。 |
||
| ステップ 7 |
以前に作成した CA 証明書テンプレートを選択します。 |
||
| ステップ 8 |
[送信(Submit)] をクリックします。 |
次の作業
Cisco サイトからの Windows および Mac OS X オペレーティングシステムのエージェント リソースのダウンロード
Windows および Mac OS X オペレーティングシステムでは、Cisco サイトからリモートリソースをダウンロードする必要があります。
はじめる前に
ネットワーク のプロキシ設定が正しく設定されていることを確認し、 適切なリモートロケーションにアクセスして、クライアント プロビジョニング リソースを Cisco ISE にダウンロードできることを確認します。
手順
| ステップ 1 |
[ポリシー(Policy)] を選択します。 |
| ステップ 2 |
[追加(Add)] を選択します。 |
| ステップ 3 |
[Windows] および [MAC OS X] パッケージの隣にあるチェック ボックスをオンにします。必ず最新バージョンを含めます。 |
| ステップ 4 |
[保存(Save)] をクリックします。 |
次の作業
Apple iOS、Android および MACOSX デバイスのクライアント プロビジョニング ポリシー ルールの作成
クライアント プロビジョニング リソース ポリシーは、どのユーザがリソース(エージェント、エージェント コンプライアンス モジュール、エージェント カスタマイズ パッケージ/プロファイル)のどのバージョン(または複数のバージョン)をログイン時およびユーザセッション開始時に Cisco ISE から受信するかを決定します。
エージェント コンプライアンス モジュールをダウンロードすると、 システム内に既存のモジュールがある場合は上書きされます。
従業員が iOS、Android、および MACOSX デバイスを持ち込むことができるようにするには、[クライアントプロビジョニングポリシー(Client Provisioning Policy)] ページでこれらの各デバイスのポリシールールを作成する必要があります。
はじめる前に
必要なネイティブ サプリカント プロファイルを設定し、[クライアントプロビジョニングポリシー(Client Provisioning Policy)] ページから必要な エージェントをダウンロードしておく必要があります。
手順
| ステップ 1 |
[ポリシー(Policy)] を選択します。 |
| ステップ 2 |
Apple iOS、Android および MACOSX デバイスのクライアント プロビジョニング ポリシー ルールを作成します。 |
| ステップ 3 |
[保存(Save)] をクリックします。 |
次の作業
TLS ベース認証の Dot1X 認証ポリシー ルールの設定
このタスクは、TLS ベース認証の Dot1X 認証ポリシー ルールを更新する方法を示します。
はじめる前に
TLS ベース認証用に作成された証明書認証プロファイルが存在することを確認します。
手順
| ステップ 1 |
[ポリシー(Policy)] > [ポリシーセット(Policy Sets)] を選択します。 |
| ステップ 2 |
[表示(View)] カラムから矢印アイコン デフォルトのルールベースの認証ポリシーには、Dot1X 認証用のルールが含まれます。 |
| ステップ 3 |
Dot1X 認証ポリシールールの条件を編集するには、[条件(Conditions)] カラムのセルにカーソルを合わせ、 |
| ステップ 4 |
Dot1X ポリシールールの [アクション(Actions)] カラムで、歯車アイコンをクリックし、必要に応じてドロップダウンメニューから、 挿入または複製オプションのいずれかを選択して新しいポリシー セットを挿入します。 [ポリシー セット(Policy Sets)] テーブルに新しい行が表示されます。
|
| ステップ 5 |
ルールの名前を入力します。たとえば、eap-tls と入力します。 |
| ステップ 6 |
[条件(Conditions)] カラムから、(+)記号をクリックします。 |
| ステップ 7 |
[条件スタジオ(Conditions Studio)] ページで必要な条件を作成します。[エディタ(Editor)] セクションで、[クリックして属性を追加する(Click To Add an Attribute)] テキストボックスをクリックし、必要なディクショナリと属性(たとえば、Network Access:UserName Equals User1)を選択します。 ライブラリ条件を [クリックして属性を追加する(Click To Add An Attribute)] テキストボックスにドラッグアンドドロップできます。 |
| ステップ 8 |
[使用(Use)] をクリックします。 |
| ステップ 9 |
デフォルト ルールは、そのままにします。 |
| ステップ 10 |
[保存(Save)] をクリックします。 |
をクリックすると、[設定(Set)] ビュー画面が開き、認証ポリシーを表示、管理、および更新できます。
をクリックします。[条件スタジオ(Conditions Studio)] が開きます。
次の作業
中央 Web 認証とサプリカント プロビジョニング フローの認証 プロファイルの作成
認証プロファイルを定義して、 証明書ベースの認証の成功後にユーザに付与するアクセスを決定します。
はじめる前に
ワイヤレス LAN コントローラ(WLC)に 必要なアクセスコントロールリスト(ACL)が設定されていることを確認します。 WLC での ACL の作成方法については、『 TrustSec How-To Guide: Using Certificates for Differentiated Access』を参照してください。
この例では、 WLC で次の ACL が作成されていると仮定します。
-
NSP-ACL: ネイティブ サプリカント プロビジョニング用
-
BLACKHOLE: ブラックリストに登録されているデバイスへのアクセスの制限
-
NSP-ACL-Google: Android デバイスのプロビジョニング
手順
| ステップ 1 |
[ポリシー(Policy)] を選択します。 |
| ステップ 2 |
新しい許可プロファイルを作成するには、[追加(Add)] をクリックします。 |
| ステップ 3 |
許可プロファイルの名前を入力します。 |
| ステップ 4 |
[アクセスタイプ(Access Type)] ドロップダウンリストから、[ACCESS_ACCEPT] を選択します。 |
| ステップ 5 |
中央 Web 認証、Google Play の中央 Web 認証、ネイティブ サプリカント プロビジョニング、および Google のネイティブ サプリカント プロビジョニングの認証プロファイルを追加するには、[追加(Add)] をクリックします。 |
| ステップ 6 |
[保存(Save)] をクリックします。 |
次の作業
認証ポリシールール の作成
Cisco ISE は、 認証ポリシールールを評価し、ポリシールールで指定された認証プロファイルに基づいてネットワーク リソースへのアクセス権をユーザに付与します。
はじめる前に
必要な認証プロファイルを作成済みであることを確認します。
手順
| ステップ 1 |
[ポリシー(Policy)]を選択し、認証ポリシールールを表示するポリシーセットを展開します。 |
| ステップ 2 |
デフォルトのルールの上に追加のポリシー ルールを挿入します。 |
| ステップ 3 |
[保存(Save)] をクリックします。 |
CA サービスポリシー のリファレンス
このセクション では、Cisco ISE CA サービスを有効にする前に作成する必要がある認証ポリシールールおよびクライアント プロビジョニング ポリシー ルールの詳細情報について説明します。
証明書サービスのクライアント プロビジョニング ポリシー ルール
