基本的なセットアップ

管理者 ポータル

管理者ポータル では、ISE の設定およびレポートにアクセスできます。次の図に、 このポータルのメニューバーの主な要素を示します。

1

メニューの ドロップダウン

  • [コンテキストの可視性(Context Visibility)]:これらのメニューでは、 エンドポイント、ユーザ、NAD に関する情報が表示されます。情報は、ライセンスに応じて、機能、 アプリケーション、BYOD、その他のカテゴリ別にセグメント化できます。 コンテキストメニューは中央データベースを使用して、データベーステーブル、 キャッシュ、およびバッファから情報を収集し、それにより、コンテキストダッシュレットおよびリストの内容 が非常に高速に更新されます。コンテキストメニューは上部のダッシュレットおよび 下部の情報のリストから構成されます。リストのカラム 属性を変更することによってデータをフィルタすると、変更したコンテンツを示すためにダッシュレットが更新されます。

  • [ポリシー(Policy)]:認証、許可、プロファイリング、ポスチャ、クライアント プロビジョニングの領域 でネットワークセキュリティを管理するためのツールにアクセスします。

  • [管理(Administration)]:Cisco ISE ノード、 ライセンス、証明書、ネットワークデバイス、ユーザ、エンドポイント、およびゲストサービスを管理するためのツールにアクセスします。

2

右上の メニュー

  • エンドポイントを検索し、プロファイル、 障害、ID ストア、ロケーション、デバイスタイプ別にそれらの分布を表示します。

  • 現在表示されているページ、ISE コミュニティへのリンク、ポータル ビルダーなどのオンライン ヘルプにアクセスします。

  • 次のオプションにアクセスします。

    • [PassiveIDセットアップ(PassiveID Setup)]:[PassiveIDセットアップ(PassiveID Setup)] オプションでは、Active Directory を使用してパッシブ ID をセットアップする [PassiveIDセットアップ(PassiveID Setup)] ウィザードが起動されます。外部認証サーバからユーザ ID と IP アドレス を収集し、認証済み IP アドレスを対応するサブスクライバに配信するように、サーバを設定することができます。

    • [可視性セットアップ(Visibility Setup)]:[可視性セットアップ(Visibility Setup)] オプションは、アプリケーション、ハードウェアインベントリ、USB ステータス、 ファイアウォールステータス、Windows エンドポイントの全般的なコンプライアンスステータスなどのエンドポイントデータを収集して Cisco ISE に送信する、価値の実証(PoV)サービスです。ISE の [可視性セットアップ(Visibility Setup)] ウィザードを起動すると、IP アドレス範囲を指定して、ネットワークの特定セグメントまたは エンドポイントグループに対してエンドポイント検出を実行できます。

      PoV サービスは Cisco Stealth Temporal エージェントを使用して、エンドポイント ポスチャ データを収集します。Cisco ISE は、管理者アカウントタイプで Windows を実行しているコンピュータに Cisco Stealth Temporal エージェントをプッシュします。このエージェントにより、一時的な実行可能 ファイルが自動実行されてコンテキストが収集され、その後、エージェントは自動的に削除されます。Cisco Stealth Temporal エージェントのオプションデバッグ機能を使用するには、[エンドポイントロギング(Endpoint Logging)] チェックボックス([可視性セットアップ(Visibility Setup)] > [ポスチャ(Posture)])をチェックして、1 つまたは複数のエンドポイントにデバッグログを保存します。ログは、次のいずれかの場所で参照できます。

      • C:\WINDOWS\syswow64\config\systemprofile\(64 ビット オペレーティング システム)

      • C:\WINDOWS\system32\config\systemprofile\(32 ビット オペレーティング システム)

    • [ワイヤレスのセットアップ(ベータ)(Wireless Setup(BETA))]:[ワイヤレスのセットアップ(ベータ)(Wireless Setup(BETA))] オプションを使用すると、802.1x、ゲスト、および個人所有デバイス持ち込み(BYOD)のワイヤレスフローを容易にセットアップできます。また、このオプションには 、ゲストおよび BYOD 向けの各ポータルを設定してカスタマイズするためのワークフローも用意されています。

  • オンラインヘルプの起動とアカウント設定の指定を含む、システムアクティビティ

    アカウント設定

ISE ホーム ダッシュボード

Cisco ISE ダッシュボードには、 効果的なモニタリングおよびトラブルシューティングに必要不可欠な、統合された相関性のあるライブ統計データが表示されます。特に指定がない限り、ダッシュボード要素によって アクティビティは 24 時間表示されます。次の図に、Cisco ISE ダッシュボードで使用できる情報の一部 を示します。Cisco ISE ダッシュボードデータはプライマリ管理ノード(PAN)でのみ表示されます。

[ホーム(Home)] ページには、ISE データのビューを表示する 5 つの デフォルトダッシュボードがあります。

  • [概要(Summary)]:このビュー には、線形の [メトリック(Metrics)] ダッシュレット、円グラフダッシュレット、およびリストダッシュレットが表示されます。 [メトリック(Metrics)] ダッシュレットは設定できません。

  • [エンドポイント(Endpoints)]:ステータス、 エンドポイント、エンドポイントカテゴリ、ネットワークデバイス。

  • [ゲスト(Guests)]:ゲストユーザ タイプ、ログイン失敗、ロケーション。

  • [脆弱性(Vulnerability)]:脆弱性 サーバにより ISE に報告される情報。

  • [脅威(Threat)]:脅威サーバにより ISE に報告される情報 。

これらの各 ダッシュボードには、複数の事前定義ダッシュレットがあります。たとえば [概要(Summary)] ダッシュボード には [ステータス(Status)]、[エンドポイント(Endpoints)]、[エンドポイントカテゴリ(Endpoint Categories)]、および [ネットワークデバイス(Network Devices)] があります。

ホーム ダッシュボードの設定

ホーム ページ ダッシュボードをカスタマイズするには、ページの右上隅にある歯車アイコンをクリックします。

  • [エクスポート(Export)] は、現在選択されているホームビューを PDF に保存します。

  • [レイアウトテンプレート(Layout Template)] は、このビューに表示されるカラムの数を設定します。

  • [ダッシュボードの管理(Manage Dashboards)] では、現在のダッシュボードをデフォルト([ホーム(Home)] を選択すると表示されるダッシュボード)に設定するか、またはすべてのダッシュボードをリセットする(すべてのホームダッシュボードの 設定を削除する)ことができます。

[コンテキストの可視性(Context Visibility)]

ビュー

[コンテキストの可視性(Context Visibility)] ページの構造は [ホーム(Home)] ページに似ていますが、 [コンテキストの可視性(Context Visibility)] ページでは次の点が異なります。

  • 表示データ をフィルタリングするときに、 現在のコンテキスト(ブラウザウィンドウ)を維持する

  • より細かな カスタマイズが可能である

  • エンドポイント データ を中心としている

コンテキストの可視性データはプライマリ管理ノード(PAN)にのみ表示されます。

[コンテキスト(Context)] ページのダッシュレットには、エンドポイントと、エンドポイントから NAD への接続に関する情報が表示されます。現在表示されている情報 は、各ページのダッシュレットの下にあるデータリストの内容に基づいています。各ページには、タブの名前に基づいて エンドポイントデータのビューが表示されます。データをフィルタリングすると、リストとダッシュレットの両方が更新されます。データをフィルタリングするには、1 つ以上の円グラフの 特定部分をクリックするか、表で行をフィルタリングするか、またはこれらの操作を組み合わせて実行します。 複数のフィルタを選択した場合、フィルタ結果は加算的になります。これはカスケードフィルタと呼ばれます。これにより、ドリルダウンして特定の データを見つけることができます。また、リストでエンドポイントをクリックして、そのエンドポイントの詳細ビューを表示することもできます。

[コンテキストの可視性(Context Visibility)] には 4 つのメインビューがあります。

  • [エンドポイント(Endpoints)]:デバイス タイプ、コンプライアンスステータス、認証タイプ、ハードウェアインベントリなどに基づいて表示するエンドポイントを選択できます。詳細については、「ハードウェアダッシュボード」のセクションを参照してください。



    アカウンティングの開始および更新情報 が Cisco ISE に確実に送信されるように、NAD でアカウンティングの設定を有効にすることを推奨します。

    Cisco ISE では、アカウンティングが有効な場合にのみ、最新の IP アドレス、セッションのステータス(接続(Connected)、切断(Disconnected)、 または拒否(Rejected))、エンドポイントの非アクティブな日数などのアカウンティング情報を収集できます。この情報は、[ライブログ(Live Logs)]、[ライブセッション(Live Sessions)] および [コンテキストの可視性(Context Visibility)] ページに表示されます。NAD でアカウンティングが無効にされている場合、[ライブセッション(Live Sessions)]、[ライブログ(Live Logs)] および [コンテキストの可視性(Context Visibility)] ページでアカウンティング情報が欠落しているか、間違っているか、ページ間で一致していない 可能性があります。




    [可視性セットアップ(Visibility Setup)] ウィザードでは、エンドポイント を検出するための IP アドレス範囲のリストを追加できます。このウィザードの設定後に、Cisco ISE は エンドポイントを認証しますが、設定された IP アドレス 範囲に含まれないエンドポイントは、[コンテキストの可視性(Context Visibility)] > [エンドポイント(Endpoints)] タブと、 [エンドポイント(Endpoints)] リストページ([ワークセンター(Work Centers)] > [ネットワークアクセス(Network Access)] > [ID(Identities)] > [エンドポイント(Endpoints)] の下)には表示されません。


  • [ユーザベース(User-Based)]:ユーザ ID ソースからのユーザ情報を表示します。

    このビューを使用する際には次の点に注意してください。

    1. ユーザ名属性またはパスワード属性が変更されると、認証ステータスが 変更された時点でこのページに変更が即時に反映されます。

    2. Active Directory でユーザ名以外の属性が変更されると、再認証から 24 時間後に初めて、更新された属性が表示されます。

    3. Active Directory でユーザ名とその他の属性が変更されると、再認証後 すぐに最新の変更が表示されます。

  • [ネットワーク デバイス(Network Devices)]:エンドポイントに接続している NAD のリスト。NAD のエンドポイント数(右端の カラム)をクリックすると、その NAD に基づいてフィルタリングされたすべてのデバイスが [コンテキストの可視性(Context Visibility)] 画面にリストされます。



    ネットワークデバイスに SNMPv3 パラメータを設定した場合、モニタリングサービス([操作(Operations)] > [レポート(Reports)] > [カタログ(Catalog)] > [ネットワークデバイス(Network Device)] > [セッションステータス概要(Session Status Summary)])で提供されるネットワーク デバイス セッション ステータス概要レポート は生成できません。 ネットワーク デバイスが SNMPv1 または SNMPv2c パラメータを使用して設定されている場合は、このレポートを正常に生成できます。


  • [アプリケーション(Application)]:[アプリケーション(Application)] ビューは、指定されたアプリケーションがインストールされているエンドポイントの数を識別するために使用されます。 結果は、グラフ形式と表形式で表示されます。グラフ表示は、比較分析に役立ちます。 たとえば、Google Chrome ソフトウェアを使用してエンドポイントの数をバージョン、ベンダー、 カテゴリ(フィッシング詐欺対策、ブラウザなど)と共に、表や棒グラフで確認することができます。詳細については、「[アプリケーション(Application)] タブ」のセクションを参照してください。