このセクションでは 、Cisco ISE 証明書サービスを使用している場合に作成する必要があるクライアント プロビジョニング ポリシー ルールについて説明します。次の表に詳細を示します。
| ルール名 | ID グループ | オペレーティング システム | その他の条件 | 結果 |
|---|---|---|---|---|
| iOS | 任意(Any) | Apple iOS すべて | 条件 | EAP_TLS_INTERNAL(以前に作成したネイティブ サプリカント プロファイル)。外部 CA を使用している場合は、 外部 CA 用に作成したネイティブ サプリカント プロファイルを選択します。 |
| Android | 任意(Any) | Android | 条件 | EAP_TLS_INTERNAL(以前に作成したネイティブ サプリカント プロファイル)。外部 CA を使用している場合は、 外部 CA 用に作成したネイティブ サプリカント プロファイルを選択します。 |
| MACOSX | 任意(Any) | MACOSX | 条件 | [ネイティブサプリカントの設定(Native Supplicant Configuration)]
で、次を指定してください。
|
証明書サービスの認証 プロファイル
このセクションでは、Cisco ISE で証明書ベースの 認証を有効にするために作成する必要がある 認証プロファイルについて説明します。ワイヤレス LAN コントローラ(WLC)の ACL(NSP-ACL および NSP-ACL-Google)がすでに作成されている必要があります。
-
CWA:この プロファイルは、中央 Web 認証フローを使用するデバイス用です。 [Web認証(Web Authentication)] チェックボックスをオンにして、ドロップダウン リストから [中央集中(Centralized)] を選択し、ACL テキストボックスに NSP-ACL を入力します。
-
CWA_GooglePlay: このプロファイルは、中央 Web 認証フローを使用する Android デバイス用です。このプロファイルによって、Android デバイスは Google Play ストアにアクセスし、Cisco Network Setup Assistant をダウンロードできます。[Web認証(Web Authentication)] チェックボックスをオンにして、ドロップダウン リストから [中央集中(Centralized)] を選択し、ACL テキストボックスに NSP-ACL-Google を入力します。
-
NSP:この プロファイルは、サプリカント プロビジョニング フローを使用する非 Android デバイス用です。[Web認証(Web Authentication)] チェックボックスをオンにして、 ドロップダウンリストから [サプリカントプロビジョニング(Supplicant Provisioning)] を選択し、ACL テキストボックスに NSP-ACL を入力します。
-
NSP-Google: このプロファイルは、サプリカント プロビジョニング フローを使用する Android デバイス用です。[Web認証(Web Authentication)] チェックボックスをオンにして、 ドロップダウンリストから [サプリカントプロビジョニング(Supplicant Provisioning)] を選択し、ACL テキストボックスに NSP-ACL-Google を入力します。
- Cisco:cisco-av-pair = url-redirect=https://ip:port/blacklistportal/gateway?portal=PortalID
- Cisco:cisco-av-pair = url-redirect-acl=BLACKHOLE
証明書サービスの許可ポリシー ルール
ここでは、Cisco ISE CA サービスを有効にするときに作成する必要がある許可ポリシー ルールについて説明します。
- 企業資産:このルールは 、802.1X および MSCHAPV2 プロトコルを使用して企業のワイヤレス SSID に接続する企業のデバイス用です。
- Android_SingleSSID:このルールは 、Google Play ストアにアクセスして、プロビジョニングのために Cisco Network Setup Assistant をダウンロードする Android デバイス用です。このルールは、シングル SSID 設定に固有のものです。
- Android_DualSSID:このルールは 、Google Play ストアにアクセスして、プロビジョニングのために Cisco Network Setup Assistant をダウンロードする Android デバイス用です。このルールは、デュアル SSID 設定に固有のものです。
- CWA:このルールは、 中央 Web 認証フローを使用するデバイス用です。
- NSP:このルールは、 EAP-TLS 認証の証明書を使用するネイティブ サプリカント プロビジョニング フローを使用するデバイス 用です。
- EAP-TLS:このルールは、サプリカント プロビジョニング フローを完了したデバイスおよび 証明書でプロビジョニングされるデバイス 用です。デバイスには、ネットワークへのアクセス権限が付与されます。
次の表に、 Cisco ISE CA サービスの認証ポリシールールを設定するときに選択する必要がある属性および値を示します。この例では、Cisco ISE で対応する認証プロファイルも設定しているものと想定します。
| ルール名 | 条件(Conditions) | 権限(適用される許可プロファイル) |
|---|---|---|
| 企業資産 | Corp_Assets AND (Wireless 802.1X AND Network Access:AuthenticationMethod EQUALS MSCHAPV2) | PermitAccess |
| Android_SingleSSID | (Wireless 802.1X AND Network Access:AuthenticationMethod EQUALS MSCHAPV2 AND Session:Device-OS EQUALS Android) | NSP_Google |
| Android_DualSSID | (Wireless_MAB AND Session:Device-OS EQUALS Android) | CWA_GooglePlay |
| CWA | Wireless_MAB | CWA |
| NSP | (Wireless 802.1X AND Network Access:AuthenticationMethod EQUALS MSCHAPV2) | NSP |
| EAP-TLS | (Wireless 802.1X AND Network Access:AuthenticationMethod EQUALS x509_PKI | PermitAccess |
ISE CA による ASA VPN ユーザへの証明書の発行
ISE CA は、ASA VPN 経由で接続しているクライアントマシンに 証明書を発行します。この機能を使用して 、 ASA VPN 経由で接続しているエンドデバイスに証明書を自動的にプロビジョニングできます。
Cisco ISE は、 Simple Certificate Enrollment Protocol(SCEP)を使用して登録を行い、 証明書をクライアントマシンにプロビジョニングします。AnyConnect クライアントは、 HTTPS 接続で ASA に SCEP 要求を送信します。ASA は、Cisco ISE と ASA の間に確立された HTTP 接続を介して Cisco ISE に要求を中継する前に、要求を評価し、 ポリシーを適用します。Cisco ISE CA からの応答はクライアントに中継されます。ASA は、 SCEP メッセージの内容を読み取ることはできず、Cisco ISE CA のプロキシとして機能します。Cisco ISE CA は 、クライアントからの SCEP メッセージを復号化し、 暗号化された形式で応答を送信します。