フィルタリング処理を追加する目的で、[コンテキストの可視性(Context Visibility)] の下に新しい ビューを作成し、カスタムリストを作成できます。このリリースでは、カスタム ビューでダッシュレットがサポートされていません。

ダッシュレットの円グラフの特定部分をクリックすると、新しいページが開き、そのダッシュレットからフィルタリングされたデータが [コンテキストの可視性(Context Visibility)] モードで表示されます。この新しいページから、表示されているデータをさらにフィルタリングできます。この操作については「ビューに表示するデータのフィルタリング」で説明します。

[コンテキストの可視性(Context Visibility)] を使用してエンドポイントデータを検索する方法の詳細については、次の Cisco YouTube ビデオを参照してください。このビデオでは ISE 2.1 を使用しています。https://www.youtube.com/watch?v=HvonGhrydfg

コンテキストの可視性の属性

コンテキストの可視性の属性を提供するシステムとサービスでは、同じ属性 名に異なる値を使用していることがよくあります。次にいくつかの例を示します。

オペレーティング システム

  • OperatingSystem:ポスチャ オペレーティング システム

  • operating-system:NMAP オペレーティングシステム

  • operating-system-result:プロファイラ統合オペレーティングシステム



Cisco ISE のエンドポイントに対して複数のプローブが有効になっている場合、 [コンテキストの可視性(Context Visibility)] ページに表示されるエンドポイントのオペレーティングシステムのデータにいくつかの不一致が生じることがあります。


ポータル名

  • Portal.Name:デバイス登録が有効な場合のゲストポータル名。

  • PortalName:デバイス登録が無効な場合のゲストポータル名。

ポータル ユーザ

  • User-Name:RADIUS 認証のユーザ名

  • GuestUserName:ゲストユーザ

  • PortalUser:ポータルユーザ

アプリケーション ダッシュボード

表 1.アプリケーション ダッシュボードの説明

ラベル

説明

1

デフォルトで [概要(Summary)] タブが選択されています。棒グラフを含む [アプリケーションカテゴリ(Application Categories)] ダッシュレットが表示されます。アプリケーションは 13 のカテゴリに分類されます。これらのカテゴリ に属さないアプリケーションは、「未分類(Unclassified)」と呼ばれます。

利用可能なカテゴリは、[マルウェア対策(Anti-Malware)]、[フィッシング対策(Antiphishing)]、[バックアップ(Backup)]、[ブラウザ(Browser)]、[データ漏洩防止(Data Loss Prevention)]、[データストレージ(Data Storage)]、[暗号化(Encryption)]、 [ファイアウォール(Firewall)]、[メッセンジャ(Messenger)]、[パッチ管理(Patch Management)]、[パブリックファイル共有(Public File Sharing)]、[仮想マシン(Virtual Machine)]、[VPN クライアント(VPN Client)] です。

2

各バーは、分類されたカテゴリに対応します。各バーの上にマウスを置くと、選択したアプリケーションカテゴリに対応するアプリケーションとエンドポイント の合計数を表示できます。

3

分類されたカテゴリに該当するアプリケーションとエンドポイントは青色で表示されます。未分類のアプリケーションと エンドポイントはグレーで表示されます。分類されたカテゴリバーまたは分類されていないカテゴリバーの上にマウスを置くと、そのカテゴリに属する アプリケーションとエンドポイントの合計数を表示できます。[分類済み(Classified)] をクリックして、棒グラフと表(5)で結果を表示できます。[未分類(Unclassified)] をクリックすると、棒グラフが無効になり(グレー表示)、結果が表(5)に表示されます。

4

アプリケーションとエンドポイントは、選択されたフィルタに基づいて表示されます。 異なるフィルタをクリックすると、パンくずリストを表示できます。[すべて選択解除(Deselect All)] をクリックして、すべてのフィルタを削除できます。

5

複数のバーをクリックすると、対応する分類されたアプリケーションとエンドポイントが表に表示されます。たとえば、 [マルウェア対策(Antimalware )] および [パッチ管理(Patch Management)] カテゴリを選択すると、次の結果が表示されます。

アプリケーション Version Vendor カテゴリ アプリケーション OS このソフトウェアで使用するエンドポイント
Gatekeeper 9.9.5 Apple Inc. マルウェア対策 windows 7 64 ビット、mac osx 10.10、mac osx 8、mac osx 9 5
Gatekeeper 10.9.5 Apple Inc. マルウェア対策 windows 8 64 ビット、mac osx 10.10 3

ソフトウェア更新

2.3

Apple Inc.

パッチ管理

windows 7 64 ビット、mac osx 10.10、mac osx 8、mac osx 9

5

6

表の [このソフトウェアで使用するエンドポイント(Endpoints With This Software)] カラムのエンドポイントをクリックして、Mac アドレス、NAD IP アドレス、NAD ポート ID/SSID、IPv4 アドレスなど のエンドポイントの詳細を表示します。

7

アプリケーションのコンプライアンス条件と修復を作成するには、アプリケーション名を選択し、[ポリシーアクション(Policy Actions)] ドロップダウンリストから [アプリケーションコンプライアンスの作成(Create App Compliance)] オプションを選択します。

ハードウェア ダッシュボード

[コンテキストの可視性(context visibility)] の下の [エンドポイントハードウェア(endpoint hardware)] タブは、短期間にエンドポイント ハードウェア インベントリ情報 を収集、分析、およびレポートするのに役立ちます。メモリ容量が小さいエンドポイントの検出や、エンドポイントの BIOS モデル/バージョン の検出といった情報を収集することができます。これらの結果に基づいて、メモリ容量を増やしたり、BIOS バージョンをアップグレードすることができます。アセットの購入を計画する前に、 要件を評価することができます。リソースを適時に交換することができます。モジュールをインストールしたりエンドポイントとやりとりしたりすることなく、この 情報を収集できます。要約すると、アセットの ライフサイクルを効果的に管理できます。

[コンテキストの可視性(Context Visibility)] > [エンドポイント(Endpoints)] > [ハードウェア(Hardware)] ページには、[製造者(Manufacturers)] および [エンドポイント使用率(Endpoint Utilizations)] ダッシュレットが表示されます。これらのダッシュレットは、選択されたフィルタに基づく変更を反映します。[製造者(Manufacturers)] ダッシュレットには、Windows および Mac OS が搭載されたエンドポイントのハードウェアインベントリの詳細が表示されます。[エンドポイント使用率(Endpoint Utilizations)] ダッシュレットには、エンドポイントの CPU、メモリ、およびディスク使用率が表示されます。3 つのオプションのいずれかを選択すると、 利用率をパーセンテージで表示できます。

  • [CPU 使用率が n% を超えるデバイス(Devices With Over n% CPU Usage)]

  • [メモリ使用率が n% を超えるデバイス(Devices With Over n% Memory Usage)]

  • [ディスク使用率が n% を超えるデバイス(Devices With Over n% Disk Usage)]



ハードウェア インベントリ データは、ISE GUI に表示されるまでに 120 秒かかります。ハードウェア インベントリ データは、 ポスチャ準拠および非準拠の状態に関して収集されます。




  • [ハードウェアの可視性(Hardware Visibility)] ページのクイック フィルタには、3 文字以上入力する必要があります。クイック フィルタを効率的に機能させるには、文字の入力後に他のカラム属性のフィルタをクリックする方法もあります。

  • 次の表はハードウェアに関連した属性に基づいたフィルタリングにのみ使用されるため、一部のカラム属性はグレー表示されています。

  • オペレーティングシステムのフィルタは、[製造元(Manufacturers)] チャートにのみ適用されます。これは、次の表には関連しません。


エンドポイントとその接続された外部デバイスのハードウェア属性は表形式で表示されます。次の ハードウェア属性が表示されます。

  • MAC アドレス

  • BIOS 製造元

  • BIOS シリアル番号

  • BIOS モデル

  • 接続デバイス

  • CPU 名

  • CPU 速度(GHz)

  • CPU 使用率(%)

  • コア数

  • プロセッサ数

  • メモリ サイズ(GB)

  • メモリ使用率(%)

  • 内部ディスクの合計サイズ(GB)

  • 内部ディスクの合計フリー サイズ(GB)

  • 内部ディスクの合計使用率(%)

  • 内部ディスク数

  • NAD ポート ID

  • ステータス

  • ネットワークデバイス名

  • 参照先

  • UDID

  • IPv4 アドレス

  • ユーザ名

  • ホストネーム

  • OS タイプ

  • 異常な動作

  • エンドポイント プロファイル

  • 説明

  • エンドポイント タイプ

  • ID グループ

  • 登録日

  • ID ストア

  • 許可プロファイル

エンドポイントに対応する [接続デバイス(Attached Devices)] カラムの番号をクリックすると、現在エンドポイントに接続されている USB デバイスの名前、カテゴリ、製造元、タイプ、製品 ID、およびベンダー ID を表示できます。



Cisco ISE はクライアントのシステムのハードウェア属性をプロファイリングしますが、Cisco ISE がプロファイリングしないハードウェア属性がいくつか存在することがあります。これらのハードウェア属性は、[ハードウェア コンテキストの可視性(Hardware Context Visibility)] ページに表示されないことがあります。


ハードウェア インベントリ データの収集間隔は、[管理(Administration)] > [システム(System)] > [設定(Settings)] > [ポスチャ(Posture)] > [全般設定(General Settings)] ページで制御できます。デフォルトの間隔は 5 分です。

ダッシュレット

次に、ダッシュレットの例を示します。

  1. ウィンドウが重なり合ったシンボルは、このダッシュレットを「切り離し」ます。つまり、新しいブラウザ ウィンドウでこのダッシュレットを開きます。円形のシンボルは更新を実行します。X でこの ダッシュレットが削除されます。このシンボルは [ホーム(Home)] ページのみで使用可能です。[コンテキストの可視性(Context Visibility)] でダッシュレットを削除するには、画面右上 隅にある歯車のシンボルを使用します。

  2. 一部のダッシュレットには異なるカテゴリのデータが表示されます。リンクをクリックすると、そのデータ セットの円グラフが表示されます。

  3. 円グラフには、選択したデータが表示されます。円グラフの 1 つのセグメントをクリックすると、[コンテキストの可視性(Context Visibility)] で新しいタブが開き、その円グラフセグメントに基づいてフィルタリングされたデータが表示されます。

[ホーム(Home)] ダッシュボードで円グラフのセクションをクリックすると、新しいブラウザウィンドウが開き、円グラフでクリックしたセクション に基づいてフィルタリングされたデータが表示されます。

[コンテキスト(Context)] ビューで円グラフのセクションをクリックすると、表示されているデータがフィルタリングされますが、コンテキストは変更されず、フィルタリングされた データは同じブラウザウィンドウに表示されます。

ビューに表示するデータのフィルタリング

[コンテキストの可視性(Context Visibility)] ページでいずれかのダッシュレットをクリックすると、クリックしたアイテムに基づいて表示されるデータ( 円グラフの一部分など)がフィルタリングされます。

[エンドポイント(Endpoints)] ダッシュレットで [mobil…vices] をクリックすると、ページが再表示され、2 つの [エンドポイント(Endpoints)] ダッシュレット、[ネットワークデバイス(Network Devices)] ダッシュレット、およびデータのリストが表示されます。 次の例に示すように、ダッシュレットとリストにはモバイル デバイスのデータが表示されます。

さらにデータをフィルタリングするには、円グラフの他のセクションをクリックするか、またはデータ リストのコントロールを使用します。

  1. 歯車アイコンにより、表示列がフィルタリングされます。ドロップダウンでは、このダッシュボードのリストに表示する列を選択できます。

  2. デフォルトではクイック フィルタが表示されます。ボックス(ラベル番号 3)に文字を入力すると、 結果に基づいてリストがフィルタリングされます。カスタム フィルタでは、次に示すようにより細かく設定できるフィルタが表示されます。

カスタム フィルタは保存できます。

カスタム フィルタの作成

カスタムフィルタを作成および保存し、プリセットフィルタでフィルタ条件を変更できます。カスタムフィルタ は Cisco ISE データベースに保存されません。カスタムフィルタにアクセスするには、そのフィルタの作成に使用した 同じコンピュータおよびブラウザを使用する必要があります。

手順


ステップ 1

[表示(Show)] ドロップダウン リストをクリックし、[拡張フィルタ(Advanced Filter)] を選択します。

ステップ 2

[フィルタ(Filter)] メニューからフィールド、演算子、値などの検索 属性を指定します。

ステップ 3

[+] をクリックして、 その他の条件を追加します。

ステップ 4

[実行(Go)] をクリックして、指定された属性に一致する エントリを表示します。

ステップ 5

[保存(Save)] アイコンをクリックして フィルタを保存します。

ステップ 6

名前を入力し、[Save(保存)] をクリックします。フィルタ が [表示(Show)] ドロップダウンリストに表示されます。


拡張フィルタを使用した条件によるデータのフィルタリング

拡張フィルタを使用して、 指定した条件(名 = Mike、ユーザグループ = 従業員など)に基づいて情報をフィルタリングできます。複数の条件を指定できます。

手順


ステップ 1

[表示(Show)] ドロップダウン リストをクリックし、[拡張フィルタ(Advanced Filter)] を選択します。

ステップ 2

[フィルタ(Filter)] メニューから検索および検索 属性(フィールド、演算子、値など)を指定します。

ステップ 3

[+] をクリックして、 その他の条件を追加します。

ステップ 4

[実行(Go)] をクリックして、指定された属性に一致する エントリを表示します。


クイック フィルタを使用したフィールド属性によるデータのフィルタリング

クイックフィルタを使用して、 リストページに表示されるフィールド属性の値を入力し、 ページを更新することで、フィルタ 基準に一致するレコードのみを一覧表示できます。

手順


ステップ 1

[表示(Show)] ドロップダウン リストをクリックし、[クイックフィルタ(Quick Filter)] を選択します。

ステップ 2

属性フィールドの 1 つ 以上に検索条件を入力すると、指定した 属性に一致するエントリが自動的に表示されます。


ビューのリストでのエンドポイント アクション

リスト上部にあるツールバーから、リストで選択したエンドポイントに対してアクションを実行できます。すべてのリストですべてのアクション が有効になっているわけではありません。一部のアクションは、使用可能な機能に依存しています。次のリストに、使用する前に ISE で有効にする必要がある 2 つのエンドポイントアクション を示します。

  • 適応型ネットワーク制御(ANC)が有効な場合、リストでエンドポイントを選択して、ネットワーク アクセスを割り当てるかまたは取り消すことができます。 認可変更(CoA)も発行できます。

    ANC(エンドポイント保護サービス)は、ISE の [管理(Administration)] > [システム(System)] > [設定(Settings)] > [エンドポイント保護サービス(Endpoint Protection Service)] > [適応型ネットワーク制御(Adaptive Network Control)] で有効にします。詳細については、『Cisco ISE Admin Guide: Maintain and Monitor』の「Enable Adaptive Network Control in Cisco ISE」のセクションを参照してください

  • MDM がインストールされている場合は、選択したエンドポイントに対して MDM アクションを実行できます。

Cisco ISE ダッシュボード

Cisco ISE ダッシュボードまたはホームページ([ホーム(Home)] > [概要(Summary)])は、Cisco ISE 管理コンソールにログインすると表示されるランディングページです。ダッシュボードは、ウィンドウの上部に沿って表示されるメトリックメーターと下にあるダッシュレットで構成された、集中 管理コンソールです。デフォルトのダッシュボードは、[概要(Summary)] 、[エンドポイント(Endpoints)]、[ゲスト(Guests)]、[脆弱性(Vulnerability)]、[脅威(Threat)] です。詳細については 、「ISE ホームダッシュボード」のセクションを参照してください。



ダッシュボード データはプライマリ PAN にのみ表示されます。

ダッシュボードのリアルタイムデータによって、ネットワークにアクセスしているデバイスおよびユーザの一目で確認できるステータスと、 システムの正常性の概要が示されます。

2 番目のレベルのメニューバーにある歯車アイコンをクリックして、ダッシュボード設定のドロップダウンリストを表示します。次の表に、[ダッシュボード設定(Dashboard Settings)] で使用可能なオプションに関する 情報を示します。

オプション

説明

新しいダッシュボードの追加(Add New Dashboard)

5 つのデフォルトのダッシュボードを含めて、最大で 20 個のダッシュボードを設定できます。

ダッシュボードの名前の変更

ダッシュボードの名前を変更するには、次の手順を実行します(カスタム ダッシュボードに対してのみ使用可能)。

  1. [ダッシュボードの名前の変更(Rename Dashboard)] をクリックします。

  2. 新しい名前を指定します。

  3. [適用(Apply)] をクリックします。

ダッシュレットの追加(Add Dashlet)

ホームページダッシュボードにダッシュレットを追加するには、次の手順を実行します。

  1. [Add Dashlet(s)] をクリックします。

  2. [ダッシュレットの追加(Add Dashlets)] ウィンドウで、追加するダッシュレットの横にある [追加(Add)] をクリックします。

  3. [保存(Save)] をクリックします。

     
    ダッシュボードごとに最大で 9 個のダッシュレットを追加できます。

エクスポート

ダッシュレットデータを PDF または CSV ファイルとしてエクスポートできます。

手順は次のとおりです。

  1. Cisco ISE ホーム ページから、[サマリー(Summary)] など、対応するダッシュボードを選択します。

  2. [ダッシュボード設定(Dashboard Settings)] > [エクスポート(Export)] の順に選択します。

  3. [エクスポート(Export)] ダイアログボックスで、次のいずれかのファイル形式を選択します。

    • 選択したダッシュレットのスナップショットを表示するには、 PDF 形式を選択します。

    • 選択したダッシュボード データを ZIP ファイルとしてダウンロードするには、CSV 形式を選択します。

  4. [ダッシュレット(Dashlets)] セクションで必要なダッシュレットを選択します。

  5. [エクスポート(Export)] をクリックします。

    ZIP ファイルには、選択したダッシュボードの個々のダッシュレット CSV ファイルが含まれています。ダッシュレットの各タブに関連するデータは、 対応するダッシュレット CSV ファイルで個別のセクションとして示されます。

カスタム ダッシュボードをエクスポートする場合、ZIP ファイルは同じ名前でエクスポートされます。たとえば、MyDashboard という名前のカスタムダッシュボード をエクスポートすると、エクスポートされたファイルの名前は MyDashboard.zip となります。

レイアウト テンプレート(Layout Template)

ダッシュレットが表示されるテンプレートのレイアウトを変更できます。

レイアウトを変更するには、次の手順を実行します。

  1. [ダッシュボード設定(Dashboard Settings)] > [レイアウトテンプレート(Layout Template)] の順に選択します。

  2. 使用可能なオプションから必要なレイアウトを選択します。

ダッシュボードの管理

[ダッシュボードの管理(Manage Dashboards)] では次のオプションを使用できます。

  • [デフォルトのダッシュボードにする(Mark as Default Dashboard)]:ダッシュボードをデフォルト ダッシュボード(ホーム ページ)として設定するには、このオプションを使用します

  • [すべてのダッシュボードのリセット(Reset all Dashboards)]:すべてのダッシュボードを元の設定にリセットするには、このオプションを使用します

対応するカスタムダッシュボードの横にある閉じる(x)アイコンをクリックすることで作成したダッシュボードを削除できます。



デフォルト ダッシュボードの名前を変更したり、削除することはできません。

すべてのダッシュレットには右上にツールバーがあり、次のオプションが含まれています。

  • [分離(Detach)]:別のウィンドウにダッシュレットを表示します。

  • [更新(Refresh)]:ダッシュレットを更新します。

  • [削除(Remove)]:ダッシュボードからダッシュレットを削除します。

ダッシュレットの左上隅にあるグリッパ アイコンを使用して、ダッシュレットをドラッグ アンド ドロップできます。

[アラーム(Alarms)] ダッシュレットのクイック フィルタ:[重大(Critical)]、[警告(Warning)]、[情報(Info)] などの重大度に基づいてアラームをフィルタリングできます。[アラーム(Alarms)] ダッシュレットはホームページにあり、[クイックフィルタ(Quick Filter)] オプションがある [フィルタ(Filter)] ドロップダウンリストが含まれています。

Cisco ISE 国際化およびローカリゼーション

Cisco ISE 国際化では、サポートされる言語にユーザ インターフェイスを合わせます。ユーザインターフェイスのローカリゼーションでは、 ロケール固有のコンポーネントおよび翻訳されたテキストが組み込まれます。Windows、MAC OSX、および Android デバイスの場合、ネイティブ サプリカント プロビジョニング ウィザードは、次のサポートされている 言語のいずれかで使用できます。

Cisco ISE の国際化およびローカリゼーションのサポートでは、ポータルに接する エンドユーザに対して UTF-8 符号化で英語以外のテキストをサポートすること、および管理者ポータルの選択的フィールドに重点を置いています。

サポートされる言語

Cisco ISE では、次の言語とブラウザ ロケールのローカリゼーションおよび国際化がサポートされます。

言語

ブラウザ ロケール

中国語(繁体字)

zh-tw

中国語(簡体字)

zh-cn

チェコ語

cs-cz

オランダ語

nl-nl

英語

en

フランス語

fr-fr

ドイツ語

de-de

ハンガリー語

hu-hu

イタリア語

it-it

日本語

ja-jp

韓国語

ko-kr

ポーランド語

pl-pl

ポルトガル語(ブラジル)

pt-br

ロシア語

ru-ru

スペイン語

es-es

エンドユーザ Web ポータルのローカリゼーション

ゲスト、スポンサー、デバイスおよびクライアント プロビジョニングの各ポータルは、サポートされているすべての言語およびロケールにローカライズされています。ローカライズには、 テキストラベル、メッセージ、フィールド名およびボタンラベルが含まれます。クライアントブラウザが Cisco ISE テンプレートにマッピングされていない ロケールを要求した場合、ポータルは英語のテンプレートを使用して内容を表示します。

管理者ポータルを使用して、各言語のゲスト、スポンサー、デバイスの各ポータルで使用されるフィールドを個別に変更できます。 また、言語を追加することも可能です。現在、クライアント プロビジョニング ポータルについては、これらのフィールドはカスタマイズできません。