ISE CA SCEP URL は http://<IP アドレスまたは ISE CA サーバの FQDN>:9090/auth/caservice/pkiclient.exe です。 ISE ノードの FQDN を使用する場合は、ASA に接続されている DNS サーバが FQDN を解決できる必要があります。
AnyConnect クライアントプロファイルの期限が切れる前に、 証明書の更新を設定できます。 証明書がすでに期限切れの場合、更新フローは新規 登録と同様です。
サポートされているバージョン は次のとおりです。
-
ソフトウェア バージョン 8.x を実行する Cisco ASA 5500 シリーズ適応型セキュリティアプライアンス
-
Cisco AnyConnect VPN バージョン 2.4 以降
VPN 接続 の証明書プロビジョニングフロー
-
ユーザ が VPN 接続を開始します。
-
AnyConnect クライアントは、クライアントマシンをスキャンし、固有 デバイス識別子(たとえば IMEI)などの属性を ASA に送信します。
-
ASA はクライアントからの 証明書ベースの認証を要求します。証明書がないため、 認証は失敗します。
-
ASA は、 ユーザ名/パスワードを使用してプライマリユーザ認証(AAA)に進み、 情報を認証サーバ(ISE)に渡します。
-
認証が失敗すると、接続はただちに終了します。
-
認証が成功すると、制限付きアクセスが許可されます。 aaa.cisco.sceprequired 属性を使用して証明書を要求するクライアントマシンでダイナミック アクセス ポリシー(DAP)を設定できます。この属性の値を 「true」に設定し、ACL および Web ACL を適用できます。
-
-
VPN 接続は、関連するポリシーと ACL が適用された後に確立されます。 クライアントは、AAA 認証が成功し、 VPN 接続が確立された後にのみ、SCEP のキー生成を開始します。
-
クライアント は、SCEP 登録を開始し、HTTP を介して ASA に SCEP 要求を送信します。
-
ASA は、要求の セッション情報を検索し、 セッションが登録を許可されている場合は、ISE CA に要求をリレーします。
-
ASA は ISE CA からの 応答をクライアントにリレーバックします。
-
登録 が成功すると、クライアントにユーザに対する設定可能メッセージが表示され、 VPN セッションが接続解除されます。
-
ユーザは証明書を使用して 再度認証を行うことができ、正常な VPN 接続が 確立されます。
ASA VPN ユーザに証明書を発行する Cisco ISE CA の設定
ASA VPN ユーザに証明書をプロビジョニングするには、Cisco ISE および ASA で 次の設定を行う必要があります。
はじめる前に
-
VPN ユーザアカウントが Cisco ISE の内部 または外部の ID ソースに存在することを確認します。
-
ASA および Cisco ISE のポリシーサービスノードが同じ NTP サーバを使用して 同期されていることを確認します。
手順
| ステップ 1 |
Cisco ISE で ASA をネットワーク アクセス デバイスとして定義します。ネットワークデバイスとして ASA を追加する方法については、「 Cisco ISE でのネットワークデバイスの追加 」を参照してください。 |
| ステップ 2 | |
| ステップ 3 | |
| ステップ 4 | |
| ステップ 5 |
Cisco ISE でのネットワークデバイスの追加
Cisco ISE でネットワークデバイスを追加したり、デフォルトのネットワークデバイスを使用したりできます。
また、[ワークセンター(Work Centers)]ページで、ネットワークデバイスを作成することもできます。
はじめる前に
手順
| ステップ 1 |
[管理(Administration)]の順に選択します。 |
| ステップ 2 |
[追加(Add)] をクリックします。 |
| ステップ 3 |
ネットワークデバイスの [名前(Name)] を入力します。 |
| ステップ 4 |
IP アドレスを入力します。 |
| ステップ 5 |
(任意)[RADIUS認証設定(RADIUS Authentication Settings)] チェックボックスをオンにして、RADIUS プロトコル認証を設定します。 |
| ステップ 6 |
(任意)[TACACS認証設定(TACACS Authentication Settings)] チェックボックスをオンにして、TACACS プロトコル認証を設定します。 |
| ステップ 7 |
(任意)[SNMP の設定(SNMP Settings)] チェックボックスをオンにして、デバイス情報を収集するプロファイリングサービスの簡易ネットワーク管理プロトコルを設定します。 |
| ステップ 8 |
(任意)TrustSec 対応デバイスを設定するには [高度なTrustSec設定(Advanced Trustsec Settings)] チェックボックスをオンにします。 |
| ステップ 9 |
[送信(Submit)] をクリックします。 |
ASA でのグループ ポリシーの設定
ASA でグループ ポリシーを設定し、SCEP 登録要求を転送するための AnyConnect 用の ISE CA URL を定義します。
手順
| ステップ 1 |
Cisco ASA ASDM にログインします。 |
| ステップ 2 |
左側の [リモートアクセスVPN(Remote Access VPN)] ナビゲーションウィンドウから、[グループポリシー(Group Policies)] をクリックします。 |
| ステップ 3 |
[追加(Add)] をクリックして、グループポリシーを作成します。 |
| ステップ 4 |
グループポリシーの名前を入力します。たとえば、ISE_CA_SCEP のようになります。 |
| ステップ 5 |
[SCEP転送URL(SCEP forwarding URL)] フィールドで、[継承(Inherit)] チェックボックスをオフにして、 ポート番号を含む ISE SCEP URL を入力します。 ISE ノードの FQDN を使用する場合は、ASA に接続されている DNS サーバ が ISE ノードの FQDN を解決できる必要があります。 例: |
| ステップ 6 |
[OK] をクリックして、グループポリシーを保存します。 |
SCEP 登録用の AnyConnect 接続プロファイルの設定
ISE CA サーバ、 認証方式、および ISE CA SCEP URL を指定するには、ASA で AnyConnect 接続プロファイルを設定します。
手順
| ステップ 1 |
Cisco ASA ASDM にログインします。 |
| ステップ 2 |
左側の [リモートアクセスVPN(Remote Access VPN)] ナビゲーションウィンドウから、[AnyConnect接続プロファイル(AnyConnect Connection Profiles)] をクリックします。 |
| ステップ 3 |
[追加(Add)] をクリックして、接続プロファイルを作成します。 |
| ステップ 4 |
接続プロファイルの名前を入力します。たとえば、Cert-Group と入力します。 |
| ステップ 5 |
(任意)[エイリアス(Aliases)] フィールドに 接続プロファイルの説明を入力します。たとえば、「 SCEP-Call-ASA」とします。 |
| ステップ 6 |
[認証(Authentication)] 領域で、次の情報を指定します。
|
| ステップ 7 |
[クライアントアドレスの割り当て(Client Address Assignment)] 領域で、 使用する DHCP サーバおよびクライアントアドレスプールを選択します。 |
| ステップ 8 |
[デフォルトグループポリシー(Default Group Policy)] 領域で、[管理(Manage)] をクリックし、 ISE SCEP URL とポート番号で作成したグループポリシーを選択します。 例: |
| ステップ 9 |
[詳細設定(Advanced)] を選択し、この接続プロファイルに対して [Simple Certificate Enrollment Protocolを有効にする(Enable Simple Certificate Enrollment Protocol)] チェックボックスをオンにします。 |
| ステップ 10 |
[OK] をクリックします。
AnyConnect 接続プロファイルが作成されます。
|
次の作業
ASDM での VPN クライアントプロファイルの設定
SCEP 登録用に AnyConnect で VPN クライアントプロファイルを設定します。
手順
| ステップ 1 |
Cisco ASA ASDM にログインします。 |
| ステップ 2 |
左側の [リモートアクセスVPN(Remote Access VPN)] ナビゲーションウィンドウから、[AnyConnectクライアントプロファイル(AnyConnect Client Profile)] をクリックします。 |
| ステップ 3 |
使用する クライアントプロファイルを選択して [編集(Edit)] をクリックします。 |
| ステップ 4 |
左側の [プロファイル(Profile)] ナビゲーション ウィンドウで、[証明書の登録(Certificate Enrollment)] をクリックします。 |
| ステップ 5 |
[証明書の登録(Certificate Enrollment)] チェックボックスをオンにします。 |
| ステップ 6 |
次のフィールドに値を入力します。
|
| ステップ 7 |
証明書の内容をクライアントが要求する方法を定義する値を [証明書の内容(Certificate Contents)] に入力します。 |
| ステップ 8 |
[OK] をクリックします。 AnyConnect クライアント プロファイルが作成されます。詳細については、お使いのバージョンの AnyConnect の『Cisco AnyConnect Secure Mobility Client』を参照してください。
|
ASA への Cisco ISE CA 証明書のインポート
Cisco ISE 内部 CA 証明書を ASA にインポートします。
はじめる前に
Cisco ISE 内部 CA 証明書をエクスポートします。[管理(Administration)]に移動します。[証明書サービスノードCA(Certificate Services Node CA)] および [証明書サービスルートCA(Certificate Services Root CA)] 証明書の横にあるチェックボックスをオンにして、これらの証明書を一度に 1 つずつエクスポートします。
手順
| ステップ 1 |
Cisco ASA ASDM にログインします。 |
| ステップ 2 |
左側の [リモートアクセスVPN(Remote Access VPN)] ナビゲーションウィンドウから、[証明書管理(Certificate Management)] を選択します。 |
| ステップ 3 |
[追加(Add)] をクリックして Cisco ISE 内部 CA 証明書を選択し、ASA にインポートします。 |
エンドポイント 証明書の失効
従業員のパーソナルデバイスに対して発行された証明書を取り消す必要がある場合は、[エンドポイント証明書(Endpoint Certificates)] ページから取り消すことができます。たとえば、従業員のデバイスが盗難されたり、紛失したりした場合には、Cisco ISE 管理者ポータルにログインし、 そのデバイスに発行された証明書を [エンドポイント証明書(Endpoint Certificates)] ページから取り消すことができます。 わかりやすい名、デバイスの一意の ID、シリアル番号に基づいて、このページのデータをフィルタリングできます。
PSN(サブ CA)が侵害された場合は、 [エンドポイント証明書(Endpoint Certificates)] ページの [発行元(Issued By)] フィールドでフィルタリングすることによって、その PSN によって発行されたすべての証明書を取り消すことができます。
従業員に対して発行された証明書を取り消すときに、アクティブなセッション(その証明書を使用して認証された)がある場合、 セッションは即座に終了します。 証明書を取り消すと、その直後に、 許可されていないユーザはリソースにアクセスできなくなります。
手順
| ステップ 1 |
[管理(Administration)]の順に選択します。 |
| ステップ 2 |
取り消すエンドポイント証明書の隣にあるチェック ボックスをオンにし、[失効(Revoke)] をクリックします。 わかりやすい名前とデバイスタイプに基づいて
証明書を検索できます。
|
| ステップ 3 |
証明書を取り消す理由を入力します。 |
| ステップ 4 |
[はい(Yes)] をクリックします。 |
OCSP サービス
Online Certificate Status Protocol(OCSP)は、x.509 デジタル証明書のステータスのチェックに使用されるプロトコルです。このプロトコルは証明書 失効リスト(CRL)に代わるものであり、CRL の処理が必要となる問題に対処します。
Cisco ISE には HTTP を介して OCSP サーバと通信し、認証で 証明書のステータスを検証する機能があります。OCSP の設定は、Cisco ISE で設定されるいずれかの認証 局(CA)証明書から参照できる 再利用可能な設定オブジェクトで設定されます。
CRL 検証と OCSP 検証の両方または一方を CA ごとに設定できます。両方を選択すると、Cisco ISE では最初に OCSP を介した 検証が実行されます。 プライマリ OCSP サーバとセカンダリ OCSP サーバの両方で通信の問題が検出された場合、または 特定の証明書に対して不明のステータスが返された場合、Cisco ISE は CRL チェックの実行に切り替えます。
Cisco ISE CA サービスの Online Certificate Status Protocol 応答側
Cisco ISE CA OCSP 応答側は、OCSP クライアントと通信するサーバです。 Cisco ISE CA の OCSP クライアントには、Cisco ISE の内部 OCSP クライアントと 適応型セキュリティアプライアンス(ASA)の OCSP クライアントがあります。OCSP クライアントは、RFC 2560、5019 で定義されている OCSP 要求/応答構造を使用して、 OCSP 応答側と通信する必要があります。
Cisco ISE CA は、OCSP 応答側に証明書を発行します。OCSP 応答側は、着信要求をポート 2560 でリッスンします。このポートは、OCSP トラフィックのみを許可するように設定されています。
OCSP 応答側 は RFC 2560、5019 で規定された構造に従って要求を受け入れます。OCSP 要求ではナンス 拡張がサポートされます。OCSP 応答側は証明書の ステータスを取得し、OCSP 応答を作成して署名します。OCSP 応答は、OCSP 応答側ではキャッシュされませんが、クライアントでは最大 24 時間 OCSP 応答をキャッシュすることができます。OCSP クライアントでは、 OCSP 応答の署名を検証する必要があります。
PAN 上の自己署名 CA 証明書( ISE が外部 CA の中間 CA として機能する場合は、中間 CA 証明書)によって、OCSP 応答側証明書が発行されます。PAN 上のこの CA 証明書によって、PAN および PSN の OCSP 証明書が発行されます。この自己署名 CA 証明書は、展開全体に対する ルート証明書でもあります。 展開全体のすべての OCSP 証明書が、 これらの証明書を使用して署名された応答を ISE で検証するために、信頼できる証明書ストアに格納されます。
OCSP 証明書のステータスの値
OCSP サービスでは、 所定の証明書要求に対して次の値が返されます。
-