HTML ページを Cisco ISE にアップロードすることによって、ゲスト ポータルを詳細にカスタマイズできます。カスタマイズしたページをアップロードする場合、 展開に対する適切なローカリゼーションサポートに責任を負うことになります。Cisco ISE では、サンプル HTML ページを含むローカリゼーションサポート例 が提供されており、これをガイドとして使用できます。Cisco ISE には、国際化されたカスタム HTML ページをアップロード、格納、および表示する機能があります。



NAC および MAC エージェントのインストーラおよび WebAgent ページはローカライズされていません。


UTF-8 文字データ エントリのサポート

エンドユーザに(Cisco クライアントエージェントまたはサプリカント、あるいはスポンサー、 ゲスト、デバイス、クライアント プロビジョニングの各ポータルを介して)公開される Cisco ISE フィールドは、すべての言語の UTF-8 文字セットをサポートします。UTF-8 は、Unicode 文字セット用のマルチバイト文字 エンコーディングであり、ヘブライ語、サンスクリット語、 アラビア語など、多数の異なる言語文字セットがあります。

文字の値は、管理設定データベースに UTF-8 で格納され、UTF-8 文字は レポートおよびユーザ インターフェイス コンポーネントで正しく表示されます。

UTF-8 クレデンシャル認証

ネットワーク アクセス認証では、UTF-8 ユーザ名およびパスワードのクレデンシャルがサポートされます。これには、RADIUS、EAP、RADIUS プロキシ、RADIUS トークン、ゲストおよび管理ポータルのログイン認証からの Web 認証が含まれます。ユーザ名 とパスワードの UTF-8 サポートは、ローカル ID ストアおよび外部 ID ストアに対する認証に適用されます。

UTF-8 認証は、ネットワーク ログインに使用されるクライアント サプリカントに依存します。一部の Windows ネイティブサプリカントでは、 UTF-8 ログイン情報はサポートされません。



RSA では UTF-8 ユーザはサポートされないため、RSA を使用した UTF-8 認証はサポートされません。同様に、 Cisco ISE と互換性がある RSA サーバでも UTF-8 がサポートされません。


UTF-8 ポリシーおよびポスチャ評価

属性値に基づいて決定される Cisco ISE のポリシー ルールに、UTF-8 テキストが含まれている場合があります。UTF-8 属性値はルール評価でサポートされます。また、管理ポータルで UTF-8 の値を使用して条件を設定できます。

ポスチャ要件を、UTF-8 文字セットに基づくファイル、アプリケーション、およびサービス条件として変更できます。

サプリカントに送信されるメッセージの UTF-8 サポート

RSA プロンプトおよびメッセージは、RADIUS 属性 REPLY-MESSAGE を使用して、または EAP データ内で、サプリカントに転送されます。 テキストに UTF-8 データが含まれている場合は、サプリカントによって、クライアントのローカル オペレーティング システムの言語サポートに基づいて表示されます。 一部の Windows ネイティブ サプリカントでは、UTF-8 クレデンシャルはサポートされません。

Cisco ISE プロンプトおよびメッセージは、サプリカントが 実行されているクライアントのオペレーティングシステムのロケールと同期していない場合があります。エンドユーザのサプリカントのロケールを Cisco ISE によってサポートされている言語に合わせる必要があります。

レポートおよびアラートの UTF-8 サポート

モニタリングおよびトラブルシューティングのレポートおよびアラートでは、Cisco ISE でサポートされる言語について、 次のように関連属性の UTF-8 の値がサポートされます。

  • ライブ認証の表示

  • レポート レコードの詳細ページの表示

  • レポートのエクスポートと保存

  • Cisco ISE ダッシュボードの表示

  • アラート情報の表示

  • tcpdump データの表示

ポータルでの UTF-8 文字のサポート

Cisco ISE フィールド(UTF-8)では、ポータルおよびエンドユーザメッセージで ローカリゼーション用に現在サポートされているよりも、多くの文字セットが サポートされます。たとえば、Cisco ISE では、 ヘブライ語やアラビア語などの右から左へ記述する言語はサポートされていません( 文字セット自体はサポートされています)。

次の表に、データ の入力および表示に UTF-8 文字をサポートする管理者ポータルおよびエンドユーザポータルの フィールドを示します。次の制限があります。

  • Cisco ISE では、UTF-8 文字を使用したゲストのユーザ名とパスワードはサポートされません。

  • Cisco ISE では、 証明書で UTF-8 文字を使用することはできません。

表 2.管理者ポータルの UTF-8 文字 フィールド

管理者ポータル要素

UTF-8 フィールド

ネットワークアクセスのユーザ 設定

  • [ユーザ名(User name)]

    ユーザ名には、大文字と小文字、数字、スペース、特殊文字( `、%、^、;、:、[、{、|、}、]、\、‘、“、=、<、>、?、!、制御文字を除く)を自由に組み合わせて使用できます。スペースのみのユーザ名も許可されません。

  • [名(First name)]

  • [姓(Last name)]

  • [電子メール(e-mail)]

ユーザ リスト

  • すべてのフィルタ フィールド

  • [ユーザリスト(User List)] ページ に表示される値

  • 左側の ナビゲーション クイック ビュー に表示される値

ユーザ パスワード ポリシー

パスワードには、大文字と 小文字、数字、特殊文字(「!」、「@」、 「#」、「$」、「%」、「^」、「&」、「*」、「(」、「)」など)を自由に組み合わせて使用できます。[パスワード(Password)] フィールドでは、 UTF-8 文字を含むあらゆる文字を使用できますが、制御 文字は使用できません。

言語の中には 大文字または小文字のアルファベットがないものがあります。ユーザパスワードポリシーで ユーザが大文字または小文字でパスワードを入力することを求められているときに、 ユーザの言語がこれらの文字をサポートしていない場合、ユーザは パスワードを設定できません。ユーザパスワードフィールドで UTF-8 文字をサポートするには、ユーザ パスワード ポリシー ページ([管理(Administration)] > [IDの管理(Identity Management)] > [設定(Settings)] > [ユーザパスワードポリシー(User Password Policy)] )で次のオプションをオフにする必要があります。

  • 小文字の英 文字

  • 大文字の英 文字

管理者リスト

  • すべてのフィルタ フィールド

  • [管理者リスト(Administrator List)] ページに表示される値

  • 左側の ナビゲーション クイック ビュー に表示される値

管理者ログイン ページ

  • [ユーザ名(User name)]

RSA

  • メッセージ

  • プロンプト

RADIUS トークン

  • [認証(Authentication)] タブ > [プロンプト(Prompt)]

ポスチャ要件

  • [名前(Name)]

  • [修復アクション(Remediation action)] > [エージェントユーザに表示されるメッセージ(Message shown to Agent User)]

  • 要件リスト表示

ポスチャ条件

  • [ファイル条件(File condition)] > [ファイル パス(File path)]

  • [アプリケーション条件(Application condition)] > [プロセス名(Process name)]

  • [サービス条件(Service condition)] > [サービス名(Service name)]

  • 条件リスト表示

ゲストおよびデバイスの設定

  • [スポンサー(Sponsor)] > [言語テンプレート(Language Template)] :サポートされているすべての言語、すべてのフィールド

  • [ゲスト(Guest)] > [言語テンプレート(Language Template)] :サポートされているすべての言語、すべてのフィールド

  • [デバイス(My Devices)] > [言語テンプレート(Language Template)] :サポートされているすべての言語、すべてのフィールド

システム設定

  • [SMTPサーバ(SMTP Server)] > [デフォルトの電子メールアドレス(Default e-mail address)]

[操作(Operations)] > [アラーム(Alarms)] > [ルール(Rule)]

  • [基準(Criteria)] > [ユーザ(User)]

  • [通知(Notification)] > [電子メール通知ユーザリスト(e-mail Notification user list)]

[操作(Operations)] > [レポート(Reports)]

  • [操作(Operations)] > [ライブ認証(Live Authentications)] > [フィルタ(Filter)] フィールド

  • [操作(Operations)] > [レポート(Reports)] > [カタログ(Catalog)] > [レポートフィルタ(Report filter)] フィールド

[操作(Operations)] > [トラブルシューティング(Troubleshoot)]

  • [一般ツール(General Tools)] > [RADIUS認証トラブルシューティング(RADIUS Authentication Troubleshooting)] > [ユーザ名(Username)]

ポリシー

  • [認証(Authentication)] > ポリシー条件内での av 式の値

  • [許可(Authorization)]/[ポスチャ(Posture)]/[クライアントプロビジョニング(Client Provisioning)] > [その他の条件(Other Conditions)] > ポリシー条件内での av 式の値

ポリシー ライブラリ条件 の属性値

  • [認証(Authentication)] > [単純条件/複合条件(Simple Condition/Compound Condition)] > av 式の値

  • [認証(Authentication)] > 単純 条件リスト表示

  • [認証(Authentication)] > 単純 条件リスト > 左のナビゲーション クイック ビュー表示

  • [許可(Authorization)] > [単純条件/複合条件(Simple Condition/Compound Condition)] > av 式の値

  • [許可(Authorization)] > 単純 条件リスト > 左のナビゲーション クイック ビュー表示

  • [ポスチャ(Posture)] > [ディクショナリ単純条件/ディクショナリ複合条件(Dictionary Simple Condition/Dictionary Compound Condition)] > av 式 の値

  • [ゲスト(Guest)] > [単純条件/複合条件(Simple Condition/Compound Condition)] > av 式の値

ユーザ インターフェイス外での UTF-8 サポート

このセクションでは、Cisco ISE ユーザインターフェイス外で UTF-8 がサポートされる 領域について説明します。

デバッグログおよび CLI 関連の UTF-8 サポート

一部のデバッグログには、属性値およびポスチャ 条件の詳細が表示されます。そのため、すべてのデバッグログで UTF-8 の値が受け入れられます。raw UTF-8 データを含むデバッグログをダウンロードして、 UTF-8 対応ビューアで表示できます。

ACS 移行の UTF-8 サポート

Cisco ISE では、ACS UTF-8 設定オブジェクトおよび値の移行が可能です。一部の UTF-8 オブジェクトの移行は、Cisco ISE UTF-8 言語で サポートされない場合があります。そのため、移行中に提供される UTF-8 データの一部は、 管理ポータルまたはレポート方式を使用して読み取れない表示になる場合があります。( ACS から移行された)読み取り不可能な UTF-8 値は ASCII テキストに変換する必要があります。ACS から ISE への移行についての詳細は、お使いの ISE バージョンの『Cisco Secure ACS to Cisco ISE Migration Tool』を参照してください。

UTF-8 の値のインポートおよびエクスポートのサポート

管理者ポータルおよびスポンサー ポータルは、ユーザ アカウントの詳細をインポートするときに使用される UTF-8 値のプレーン テキストおよび .csv ファイルをサポートします。 エクスポートされたファイルは csv ファイルとして提供されます。

REST での UTF-8 サポート

UTF-8 の値は、外部 REST 通信でサポートされます。これは、admin 認証を除き、 Cisco ISE ユーザインターフェイスの UTF-8 がサポートされる設定可能項目に適用されます。REST での admin 認証には、ログインのために ASCII テキストのログイン情報 が必要です。