[良好(Good)]:ステータスの問い合わせへの肯定的な 応答を示します。証明書が失効していないこと、 および状態が次の時間間隔(存続可能時間)値までは良好であることを示します。
-
[失効(Revoked)]:証明書は 失効しています。
-
[不明(Unknown)]:証明書の ステータスは不明です。 この OCSP 応答側の CA で証明書が発行されなかった場合、OCSP サービスはこの値を返します。
-
[エラー(ERROR)]: OCSP 要求に対する応答を受信しませんでした。
OCSP ハイ アベイラビリティ
Cisco ISE では CA ごとに最大 2 つの OCSP サーバを設定でき、それらのサーバはプライマリおよび セカンダリ OCSP サーバと呼ばれます。各 OCSP サーバ設定には、次の パラメータが含まれます。
-
[URL]:OCSP サーバの URL。
-
[ナンス(Nonce)]: 要求で送信される乱数。このオプションにより、 リプレイアタックで古い通信を再利用できないことが保証されます。
-
[応答の検証(Validate Response)]:Cisco ISE は OCSP サーバから受信した応答の署名を検証します。
Cisco ISE がプライマリ OCSP サーバと通信しているときに、タイムアウト( 5 秒)が発生した場合、Cisco ISE は セカンダリ OCSP サーバに切り替えます。
Cisco ISE は プライマリサーバの再使用を試行する前に、設定可能な期間セカンダリ OCSP サーバを使用します。
OCSP の障害
3 つの一般的な OCSP 障害のシナリオは次のとおりです。
-
OCSP キャッシュまたは OCSP クライアント側(Cisco ISE)の失敗による障害。
-
失敗した OCSP 応答側の シナリオ。例:
最初のプライマリ OCSP 応答側が応答せず、セカンダリ OCSP 応答側が Cisco ISE OCSP 要求に応答します。
Cisco ISE OCSP 要求からエラーまたは 応答が受信されません。
OCSP 応答側が、 Cisco ISE OCSP 要求への応答を提供しないか、失敗の OCSP 応答のステータスを返している可能性があります。OCSP 応答のステータス値は 次のようになります。
-
tryLater
-
signRequired
-
unauthorized
-
internalError
-
malformedRequest
OCSP 要求には、多数の 日時チェック、署名の有効性チェックなどがあります。 詳細については、エラー状態を含むすべての可能性のある状態について説明している『 RFC 2560 X.509 Internet Public Key Infrastructure Online Certificate Status Protocol - OCSP』を参照してください。
-
-
失敗した OCSP レポート
OCSP クライアント プロファイルの追加
[OCSPクライアントプロファイル(OCSP Client Profile)] ページを使用して、Cisco ISE に新しい OCSP クライアント プロファイルを追加できます。
はじめる前に
認証 局(CA)が非標準ポート(80 または 443 以外)で OCSP サービスを実行している場合は、そのポートで Cisco ISE と CA 間の通信 を可能にするためにスイッチで ACL を設定する必要があります。次に例を示します。
permit tcp
手順
| ステップ 1 |
[管理(Administration)]> [OCSPクライアントプロファイル(OCSP Client Profile)] を選択します。 |
| ステップ 2 |
OCSP クライアントプロファイルを追加するための値 を入力します。 |
| ステップ 3 |
[送信(Submit)] をクリックします。 |
OCSP クライアントプロファイル 設定
次の表では 、 OCSP クライアントプロファイル設定を行うために使用できる [OCSPクライアントプロファイル(OCSP Client Profile)] ページのフィールドについて説明します。このページへのナビゲーションパスは、[管理(Administration)] > [証明書(Certificates)] > [証明書管理(Certificate Management)] > [OCSP プロファイル(OCSP Profile)] です。
| フィールド名 | 使用上のガイドライン |
|---|---|
|
名前(Name) |
OCSP クライアントプロファイル名。 |
|
説明 |
任意で説明を入力します。 |
|
OCSP 応答側の設定(Configure OCSP Responder) |
|
|
セカンダリ サーバの有効化(Enable Secondary Server) |
ハイアベイラビリティのセカンダリ OCSP サーバを有効にするには、このチェックボックスをオンにします。 |
|
常にプライマリ サーバに最初にアクセスする(Always Access Primary Server First) |
このオプションは、セカンダリサーバへの移動を試行する前にプライマリサーバをチェックする場合に使用します。 プライマリが以前にチェックされ、応答しないことがわかっている場合にも、 Cisco ISE は セカンダリサーバに移動する前にプライマリサーバへの要求の送信を試行します。 |
|
[n 分経過後にプライマリサーバにフォールバック(Fallback to Primary Server After Interval n Minutes)] |
このオプションは、Cisco ISE がセカンダリサーバに移動してから、再度プライマリサーバにフォールバックする場合に使用します。 この場合、その他の要求はすべてスキップされ、テキストボックスで設定した時間セカンダリサーバが使用されます。 許可される時間の範囲は 1 ~ 999 分です。 |
|
プライマリサーバとセカンダリサーバ(Primary and Secondary Servers) |
|
|
URL |
プライマリおよびセカンダリ OCSP サーバの URL を入力します。 |
|
ナンス拡張サポートの有効化(Enable Nonce Extension Support) |
ナンスが OCSP 要求の一部として送信されるように設定できます。 ナンスには、OCSP 要求の 疑似乱数が含まれます。応答で受信される数値は要求に含まれる数値と同じであることが検証されています。 このオプションにより、リプレイアタックで古い通信を再利用できないことが保証されます。 |
|
応答の署名の検証(Validate Response Signature) |
OCSP 応答側は、次のいずれかの証明書を使用して応答に署名します。
|
|
Authority Information Access(AIA)に指定されたOCSP URLを使用する(Use OCSP URLs specified in Authority Information Access (AIA)) |
Authority Information Access の拡張で指定されている OCSP URL を使用するには、オプションボタンをクリックします。 |
|
応答キャッシュ(Response Cache) |
|
|
[キャッシュエントリの存続可能時間 n 分(Cache Entry Time To Live n Minutes)] |
キャッシュ エントリが期限切れになる時間を分単位で入力します。OCSP サーバからの各応答には nextUpdate 値が含まれています。
この値は、証明書のステータスがサーバで次にいつ更新されるかを示します。OCSP 応答がキャッシュされるとき、2 つの値(1 つは設定から、もう 1 つは応答から)が比較され、この 2 つの最小値の時間だけ応答がキャッシュされます。
nextUpdate 値が 0 の場合、応答はまったくキャッシュされません。Cisco ISE は設定された時間 OCSP 応答をキャッシュします。
キャッシュは複製されず、永続的でもないため、Cisco ISE が再起動すると
キャッシュはクリアされます。次の理由により、OCSP キャッシュは OCSP 応答を保持するために使用されます。
デフォルトでは、キャッシュは内部 CA OCSP クライアント プロファイルに対し 2 分に設定されています。エンドポイントが最初の認証から 2 分以内にもう一度認証すると、OCSP のキャッシュが使用され、OCSP 受信側には問い合わせされません。 エンドポイントの証明書がキャッシュ期間内に失効した場合、以前の OCSP のステータス [良好(Good)] が使用され、認証は成功します。 キャッシュを 0 分に設定すると、応答はキャッシュされません。このオプションでは、セキュリティは向上しますが、認証のパフォーマンスは低下します。 |
|
キャッシュのクリア(Clear Cache) |
OCSP サービスに接続されているすべての認証局のエントリをクリアするには、[キャッシュのクリア(Clear Cache)] をクリックします。 展開内で、[キャッシュのクリア(Clear Cache)] はすべてのノードと相互作用して、処理を実行します。このメカニズムでは、展開内のすべてのノードが更新されます。 |
OCSP 統計情報カウンタ
Cisco ISE では、OCSP カウンタを使用して、 OCSP サーバのデータと健全性をロギングおよびモニタリングします。ロギングは 5 分ごとに実行されます。Cisco ISE はモニタリングノードに syslog メッセージを送信し、 それはローカルストアに保持されます。ローカルストアには 過去 5 分のデータが含まれています。Cisco ISE が syslog メッセージを送信した後、カウンタ は次の間隔について再計算されます。つまり、5 分後に、新しい 5 分間の間隔が再度開始されます。
次の表に、OCSP syslog メッセージとその 説明を示します。
|
メッセージ |
説明 |
|---|---|
|
OCSPPrimaryNotResponsiveCount |
応答のない プライマリ要求の数 |
|
OCSPSecondaryNotResponsiveCount |
応答のない セカンダリ要求の数 |
|
OCSPPrimaryCertsGoodCount |
プライマリ OCSP サーバを使用して返された所定の CA の「良好な」 証明書の数 |
|
OCSPSecondaryCertsGoodCount |
プライマリ OCSP サーバを使用して返された所定の CA の「良好な」ステータスの数 |
|
OCSPPrimaryCertsRevokedCount |
プライマリ OCSP サーバを使用して返された所定の CA の「失効した」 ステータスの数 |
|
OCSPSecondaryCertsRevokedCount |
セカンダリ OCSP サーバを使用して返された所定の CA の「失効した」 ステータスの数 |
|
OCSPPrimaryCertsUnknownCount |
プライマリ OCSP サーバを使用して返された所定の CA の「不明な」 ステータスの数 |
|
OCSPSecondaryCertsUnknownCount |
セカンダリ OCSP サーバを使用して返された所定の CA の「不明な」 ステータスの数 |
|
OCSPPrimaryCertsFoundCount |
プライマリの送信元からのキャッシュ内に見つかった証明書の数 |
|
OCSPSecondaryCertsFoundCount |
セカンダリの送信元からのキャッシュ内に見つかった証明書の数 |
|
ClearCacheInvokedCount |
一定間隔の後にキャッシュ のクリアがトリガーされた回数 |
|
OCSPCertsCleanedUpCount |
t 間隔の後にクリーンアップされたキャッシュエントリの数 |
|
NumOfCertsFoundInCache |
キャッシュから実行された 要求の数 |
|
OCSPCacheCertsCount |
OCSP キャッシュ内に見つかった証明書の数 |
管理者のアクセス ポリシーの設定
管理者アクセス(RBAC)ポリシー は if-then 形式で表され、ここで if は RBAC 管理者グループの値、および then は RBAC 権限の値になります。
[RBACポリシー(RBAC policies)] ページ([管理(Administration)] > [システム(System)] > [管理者アクセス(Admin Access)] > [許可(Authorization)] > [RBAC] > [ポリシー(Policy)])には、デフォルトポリシーのリストが含まれています。これらのデフォルト ポリシーは編集または削除できません。ただし、読み取り専用管理ポリシーのデータ アクセス許可は編集できます。[RBACポリシー(RBAC policies)] ページでは、特に職場の管理者グループ用にカスタム RBAC ポリシーを作成し、 パーソナライズされた管理者グループに適用できます。
制限付きメニューアクセスを割り当てるときには、データアクセス権限により、指定されているメニューを使用するために必要なデータ に管理者がアクセスできることを確認してください。たとえばデバイスポータルへのメニューアクセスを付与する一方で、エンドポイント ID グループへの データアクセスを許可しない場合、管理者はポータルを変更できません。
注 |
管理者ユーザは、エンドポイントの MAC アドレスを、読み取り専用アクセス権を持つエンドポイント ID グループから、フルアクセス権を持つエンドポイント ID グループに移動できます。その逆はできません。 |
はじめる前に
-
RBAC ポリシーを定義する すべての管理者グループを作成していることを確認します。
-
これらの管理者 グループが、個々の管理者ユーザにマッピングされていることを確認します。
-
メニューアクセス権限やデータアクセス 権限など、 RBAC 権限を設定していることを確認します。
手順
| ステップ 1 |
[管理(Administration)]を選択します。 [RBAC ポリシー(RBAC Policies)] ページには、デフォルトの管理者グループ用にすぐに使用できる定義済みの一連のポリシーが含まれています。 これらのデフォルトポリシーは編集または削除できません。ただし、デフォルトの読み取り専用管理ポリシーのデータ アクセス許可は編集できます。 |
| ステップ 2 |
デフォルト RBAC ポリシールールのいずれかの隣にある [操作(Action)] をクリックします。 ここでは、新しい RBAC ポリシーを挿入し、既存の RBAC ポリシーを複製し、既存の RBAC ポリシーを削除できます。 |
| ステップ 3 |
[新しいポリシーの挿入(Insert New Policy)] をクリックします。 |
| ステップ 4 |
[ルール名(Rule Name)] 、[RBACグループ(RBAC Group(s))]、および [権限(Permissions)] フィールドに値を入力します。 RBAC ポリシーの作成時に、複数の メニューアクセス権限とデータアクセス権限を選択することはできません。 |
| ステップ 5 |
[保存(Save)] をクリックします。 |
管理者アクセスの設定
Cisco ISE では、セキュリティ強化のために管理者アカウントにルールを定義できます。管理 インターフェイスへのアクセスを制限したり、強力なパスワードの使用やパスワードの定期的な変更を管理者に強制したりすることができます。Cisco ISE の [管理者アカウントの設定(Administrator Account Settings)] で定義するパスワードポリシー は、すべての管理者アカウントに適用されます。
Cisco ISE では、管理者パスワードでの UTF-8 文字の使用はサポートされていません。
同時管理 セッションとログインバナーの最大数の設定
同時管理 GUI または CLI(SSH)セッションの最大 数、および管理 Web または CLI インターフェイスにアクセスする管理者を手助け、ガイドするログインバナー を設定できます。 管理者のログイン前後に表示されるログインバナーを設定できます。デフォルトでは、これらのログインバナーは無効になっています。