ID ストアの許可データの UTF-8 サポート

Cisco ISE では、Active Directory および LDAP がポリシー処理のために許可ポリシーで UTF- 8 データを使用できます。

MAC アドレス の正規化

ISE は 次のいずれかの形式で入力された MAC アドレスの正規化をサポートします。

  • 00-11-22-33-44-55

  • 0011.2233.4455

  • 00:11:22:33:44:55

  • 001122334455

  • 001122-334455

次の ISE ウィンドウでは、完全または部分的な MAC アドレスを指定できます。

  • [ポリシー(Policy)] > [ポリシー セット(Policy Sets)]
  • [ポリシー(Policy)] > [ポリシー要素(Policy Elements)] > [条件(Conditions)] > [許可(Authorization)]

  • [認証(Authentications)] > [フィルタ(Filters)](エンドポイント カラムおよび ID カラム)

  • [グローバル検索(Global Search)]

  • [操作(Operations)] > [レポート(Reports)] > [レポートフィルタ(Reports Filters)]

  • [操作(Operations)] > [診断ツール(Diagnostic Tools)] > [一般ツール(General Tools)] > [エンドポイントのデバッグ(Endpoint Debug)]

次の ISE ウィンドウでは、完全な MAC アドレスを指定する必要があります(「:」または 「-」または「.」で区切られた 6 オクテット)。

  • [操作(Operations)] > [エンドポイント保護サービス(Endpoint Protection Services)][適応型ネットワーク制御(Adaptive Network Control)]

  • [操作(Operations)] > [トラブルシューティング(Troubleshooting)] > [診断ツール(Diagnostic Tools)] > [一般ツール(General Tools)] > [RADIUS認証トラブルシューティング(RADIUS Authentication Troubleshooting)]

  • [操作(Operations)] > [トラブルシューティング(Troubleshooting)] > [診断ツール(Diagnostic Tools)] > [一般ツール(General Tools)] > [ポスチャのトラブルシューティング(Posture Troubleshooting)]

  • [管理(Administration)] > [ID(Identities)] > [エンドポイント(Endpoints)]

  • [管理(Administration)] > [システム(System)] > [展開(Deployment)]

  • [管理(Administration)] > [ロギング(Logging)] > [収集フィルタ(Collection Filter)]

REST API でも、 完全な MAC アドレスの正規化がサポートされます。

有効なオクテットには 0 ~ 9、a ~ f、または A ~ F のみを含めることができます。

Cisco ISE 展開の アップグレード

Cisco ISE では、管理者ポータルから GUI ベースの一元化されたアップグレードが提供されます。アップグレードプロセスは さらに簡素化され、アップグレードの進行状況およびノードのステータスが 画面に表示されます。アップグレード前およびアップグレード後のタスクのリストについては、『 Cisco Identity Services Engine Upgrade Guide』を参照してください。

[アップグレードの概要(Upgrade Overview)] ページには、展開内のすべてのノード、そのノードで有効な ペルソナ、インストールされている ISE のバージョン、およびノードのステータス (ノードがアクティブか非アクティブか)がリストされます。ノードがアクティブな状態である場合にのみ アップグレードを開始できます。

管理者アクセス コンソール

次の手順では、管理ポータルにログインする方法について説明します。

手順


ステップ 1

Cisco ISE URL をブラウザのアドレスバーに入力します(例:https://<ise hostname or ip address>/admin/)。

ステップ 2

ユーザ名と、 Cisco ISE の初期セットアップで指定して設定した 大文字と小文字が区別されるパスワードを入力します。

ステップ 3

[ログイン(Login)] をクリックするか、Enter を押します。

ログインに 失敗した場合は、[ログイン(Login)] ページの [ログインで問題が発生する場合(Problem logging in?)] リンクをクリックして、 手順に従ってください。


管理者ログイン ブラウザのサポート

Cisco ISE 管理者 ポータルは次の HTTPS 対応ブラウザをサポートしています。

  • Mozilla Firefox 72 以前のバージョン

  • Mozilla Firefox ESR 60.9 以前のバージョン

  • Google Chrome 80 以前のバージョン

  • Microsoft Edge ベータ 77 以前のバージョン

  • Microsoft Internet Explorer 10.x および 11.x

    Internet Explorer 10.x を使用する場合は、TLS 1.1 と TLS 1.2 を有効にし、SSL 3.0 と TLS 1.0 を無効にします([インターネットオプション(Internet Options)] > [詳細設定(Advanced)])。

ISE コミュニティリソース

Adblock Plus が使用されていると ISE のページが完全にロードされない

ログインの試行に失敗した後の管理者のロックアウト

管理者ユーザ ID に対して誤ったパスワードを何度も入力すると、アカウントは 指定された時間一時停止されるか、またはロックアウトされます(設定による)。ロックアウトすることを選択した場合は、管理者ポータルによってシステムの「ロックアウト」が表示されます。 Cisco ISE は、サーバ管理者ログインレポートにログエントリを追加し、その管理者 ID のログイン情報を一時停止します。その管理者 ID のパスワードをリセットするには、『Cisco Identity Services Engine Installation Guide』の「Reset a Disabled Password Due to Administrator Lockout」のセクションにおける説明に従います。管理者アカウントが無効になるまでに失敗できる回数は設定可能です。詳細は、『Cisco Identity Services Engine Administrator Guide』の「 Administrative Access to Cisco ISE 」のセクションを参照してください。管理者ユーザ アカウントがロックアウトされると、そのように設定されている場合、Cisco ISE からその管理者ユーザに電子メールが送信されます。

無効になったシステム管理者のステータスは、Active Directory ユーザを含むすべてのスーパー管理者が有効にできます。

Cisco ISE でのプロキシ設定の指定

既存のネットワーク トポロジにおいて、外部 リソース(たとえば、クライアント プロビジョニングやポスチャ関連のリソースが存在するリモートダウンロードサイト)にアクセスするために、Cisco ISE に対してプロキシを使用することが要求されている場合は、管理者ポータルを使用して プロキシのプロパティを指定できます。

プロキシ設定は 次の Cisco ISE 機能に影響します。

  • パートナー モバイル管理

  • エンドポイント プロファイラ フィード サービスの更新

  • エンドポイント ポスチャの更新

  • エンドポイント ポスチャ エージェント リソースのダウンロード

  • CRL(証明書失効リスト)のダウンロード

  • ゲスト通知

  • SMS メッセージの送信

  • [Social Login]

Cisco ISE プロキシ設定は プロキシサーバの基本認証をサポートします。NT LAN Manager(NTLM)認証はサポートされていません。

手順


ステップ 1

[管理(Administration)] > [システム(System)] > [設定(Settings)] > [プロキシ(Proxy)] を選択します。

ステップ 2

プロキシの IP アドレスまたは DNS 解決可能ホスト名を入力し、 Cisco ISE との間のプロキシトラフィックを通過させるポートを [プロキシホストサーバ:ポート(Proxy host server : port)] で指定します。

ステップ 3

必要に応じて、[パスワード必須(Password required)] チェックボックスをオンにします。

ステップ 4

[ユーザ名(User Name)] および [パスワード(Password)] フィールドに、プロキシサーバへの認証に使用するユーザ 名とパスワードを入力します。

ステップ 5

[次のホストとドメインに対するプロキシをバイパス(Bypass proxy for these hosts and domain)] に、バイパスするホストまたはドメインの IP アドレスまたはアドレス範囲を入力します。

ステップ 6

[保存(Save)] をクリックします。


管理者ポータルで使用されるポート

管理者ポータルは HTTP ポート 80 および HTTPS ポート 443 を使用するように設定され、これらの設定は変更できません。Cisco ISE はまた、あらゆるエンドユーザポータルが同じポートを使用することを禁止して、管理者ポータルへのリスクを減らすようになっています。

外部 RESTful サービス API の有効化

外部 RESTful サービス API は HTTPS プロトコルおよび REST 方法論に基づいており、ポート 9060 を使用します。

外部 RESTful サービス API は、基本認証をサポートしています。認証ログイン情報は、暗号化され、 要求ヘッダーの一部となっています。

JAVA、curl Linux コマンド、Python などの REST クライアントやその他のクライアントを使用して、外部 RESTful サービス API コールを呼び出すことができます。

ISE 管理者は、外部 RESTful サービス API を使用して操作を実行するための特権をユーザに割り当てる必要があります。 Cisco ISE 2.6 以降では、ERS ユーザは、内部ユーザになるか、外部 AD に所属することができます。 外部ユーザが所属する AD グループは、ERS 管理者または ERS オペレータのいずれかのグループにマッピングする必要があります。

  • 外部 RESTful サービス管理者:すべての ERS API へのフル アクセス(GET、POST、DELETE、PUT)。このユーザは、ERS API 要求を作成、読み取り、更新、 および削除できます。

  • 外部 RESTful サービス オペレータ:読み取り専用アクセス(GET 要求のみ)。



ネットワーク管理者ユーザは、すべての ERS API にアクセスできます。


外部 RESTful サービス API は、デフォルトではイネーブルになっていません。それらを有効にする前に外部 RESTful サービス API コール を呼び出そうとすると、エラー応答を受信します。Cisco ISE REST API 用に開発されたアプリケーション から Cisco ISE にアクセスできるようにするには、Cisco ISE REST API を有効にする必要があります。Cisco REST API は HTTPS ポート 9060 を使用します。このポートは デフォルトでは閉じられています。Cisco ISE REST API が Cisco ISE 管理用サーバで有効になっていない場合、クライアント アプリケーションは、 サーバから Guest REST API 要求に対するタイムアウトエラーを受信します。

手順


ステップ 1

[管理(Administration)] > [システム(System)] > [設定(Settings)] > [ERS設定(ERS Settings)] を選択します。

ステップ 2

プライマリ管理ノードの [読み取り/書き込み用にERSを有効化(Enable ERS for Read/Write)] を選択します。

ステップ 3

セカンダリノードがある場合は、[その他すべてのノードの読み取り用にERSを有効化(Enable ERS for Read for All Other Nodes)] を選択します。

すべてのタイプの外部 RESTful サービス要求はプライマリ ISE ノードに限り有効です。セカンダリノードは読み取りアクセス (GET 要求)に対応します。

ステップ 4

次のオプションのいずれかを選択します。

  • [セキュリティ強化にCSRFチェックを使用(Use CSRF Check for Enhanced Security)]:このオプションを有効にすると、ERS クライアントは Cisco ISE から Cross-Site Request Forgery(CSRF)トークンを取得する GET 要求を送信し、Cisco ISE に送信される要求に CSRF トークンを含める必要があります。Cisco ISE は、ERS クライアントからの要求を受信すると、 CSRF トークンを検証します。Cisco ISE は、トークンが有効な場合にのみ要求を処理します。 このオプションは、ISE 2.3 以前のクライアントには適用されません。

  • [ERS 要求に対して CSRF を無効にする(Disable CSRF for ERS Request)]:このオプションを有効にすると、CSRF 検証は実行されません。このオプションは、 ISE 2.3 以前のクライアントに使用できます。

ステップ 5

[保存(Save)] をクリックします。


すべての REST 操作が監査され、ログがシステム ログに記録されます。外部 RESTful サービス API にはデバッグロギング カテゴリがあります。このカテゴリは、Cisco ISE GUI のデバッグログページから有効にすることができます。