はじめる前に
次のタスクを実行するには、スーパー管理者またはシステム管理者である必要があります。
手順
| ステップ 1 |
[管理(Administration)]を選択します。 |
| ステップ 2 |
GUI および CLI インターフェイスを介した 同時管理セッションの、許可する最大数を入力します。同時管理 GUI セッションの有効範囲は 1 ~ 20 です。同時管理 CLI セッションの有効範囲は 1 ~ 10 です。 |
| ステップ 3 |
Cisco ISE で管理者がログインする前にメッセージを表示する場合は、 [プリログインバナー(Pre-login banner)] チェックボックスをオンにして、テキストボックスにメッセージを入力します。 |
| ステップ 4 |
Cisco ISE で管理者がログインした後にメッセージを表示する場合は、[ポストログインバナー(Post-login banner)] チェックボックスをオンにして、テキストボックスにメッセージを入力します。 |
| ステップ 5 |
[保存(Save)] をクリックします。 |
IP アドレス選択からの Cisco ISE に対する管理アクセスの許可
Cisco ISE では、管理者が Cisco ISE 管理インターフェイスにアクセスできる IP アドレスのリストを設定することができます。
管理者アクセスコントロール設定は、管理ペルソナ、ポリシーサービスペルソナ、 またはモニタリングペルソナを担う Cisco ISE ノードに対してのみ適用できます。これらの制限は、プライマリ ノードからセカンダリ ノードに複製されます。
はじめる前に
次のタスクを実行するには、スーパー管理者またはシステム管理者である必要があります。
手順
| ステップ 1 |
[管理(Administration)]を選択します。 |
||
| ステップ 2 |
[リストにあるIPアドレスだけに接続を許可(Allow only listed IP addresses to connect)] を選択します。
|
||
| ステップ 3 |
[アクセス制限の IP リストの設定(Configure IP List for Access Restriction)] 領域で、[追加(Add)] をクリックします。 |
||
| ステップ 4 |
[IP アドレス(IP Address)] フィールドに IP アドレスをクラスレス ドメイン間ルーティング(CIDR)形式で入力します。
|
||
| ステップ 5 |
[CIDR 形式のネットマスク(Netmask in CIDR format)] フィールドにサブネット マスクを入力します。 |
||
| ステップ 6 |
[OK] をクリックします。このプロセスを繰り返して、他の IP アドレス範囲をこのリストに追加します。 |
||
| ステップ 7 |
[保存(Save)] をクリックして、変更内容を保存します。 |
||
| ステップ 8 |
[IPアクセス(IP Access)] ページを更新するには、[リセット(Reset)] をクリックします。 |
Cisco ISE の MnT セクションへのアクセスの許可
Cisco ISE では、管理者が Cisco ISE の MnT セクションにアクセスできるノードのリストを設定することができます。
はじめる前に
次のタスクを実行するには、スーパー管理者またはシステム管理者である必要があります。
手順
| ステップ 1 |
Cisco ISE ホームページから、[管理(Administration)]を選択します。 |
||
| ステップ 2 |
[MnTアクセス(MnT Access)] タブをクリックします。 |
||
| ステップ 3 |
展開内または展開外のいずれかのノードまたはエンティティが MnT に syslog を送信できるようにするには、[MnTへの接続を任意のIPアドレスに許可します(Allow any IP address to connect to MnT)] オプションボタンをクリックします。展開内のノードまたはエンティティのみが syslog を MnT に送信できるようにするには、[MnTへの接続を展開内のノードのみに許可します(Allow only the nodes in the deployment to connect to MnT)] オプションボタンをクリックします。
|
管理者アカウントのパスワード ポリシーの設定
Cisco ISE では、セキュリティ向上のために管理者アカウントにパスワードポリシーを作成することもできます。必要な管理者認証がパスワードベースか、クライアント証明書ベースかを定義できます。ここで定義したパスワードポリシーは、Cisco ISE のすべての管理者アカウントに適用されます。
注 |
|
はじめる前に
-
次のタスクを実行するには、スーパー管理者またはシステム管理者である必要があります。
-
自動フェールオーバー設定が展開でイネーブルになっている場合はオフにします。認証 方式を変更すると、アプリケーション サーバ プロセスが再起動されます。これらのサービスが再起動されるまで遅延が発生する場合があります。 このサービスの再起動の遅延により、セカンダリ管理ノードの自動フェールオーバーが開始される場合があります。
手順
| ステップ 1 |
[管理(Administration)]を選択します。 |
||
| ステップ 2 |
次の認証方式のいずれかを選択します。
|
||
| ステップ 3 |
[パスワード ポリシー(Password Policy)] タブをクリックし、値を入力します。 |
||
| ステップ 4 |
[保存(Save)] をクリックして、 管理者パスワードポリシーを保存します。
|
管理者アカウントのアカウント 無効化ポリシーの設定
Cisco ISE では、設定した連続 日数の間に管理者アカウントが認証されなかった場合は、管理者アカウントを無効にすることができます。
手順
| ステップ 1 |
[管理(Administration)] > [システム(System)] > [管理者アクセス(Admin Access)] > [認証(Authentication)] > [アカウント無効化ポリシー(Account Disable Policy)] の順に選択します。 |
| ステップ 2 |
[非アクティブになってから日後にアカウントを無効にする(Disable account after n days of inactivity)] n チェックボックスをオンにして、日数を入力します。 このオプションでは、管理者アカウントが連続する 日数非アクティブだった場合に管理者アカウントを無効にすることができます。ただし、[管理(Administration)] > [システム(System)] > [管理者アクセス(Admin Access)] > [管理者(Administrators)] > [管理ユーザ(Admin Users)] の [非アクティブアカウントを無効化しない(Inactive Account Never Disabled)] オプションを使用して、このアカウント無効化ポリシーから個々の管理者アカウントを除外することができます。 |
| ステップ 3 |
[保存(Save)] をクリックして、管理者のグローバルアカウント無効化ポリシー を設定します。 |
管理者アカウントのロック設定または一時停止設定
Cisco ISE では、指定されたログイン試行失敗回数を超えた管理者アカウント(パスワードベースの内部管理者アカウントと証明書ベースの 管理者アカウントを含む)をロックまたは一時停止できます。
手順
| ステップ 1 |
[管理(Administration)] > [システム(System)] > [管理者アクセス(Admin Access)] > [認証(Authentication)] > [ロック/一時停止設定(Lock/Suspend Settings)]を選択します。 |
||
| ステップ 2 |
[ログイン試行が間違っているアカウントを一時停止またはロックする(Suspend or Lock Account With Incorrect Login Attempts)] チェックボックスをオンにして、 アクションを実行するまでの試行失敗の回数を入力します。有効な範囲は、3 ~ 20 です。
エンドユーザにヘルプデスクに連絡してアカウントのロックを解除するよう要求するなどの、修復を依頼するカスタムの電子メール メッセージを入力することができます。
|
管理者のセッション タイムアウトの設定
Cisco ISE を使用すると、管理 GUI セッションが非アクティブであっても依然として接続状態である時間を決定できます。 分単位の時間を指定することができ、その時間が経過すると Cisco ISE は管理者をログアウトします。セッションのタイムアウト後、管理者は、Cisco ISE 管理者ポータルにアクセスするには再びログインする必要があります。
はじめる前に
次のタスクを実行するには、スーパー管理者またはシステム管理者である必要があります。
手順
| ステップ 1 |
[管理(Administration)]を選択します。 |
| ステップ 2 |
アクティビティがない場合に管理者をログアウトするまでに Cisco ISE が待機する時間(分)を入力します。デフォルト値は 60 分です。有効な範囲は 6 ~ 100 分です。 |
| ステップ 3 |
[保存(Save)] をクリックします。 |
アクティブな管理セッションの終了
Cisco ISE では、すべてのアクティブな管理セッションが表示され、そこからセッションを選択し、 必要が生じた場合はいつでも終了できます。同時管理 GUI セッションの最大数は 20 です。GUI セッション の最大数に達した場合、スーパー管理者グループに属する管理者がログインして一部のセッションを終了できます。
はじめる前に
次のタスクを実行するには、スーパー管理者である必要があります。
手順
| ステップ 1 |
[管理(Administration)]を選択します。 |
| ステップ 2 |
終了する セッション ID の隣にあるチェックボックスをオンにし、[無効化(Invalidate)] をクリックします。 |
管理者の名前の変更
Cisco ISE では GUI からユーザ名を変更できます。
はじめる前に
次のタスクを実行するには、ネットワーク管理者またはシステム管理者である必要があります。
手順
| ステップ 1 |
管理者ポータルにログインします。 |
| ステップ 2 |
Cisco ISE UI の右上に リンクとして表示されるユーザ名をクリックします。 |
| ステップ 3 |
表示される [管理者ユーザ(Admin User)] ページに新しいユーザ名を入力します。 |
| ステップ 4 |
変更するアカウントに関するその他の詳細を編集します。 |
| ステップ 5 |
[保存(Save)] をクリックします。 |
管理者アクセスの設定
これらのページにより、管理者のアクセス設定を行うことができます。
管理者パスワード ポリシーの設定
次の表に、管理者パスワードが満たす必要のある基準 を定義するために使用できる [管理者パスワードポリシー(Administrator Password Policy)] ページのフィールドを示します。このページへのナビゲーションパスは、[管理(Administration)]です。
|
フィールド |
使用上のガイドライン |
|---|---|
|
最小長(Minimum Length) |
パスワードの最小長(文字数)を設定します。デフォルトは 6 文字です。 |
|
パスワードに使用できない文字(Password may not contain) |
[管理者名またはその順序を逆にした文字列(Admin name or its characters in reverse order)]:このチェックボックスをオンにして、管理者ユーザ名またはその文字の逆順での使用を制限します。 |
|
[「cisco」またはその順序を逆にした文字列("cisco" or its characters in reverse order)]:このチェックボックスをオンにして、単語「cisco」またはその文字の逆順での使用を制限します。 |
|
|
[次の単語またはその順序を逆にした文字列(This word or its characters in reverse order)]:このチェックボックスをオンにして、定義したすべての単語またはその文字の逆順での使用を制限します。 |
|
|
[4回以上連続して繰り返された文字列(Repeated characters four or more times consecutively)]:このチェックボックスをオンにして、4 回以上連続する繰り返し文字の使用を制限します。 |
|
|
[辞書に載っている単語とその順序を逆にした文字列、またはその文字を他の文字に置き換えた文字列(Dictionary words, their characters in reverse order or their letters replaced with other characters)]:辞書の単語、単語の文字の逆順での使用、単語の文字の置き換えでの使用を制限します。 「s」を「$」、「a」を「@」、「o」を「0」、「l」を「1」、「i」を「!」、「e」を「3」に置き換えることはできません。たとえば、 Pa$$w0rd のような文字列は使用できません。
|
|
|
必須の文字(Required Characters) |
管理者パスワードに、次の選択肢から選択したタイプの文字を少なくとも 1 つ含めるように指定します。
|
|
パスワード履歴(Password History) |
同じパスワードが繰り返し使用されるのを防ぐために、新しいパスワードと異なっている必要がある以前のパスワードの数を指定します。 また、以前のパスワードと異なる必要がある文字数を指定します。 ユーザがパスワードを再使用できない日数を入力します。 |
|
パスワード ライフタイム(Password Lifetime) |
次のオプションを指定して、指定した期間後にパスワードを変更するようユーザに強制します。
|
|
ネットワーク デバイスの機密データの表示 |
|
|
管理者パスワードが必要(Require Admin Password) |
共有秘密やパスワードなどのネットワークデバイスの機密データを表示するために管理者ユーザがログインパスワードを入力するようにする場合には、このチェックボックスをオンにします。 |
|
パスワードのキャッシュ期間(Password cached for) |
管理者ユーザによって入力されたパスワードは、この期間キャッシュされます。管理者ユーザはこの間、ネットワークデバイスの機密データを表示するために パスワードの再入力を求められることはありません。有効な範囲は 1 ~ 60 分です。 |
セッション タイムアウトおよびセッション情報の設定
次の表では、セッションタイムアウトを定義し、 アクティブな管理セッションを終了するために使用できる [セッション(Session)] ページのフィールドについて説明します。このページへのナビゲーションパスは、[管理(Administration)] > [システム(System)] > [管理者アクセス(Admin Access)] > [設定(Settings)] > [セッション(Session)] です。
|
フィールド |
使用上のガイドライン |
|---|---|
|
セッションのタイムアウト(Session Timeout) |
|
|
セッション アイドル タイムアウト(Session Idle Timeout) |
アクティビティがない場合に管理者をログアウトするまでに Cisco ISE が待機する時間(分)を入力します。 デフォルト値は 60 分です。有効な範囲は 6 ~ 100 分です。 |
|
セッション情報(Session Info) |
|
|
無効化(Invalidate) |
終了するセッション ID の隣にあるチェックボックスをオンにし、[無効化(Invalidate)] をクリックします。 |
フィードバック