Cisco ISE で外部 RESTful サービスを無効にすると、ポート 9060 は開いたままになりますが、 ポート経由の通信は許可されません。

ERS API の外部 AD アクセスの有効化

次の手順を使用すると、ERS API の外部 AD アクセスを有効にすることができます。

手順


ステップ 1

[管理(Administration)] > [ID管理(Identity Management)] > [外部IDソース(External Identity Sources)] > [Active Directory] を選択します。

ステップ 2

外部ユーザが所属する AD グループを外部 ID ソースとして追加します。

Cisco ISE Administrator Guide』の「Asset Visibility」の章の「Active Directory as an External Identity Source」のセクションを参照してください。

ステップ 3

AD からユーザ グループを追加します。

Cisco ISE Administrator Guide』の「Asset Visibility」の章の「Add Users」のセクションを参照してください。

ステップ 4

[管理(Administration)] > [管理者アクセス(Admin Access)] > [認証(Authentication)]> [認証方式(Authentication Method)] を選択します。

ステップ 5

[IDソース(Identity Source)] ドロップダウンから [AD:<参加ポイント名>(AD: <Join Point Name>)] を選択します。

ステップ 6

[パスワードベース(Password Based)] または [クライアント証明書ベース(Client Certificate Based)] のいずれかの認証を選択します。

ステップ 7

[管理(Administration)] > [システム(System)] > [管理者アクセス(Admin Access)] > [管理者(Administrators)] > [管理者グループ(Admin Groups)] を選択します。

ステップ 8

外部グループを ERS 管理者グループまたは ERS オペレータ グループにメンバーユーザとして追加します。[管理(Administration)] > [システム(System)] > [管理者アクセス(Admin Access)] > [管理者(Administrators)] > [管理者グループ(Admin Groups)] > [ERS管理者(ERS Admin)][ERSオペレータ(ERS Operators)] に移動します。

ステップ 9

[追加(Add)] をクリックします。

ステップ 10

ユーザを選択します。

ステップ 11

[保存(Save)] をクリックします。


ISE 管理者は、外部 RESTful サービス API を使用して操作を実行するための権限を ユーザに割り当てる必要があります。Cisco ISE 2.6 以降では、ERS ユーザは、内部ユーザになるか、 外部 AD に所属することができます。外部ユーザが所属する AD グループは、 ERS 管理者または ERS オペレータのいずれかのグループにマッピングする必要があります。

  • 外部 RESTful サービス管理者:すべての ERS API へのフルアクセス(GET、POST、 DELETE、PUT)。このユーザは、ERS API 要求を作成、読み取り、更新、および削除できます。

  • 外部 RESTful サービス オペレータ:読み取り専用アクセス(GET 要求のみ)。



ネットワーク管理者ユーザは、すべての ERS API にアクセスできます。


外部 RESTful サービス SDK

外部 RESTful サービス SDK を使用して、独自ツールの構築を開始できます。次の URL から外部 RESTful サービス SDK にアクセスできます。 https://<ISE-ADMIN-NODE>:9060/ers/sdk 外部 RESTful サービス SDK には、 外部 RESTful サービス管理ユーザのみがアクセスできます。

SDK は、次のコンポーネントで構成されています。

  • クイックリファレンス API マニュアル

  • すべての利用可能な API 操作の完全なリスト

  • ダウンロード可能なスキーマ ファイル

  • ダウンロード可能な Java のサンプル アプリケーション

  • cURL スクリプト形式の使用例

  • python スクリプト形式の使用例

  • Chrome POSTMAN の使用方法

システム時刻と NTP サーバ設定の指定

Cisco ISE では、Network Time Protocol(NTP)サーバを 3 台まで設定することができます。NTP サーバを使用すると、正確な 時刻を維持でき、複数のタイムゾーンの間で時刻を同期できます。また、認証済みの NTP サーバのみを Cisco ISE で使用するかどうかを指定することもでき、そのための認証キーを入力できます。

シスコは、すべての Cisco ISE ノードを協定世界時(UTC)の時間帯に設定することを推奨します(特に Cisco ISE ノードが分散展開されてインストールされている場合)。この手順では、展開内にあるさまざまなノードからのレポートとログの タイムスタンプが常に同期されます。

Cisco ISE は、NTP サーバの公開キー認証もサポートしています。NTPv4 は、対称キー暗号化を使用し、公開キー暗号化に基づく 新しい Autokey 方式も提供します。公開キー暗号化は、一般に、各サーバによって生成され公開されない非公開の値に基づいているため、対称キー 暗号化よりも安全であると考えられます。 Autokey では、すべてのキー配布および管理機能には公開値のみが含まれているため、キーの配布 と保管が大幅に簡素化されます。

コンフィギュレーション モードで Cisco ISE CLI から NTP サーバに Autokey を設定できます。IFF(Identify Friend or Foe)識別方式は最も広く使用されている方式なので、この方式を使用することを推奨します。

はじめる前に

スーパー管理者またはシステム管理者の管理者ロールが割り当てられている必要があります。

プライマリおよびセカンダリの両方の Cisco ISE ノードがある場合は、セカンダリノードのユーザインターフェイスにログインし、 展開内の各 Cisco ISE ノードのシステム時間と NTP サーバ設定を個別に設定する必要があります。

手順


ステップ 1

[管理(Administration)] > [システム(System)] > [設定(Settings)] > [システムタイム(System Time)] を選択します。

ステップ 2

NTP サーバに一意の IP アドレス(IPv4/IPv6/FQDN)を入力します。

ステップ 3

システムおよびネットワーク時間の維持に認証済みの NTP サーバだけを使用するように Cisco ISE を制限する場合は、[認証済みの NTP サーバのみ可能(Only allow authenticated NTP servers)] チェックボックスをオンにします。

ステップ 4

(任意)秘密キーを使用して NTP サーバを認証する場合に、指定したサーバのいずれかが認証キーによる認証を必要とする場合は、[NTP認証キー(NTP Authentication Keys)] タブをクリックし、1 つ以上の認証 キーを次のように指定します。

  1. [追加(Add)] をクリックします。

  2. 必要な [キーID(Key ID)] と [キー値(Key Value)] を入力します。 ドロップダウンリストから [HMAC] を選択します。[キー ID(Key ID)] フィールドは 1 ~ 65535 の数値をサポートし、[キー値(Key Value)] フィールドは最大 15 文字の英数字をサポートします。

  3. NTP サーバの認証キーの入力が終了したら、[NTP サーバ設定(NTP Server Configuration)] タブに戻ります。

ステップ 5

(任意)公開キー認証を使用して NTP サーバを認証する場合は、 コマンドライン インターフェイス(CLI)から Cisco ISE で Autokey を設定します。詳細については、ご使用のリリースの ISE の『Cisco Identity Services Engine CLI Reference Guide』で ntp server および crypto コマンドを参照してください。

ステップ 6

[保存(Save)] をクリックします。


システムの時間帯の変更

一度設定すると、管理者ポータルからの時間帯の編集はできません。時間帯設定を変更するには、Cisco ISE CLI で次の コマンドを入力します。

clock timezone timezone



Cisco ISE は、タイムゾーン名と出力の省略形に POSIX スタイルの記号を使用します。そのため、グリニッジの西側のゾーンにはプラス 記号があり、グリニッジの東側のゾーンにはマイナス記号があります。たとえば、TZ='Etc/GMT+4' はグリニッジ標準 時(UT)の 4 時間遅れに相当します。



注意

インストール後に Cisco ISE アプライアンスでタイムゾーンを変更するには、ISE サービスをその特定のノードで再起動する必要があります。そのため、メンテナンス ウィンドウ内でこのような変更を行うことを推奨します。 また、単一 ISE 展開内のすべてのノードが同じタイムゾーンに設定されていることが重要です。複数の ISE ノードが異なる地理的な場所やタイムゾーンにある場合は、すべての ISE ノードで UTC などのグローバルなタイムゾーンを使用する必要があります。


clock timezone コマンドの詳細については、『Cisco Identity Services Engine CLI Reference Guide』を参照してください。

通知をサポートするための SMTP サーバの設定

SMTP サーバの詳細を更新するには、[管理(Administration)] > [システム(System)] > [設定(Settings)] > [プロキシ(Proxy)] > [SMTPサーバ(SMTP Server)] に移動します。アラームの電子メール通知を送信したり、スポンサーがゲストにログイン情報やパスワードのリセット指示の電子メール通知を送信できるようにしたり、 ゲストがアカウント登録に成功した後、自動的にログイン情報を受信したり、 ゲストアカウントの期限が切れる前に実行するアクションを受信したりできるようにするには、Simple Mail Transfer Protocol(SMTP)サーバを設定します。

アラーム通知の受信者は、[電子メールにシステムアラームを含む(Include system alarms in emails)] オプションが有効になっている内部管理者ユーザです。アラーム通知を送信する送信者の電子メール アドレスは、ise@<hostname> としてハード コードされています。

次の表は、電子メールを送信する分散 ISE 環境のノードを示しています。

電子メールの目的

電子メールを送信するノード

ゲストの有効期限

プライマリ PAN

アラーム

アクティブな MnT

ゲストとスポンサーのポータルからのスポンサーとゲストの通知

PSN

パスワードの有効期限

プライマリ PAN

次のフィールドで SMTP サーバを設定します。

  • SMTP サーバの設定(SMTP Server Settings)

    • [SMTPサーバ(SMTP Server)]:アウトバウンド SMTP サーバのホスト名を入力します。

    • [SMTPポート(SMTP Port)]:SMTP ポート番号を入力します。SMTP サーバに接続するには、このポートが開かれている必要があります。

    • [接続タイムアウト(Connection Timeout)]:Cisco ISE が、新しい接続を開始する前に SMTP サーバへの接続を待機する最大時間を入力します。

  • [暗号化設定(Encryption Settings)]:セキュアな SMTP サーバと通信するには、[TLS/SSL暗号化を使用(Use TLS/SSL Encryption)] をオンにします。SSL を使用する場合には、SMTP サーバのルート証明書を Cisco ISE の信頼できる証明書に追加します。

  • [認証設定(Authentication Settings)]:ユーザ名とパスワードの組み合わせと SSL のいずれかを認証に使用できます。SSL がデフォルトです。代わりにユーザ名 とパスワードを使用するには、[パスワード認証を使用(Use Password Authentication)] をオンにします。

インタラクティブヘルプ

インタラクティブヘルプを使用すると、 簡単にタスクを完了するためのヒントとステップバイステップのガイダンスが提供され、ユーザは Cisco ISE で効果的に作業することができます。

この機能はデフォルトでイネーブルになっています。この機能を有効または無効にするには、[管理(Administration)] > [システム(System)] > [設定(Settings)] > [インタラクティブヘルプ(Interactive Help)] を選択し、[インタラクティブヘルプの有効化(Enable Interactive Help)] チェックボックスをオンまたはオフにします。

セキュアなロック解除クライアントメカニズムの有効化

セキュアなロック解除クライアントメカニズムは、Cisco ISE コマンドライン インターフェイス(CLI)で一定期間 、ルートシェルアクセスを提供します。セッションが閉じられるか、または終了するとすぐに、ルートアクセスも取り消されます。

セキュアなロック解除クライアント機能は、同意トークンツールを使用して実装されています。同意トークンは、 お客様とシスコの両方からの相互の同意が得られた後にのみ、信頼できる方法でシスコ製品のアクセス権限を安全に付与するための統一された多要素 認証方式です。

Cisco ISE CLI でルートシェルを有効にするには、次の手順を実行します。

手順


ステップ 1

Cisco ISE CLI で以下を入力します。permit rootaccess:

ise/admin # permit rootaccess
1 Generate Challenge Token Request
2. Enter Challenge Response for Root Access
3. Show History
4. Exit
Enter CLI Option: 
ステップ 2

Generate the Consent Token Challenge by choosing option 1:

1. Generate Challenge Token Request
2. Enter Challenge Response for Root Access
3. Show History
4. Exit
Enter CLI Option: 
1
Generating Challenge.....................................
Challenge String (Please copy everything between the asterisk lines exclusively):
*****************************************************************************************
GLOX7gAAAQEBAAQAAAABAgAEAAAAAAMACLmJxgub0hitBAAQiUwv+XeD3pnJ4HLnJy30YQUABAAADhAGAANJU0UHAAZJU0VfQ1QIAANJU0UJACcJIDU2NGQ5NjgwLTFmZmEtOWI0ZS0wZjY1LTdlZDllMGQ1M2UzNQo=
*****************************************************************************************
Starting background timer of 15mins 
1. Generate Challenge Token Request
2. Enter Challenge Response for Root Access
3. Show History
4. Exit
Enter CLI Option: 
ステップ 3

同意トークンチャレンジを Cisco テクニカル アシスタンス センター(TAC)に送信します。

Cisco TAC は、送信された同意トークンチャレンジを使用して同意トークン応答を生成します。

ステップ 4

オプション 2 を選択してから、Cisco TAC により提供された同意トークン応答を入力します。

Enter CLI Option: 
2
Please input the response when you are ready .........................
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
Response Signature Verified successfully !
Granting shell access
sh-4.2# ls



応答の署名の検証が成功すると、特権アクセスが有効になります。


次の作業

シェルモードを終了するには、exit コマンドを実行します。
sh-4.2# exit
exit
Root shell exited 
オプション 3 を選択して、ルートアクセスセッションの履歴を表示できます。
1. Generate Challenge Token Request
2. Enter Challenge Response for Root Access
3. Show History
4. Exit
Enter CLI Option: 
3
************************************ 
 SN No : 1 
************************************ 
Challenge 3/WcyAAAAQEBAAQAAAABAgAEAAAAAAMACMt89YhCTVWWBAAQwo9lyianfhO4C5u1+v80AQUABAAADhAGAANJU0UHAAZJU0VfQ1QIAANJU0UJACcJIDU2NGQ5NjgwLTFmZmEtOWI0ZS0wZjY1LTdlZDllMGQ1M2UzNQo= generated at 2019-06-12 15:40:01.000
************************************ 
 SN No : 2 
************************************ 

FIPS モードのサポート

ISE FIPS 140 モードでは、FIPS 140-2 モードに対して Cisco FIPS オブジェクト モジュールの暗号化モジュールを初期化します。Cisco Identity Services Engine には、FIPS 140-2 の検証済み暗号化モジュールが組み込まれています。FIPS コンプライアンスの要求の詳細については、『FIPS Compliance Letter』を参照してください。

FIPS モードを有効にすると、Cisco ISE 管理者インターフェイスのページの右上隅のノード名 の左側に FIPS モードアイコンが表示されます。

Cisco ISE は、FIPS 140-2 標準でサポートされないプロトコルまたは証明書の使用を検出すると、準拠していないプロトコルまたは証明書の名前とともに 警告を表示し、FIPS モードは有効になりません。 必ず FIPS に準拠したプロトコルのみを選択し、FIPS モードを有効にする前に FIPS に非準拠の証明書を交換してください。

Cisco ISE にインストールされている証明書で使用されている暗号化方式が FIPS でサポートされていない場合には、証明書を再発行する必要があります。

FIPS モードを有効にすると、次の機能が影響を受けます。

  • Lightweight Directory Access Protocol(LDAP)over Secure Sockets Layer(SSL)

  • Cisco ISE による FIPS 140-2 準拠の有効化の手段として、RADIUS の共有秘密とキー管理が使用されます。FIPS モードが有効になると、 FIPS 非準拠アルゴリズムを使用する機能はすべて失敗します。

FIPS モードを有効にする場合:

  • EAP-TLS、PEAP、および EAP-FAST ですべての FIPS 非準拠暗号スイートは無効になります

  • SSH ですべての FIPS 非準拠暗号スイートは無効になります

  • 証明書と秘密キーには、FIPS 準拠ハッシュと暗号化アルゴリズムのみを使用する必要があります

  • RSA 秘密キーには、2048 ビット以上を指定する必要があります

  • ECDSA 秘密キーには、224 ビット以上を指定する必要があります

  • ECDSA サーバ証明書は TLS 1.2 のみで機能します

  • DHE 暗号は、すべての ISE TLS クライアントの DH パラメータが 2048 ビット以上の場合に機能します

  • 3DES 暗号は、サーバとして機能する ISE に使用することはできません

  • SHA1 は証明書の生成に使用することはできません

  • SHA1 はクライアント証明書で使用することはできません

  • EAP-FAST の匿名 PAC プロビジョニング オプションは無効です

  • ローカル SSH サーバは FIPS モードを動作します

  • RADIUS は次のプロトコルをサポートしていません。

    • EAP-MD5

    • PAP

    • CHAP

    • MS-CHAPv1

    • MS-CHAPv2

    • LEAP

FIPS モードを有効にすると、展開内のすべてのノードが自動的に再起動されます。Cisco ISE はローリング再起動を実行します。具体的には、 最初にプライマリ PAN を再起動し、その後でセカンダリノードを 1 つずつ再起動します。そのため、 設定を変更する前にダウンタイムを計画することをお勧めします。


Tip

データベース移行プロセスを行う場合は、 移行が完了してから FIPS モードを有効にすることを推奨します。


Cisco ISE での FIPS モードの有効化

FIPS モードを有効にする場合:

手順


ステップ 1

[管理(Administration)] > [システム(System)] > [設定(Settings)] > [FIPS モード(FIPS Mode)] を選択します。

ステップ 2

[FIPSモード(FIPS Mode)] ドロップダウンリストで [有効(Enabled)] オプションを選択します。

ステップ 3

[保存(Save)] をクリックして、マシンを再起動します。


次の作業

FIPS モードを有効にしたら、次の FIPS 140-2 準拠機能を有効にして設定します。

また、Common Access Card(CAC)機能を使用して管理者アカウント の許可を有効にすることもできます。許可のために CAC 機能を使用することは、厳密には FIPS 140-2 の要件ではありませんが、 セキュアアクセスの手法としてよく知られており、多くの環境で FIPS 140-2 準拠を強化するために使用されています。

管理者 CAC 認証のための Cisco ISE の設定

はじめる前に

設定を始める前に、次の手順を実行してください。

  • Cisco ISE のドメインネーム サーバ(DNS)が Active Directory に設定されていることを確認します。

  • Active Directory のユーザとユーザ グループ メンバーシップが、管理者 証明書ごとに定義されていることを確認します。

Cisco ISE による 管理者の認証と許可を、ブラウザから送信された CAC ベースのクライアント 証明書に基づいて実行できるようにするには、 次の設定が完了していることを確認してください。

  • 外部 ID ソース (次の例では Active Directory)

  • 管理者が属する Active Directory のユーザグループ

  • ユーザの ID を証明書 の中で見つける方法

  • Active Directory ユーザグループ から Cisco ISE RBAC 権限へのマッピング

  • クライアント証明書に署名する認証局 (信頼)証明書

  • クライアント証明書がすでに CA によって失効させられたかどうかを判断する方法

Cisco ISE にログインする場合、ログイン情報を認証するために Common Access Card(CAC)を使用できます。

手順

ステップ 1

Cisco ISE の Active Directory ID ソースを設定し、Active Directory にすべての Cisco ISE ノードを追加します。

ステップ 2

ガイドラインに従って証明書 認証プロファイルを設定します。

[プリンシパル名X.509属性(Principal Name X.509 Attribute)] フィールドでは、証明書内で管理者ユーザ名が格納されている 属性を選択します。(CAC カードの場合は、カード上の署名証明書 が通常は Active Directory でのユーザの検索に使用されます。 プリンシパル名は、この証明書の「サブジェクトの別名(Subject Alternative Name)」 拡張情報の中にあります。具体的には、この拡張情報の「別の 名前(Other Name)」というフィールドです。したがって、ここで選択する属性は「Subject Alternative Name - Other Name」となります)

ユーザの AD レコード にユーザの証明書が格納されている場合に、 ブラウザから受信した証明書を AD の証明書と比較するには、[証明書のバイナリ比較(Binary Certificate Comparison)] チェックボックスをオンにして、以前に指定した Active Directory インスタンス名 を選択します。

ステップ 3

パスワードベースの管理者認証用の Active Directory を有効にします。Cisco ISE に接続し結合された Active Directory インスタンス名 を選択します。

 

その他の設定が完了するまでは、パスワードベースの 認証を使用します。この 手順の最後に、 認証タイプをクライアント証明書ベースに変更できます。

ステップ 4

外部 管理者グループを作成して、Active Directory グループにマッピングします。[管理(Administration)] > [システム(System)] > [管理者アクセス(Admin Access)] > [管理者(Administrators)] > [管理者グループ(Admin Groups)] を選択します。外部システム管理者 グループを作成します。

ステップ 5

外部管理グループに RBAC 権限を割り当てる管理者 認証ポリシーを設定します。

注意 

外部スーパー管理者グループを作成して Active Directory グループにマッピングし、 スーパー管理者権限を持つ管理者認証ポリシー(メニュー アクセスおよびデータアクセス)を設定し、Active Directory グループに少なくとも 1 人のユーザを作成することを強く推奨します。このマッピングにより、クライアント証明書ベースの認証が有効になると、少なくとも 1 人の外部管理者がスーパー 管理者権限を持つことが保証されます。 これができないと、Cisco ISE 管理者が 管理者ポータルの重要な機能から締め出される状況になる可能性があります。

ステップ 6

[管理(Administration)] > [システム(System)] > [証明書(Certificates)] > [証明書ストア(Certificate Store)] を選択して、認証局証明書 を Cisco ISE 証明書信頼ストアにインポートします。

Cisco ISE が クライアント証明書を受け入れるには、そのクライアント証明書の信頼 チェーンの CA 証明書が Cisco ISE 証明書ストアの中にあることが条件となります。Cisco ISE 証明書ストアには 適切な CA 証明書をインポートする必要があります。

  1. [参照(Browse)] をクリックして証明書を選択します。

  2. [クライアント認証を信頼(Trust for client authentication)] チェックボックスをオンにします。

  3. [送信(Submit)] をクリックします。

    Cisco ISE は、証明書をインポートしたら 展開内のすべてのノードを再起動することを促します。すべての証明書をインポートするまで、 再起動を遅らせることができます。ただし、 すべての証明書をインポートしたら、次に進む前に Cisco ISE を再起動する必要があります。

ステップ 7

失効ステータス確認のための認証局 証明書を設定します。

  1. [管理(Administration)] > [システム(System)] > [証明書(Certificates)] > [OSCPサービス(OSCP Service)] を選択します。

  2. OSCP サーバの名前、説明(任意)、サーバの URL を入力します。

  3. [管理(Administration)] > [システム(System)] > [証明書(Certificates)] > [証明書ストア(Certificate Store)] を選択します。

  4. クライアント証明書に署名できる CA 証明書のそれぞれについて、 その CA の失効ステータスチェックを行う方法を指定する必要があります。リストから CA 証明書を選択して [編集(Edit)] をクリックします。編集 ページで、OCSP または CRL 検証の一方あるいは両方を選択します。OCSP を選択した場合は、CA に使用する OCSP サービスを選択します。CRL を選択した場合は、[CRL配布URL(CRL Distribution URL)] などの設定パラメータを指定します。

ステップ 8

クライアント 証明書ベースの認証を有効にします。[管理(Administration)] > [システム(System)] > [管理者アクセス(Admin Access)] > [認証(Authentication)] を選択します。

  1. [認証方式(Authentication Method)] タブの [クライアント証明書ベース(Client Certificate Based)] 認証タイプを選択します。

  2. 設定済みの証明書 認証プロファイルを選択します。

  3. Active Directory のインスタンス名を選択します。

  4. [保存(Save)] をクリックします。

    ここで、 パスワードベースの認証からクライアント証明書ベースの認証に切り替えます。設定済みの 証明書認証プロファイルにより、 管理者による証明書の認証方法を指定します。管理者は 外部 ID ソースを使用して許可されます。この例では、Active Directory です。

    Active Directory での 管理者の検索には、証明書認証プロファイルからのプリンシパル名属性 が使用されます。

    Cisco ISE は、管理者 CAC 認証に設定されています。


サポートされる Common Access Card 標準

Cisco ISE は、Common Access Card(CAC) 認証デバイスを使用して自身を認証する米国 政府ユーザをサポートします。CAC は特定の 従業員を識別する一連の X.509 クライアント証明書を含む電子 チップの認識票です。CAC によるアクセスには、 カードを挿入し PIN を入力するカードリーダーが必要です。カードからの証明書が Windows の証明書ストアに転送されます。Windows の証明書ストアは、Cisco ISE などの ローカルブラウザで実行されているアプリケーションで使用可能です。

Windows Internet Explorer バージョン 8 または 9 を Windows 7 オペレーティングシステムで使用している場合は、 ActiveIdentity の ActivClient バージョン 6.2.0.133 をインストールする必要があります。このミドルウェアは、Cisco ISE を CAC とともに相互運用するためのサードパーティ 製品です。 ActiveIdentity セキュリティクライアント製品の詳細については、『 ActivID ActivClient Security Software Datasheet』を参照してください。

Cisco ISE での共通アクセス カードの動作

管理者ポータルは、クライアント証明書を使用してのみ Cisco ISE との認証が許可されるように設定できます。 ユーザ ID とパスワードなどのクレデンシャル ベースの認証はできません。クライアント証明書認証では、 共通アクセスカード(CAC)カードを挿入して PIN を入力してから、ブラウザのアドレス フィールドに Cisco ISE 管理者ポータルの URL を入力します。ブラウザによって証明書が Cisco ISE に転送され、Cisco ISE はログインセッションを 証明書の内容に基づいて認証および許可します。このプロセスが完了すると、ユーザは [Cisco ISEモニタリングおよびトラブルシューティング(Cisco ISE Monitoring and Troubleshooting)] ホームページに表示され、適切な RBAC 権限が与えられます。

Diffie-Hellman アルゴリズムを使用した SSH キー交換の保護

Diffie-Hellman-Group14-SHA1 SSH キー交換のみを許可するように Cisco ISE を設定することができます。このためには、Cisco ISE コマンドライン インターフェイス(CLI)のコンフィギュレーション モードから次のコマンドを入力します。

service sshd key-exchange-algorithm diffie-hellman-group14-sha1

次に例を示します。

ise/admin#conf t

ise/admin (config)#service sshd key-exchange-algorithm diffie-hellman-group14-sha1

セキュア syslog 送信のための Cisco ISE の設定

Cisco ISE ノード間で、および モニタリングノードに対して、 TLS 保護されたセキュア syslog のみを送信するように Cisco ISE を設定するには、次の手順を実行します。

はじめる前に

  • 展開内のすべての Cisco ISE ノードに適切なサーバ 証明書が設定されていることを確認します。

  • デフォルト ネットワーク アクセス認証ポリシーが、いずれのバージョンの SSL プロトコルも許可しないことを確認します。

  • 展開内のすべてのノードがプライマリ PAN に登録されていることを確認します。また、 展開の少なくとも 1 つのノードに、セキュア syslog レシーバ(TLS サーバ)としての動作が有効になっているモニタリングペルソナが含まれることも確認します。

手順


ステップ 1

セキュア syslog リモートロギングターゲットを設定します。

ステップ 2

セキュア syslog リモートロギングターゲットに監査可能なイベントを送信するロギング カテゴリを有効にします。

ステップ 3

TCP syslog および UDP syslog コレクタを無効にします。TLS 保護された syslog コレクタのみを 有効にします。


セキュア syslog リモート ロギング ターゲットの設定

Cisco ISE システムログは、さまざまな目的のために、 ログコレクタによって収集され保存されます。セキュア syslog ターゲットを設定するためには、ログコレクタとして Cisco ISE モニタリングノードを選択する必要があります。

手順


ステップ 1

管理者ポータルにログインします。

ステップ 2

[管理(Administration)] > [システム(System)] > [ロギング(Logging)] > [リモートロギングターゲット(Remote Logging Targets)] を選択します。

ステップ 3

[追加(Add)] をクリックします。

ステップ 4

セキュア syslog サーバの名前を入力します。

ステップ 5

[ターゲットタイプ(Target Type)] ドロップダウンリストからセキュア syslog を選択します。

ステップ 6

[ステータス(Status)] ドロップダウンリストで [有効化(Enabled)] を選択します。

ステップ 7

展開の Cisco ISE モニタリングノードの IP アドレスを入力します。

ステップ 8

ポート 番号として「6514」を入力します。セキュア syslog レシーバは TCP ポート 6514 をリッスンします。

ステップ 9

syslog ファシリティ コードを選択します。デフォルトは LOCAL6 です。

ステップ 10

[サーバダウンの場合はバッファメッセージ(Buffer Messages When Server is Down)] チェックボックスをオンにします。このオプションがオンの場合、Cisco ISE は、セキュア syslog レシーバが到達不能な場合には ログを格納し、 セキュア syslog レシーバを定期的に検査し、セキュア syslog レシーバが 起動すると転送します。

  1. バッファ サイズを入力します。

  2. 定期的にセキュア syslog レシーバを検査するように、Cisco ISE の再接続タイムアウト を秒単位で入力します。

ステップ 11

Cisco ISE がセキュア syslog サーバに提示する CA 証明書を選択します。

ステップ 12

[サーバ証明書有効性を無視(Ignore Server Certificate validation)] チェックボックスをオフにします。このオプションをオンにしてはいけません。

ステップ 13

[送信(Submit)] をクリックします。


リモート ロギング ターゲットの設定

次の表で、外部の場所(syslog サーバ)を作成してロギングメッセージを保存するために使用できる [リモートロギングターゲット(Remote Logging Targets)] ページのフィールドについて説明します。 このページへのナビゲーション パスは、[管理(Administration)] > [システム(System)] > [ロギング(Logging)] > [リモートロギングターゲット(Remote Logging Targets)] です。

表 3.リモートロギングターゲット の設定

フィールド

使用上のガイドライン

名前(Name)

新しい ターゲットの名前を入力します。

ターゲット タイプ(Target Type)

ターゲット タイプを選択します。 デフォルトでは、[UDP Syslog] に設定されます。

説明(Description)

新しいターゲットの簡単な説明を入力します。

[IPアドレス(IP Address)]

ログを格納する宛先マシンの IP アドレスまたはホスト名を入力します。ISE は、ロギング用に IPv4 と IPv6 形式をサポートします。

[ポート(Port)]

宛先マシンのポート番号を入力します。

ファシリティ コード(Facility Code)

ロギングに使用する syslog ファシリティ コードを選択します。有効なオプションは、Local0 ~ Local7 です。

最大長(Maximum Length)

リモート ログ ターゲット メッセージの最大長を入力します。有効なオプションは 200 ~ 1024 バイトです。

サーバダウン時のバッファメッセージ(Buffer Message When Server Down)

TCP syslog ターゲットおよびセキュア syslog ターゲットが使用できないときに Cisco ISE に syslog メッセージをバッファさせるには、このチェックボックスをオンにします。 ISE は、接続が再開されるとターゲットへのメッセージの送信を再試行します。 接続が再開された後、メッセージは古いものから順に送信され、バッファ内のメッセージは常に新しいメッセージの前に送信されます。 バッファがいっぱいになると、古いメッセージが廃棄されます。

バッファ サイズ(MB)(Buffer Size (MB))

各 ターゲットのバッファサイズを設定します。デフォルトでは、100 MB に設定されます。バッファサイズを変更すると バッファがクリアされ、特定のターゲットのバッファリングされた既存のすべてのメッセージが失われます。

再接続タイムアウト(秒)(Reconnect Timeout (Sec))

サーバがダウンしている場合に TCP およびセキュア syslog を廃棄する前に保持する期間を秒単位で指定します。

CA 証明書の選択(Select CA Certificate)

クライアント証明書を選択します。

サーバ証明書有効性を無視(Ignore Server Certificate validation)

ISE でサーバ証明書認証が無視されるようにして、syslog サーバを許可するには、このチェックボックスをオンにします。

セキュア syslog ターゲットに監査可能なイベントを送信するためのロギング カテゴリの有効化

Cisco ISE によってセキュア syslog ターゲットに監査可能なイベントが送信されるようにするには、ロギング カテゴリを有効にする必要があります。

手順


ステップ 1

管理者ポータルにログインします。

ステップ 2

[管理(Administration)] > [システム(System)] > [ロギング(Logging)] > [ロギングカテゴリ(Logging Categories)] を選択します。

ステップ 3

[管理および運用の監査(Administrative and Operational Audit)] ロギングカテゴリの横にあるオプションボタンをクリックし、次に [編集(Edit)] をクリックします。

ステップ 4

[ログ重大度レベル(Log Severity Level)] ドロップダウンリストから [警告(WARN)] を選択します。

ステップ 5

[ターゲット(Targets)] フィールドで、以前に作成したセキュアな syslog リモートロギングターゲットを、[選択済み(Selected)] ボックスに移動します。

ステップ 6

[保存(Save)] をクリックします。

ステップ 7

次のロギング カテゴリを有効にする場合は、この手順を繰り返し行います。

  • AAA 監査

    [情報(INFO)] はこのカテゴリのデフォルトのログ重大度レベルであり、編集できないことに注意してください。

  • [ポスチャおよびクライアントプロビジョニングの監査(Posture and Client Provisioning Audit)]


ロギング カテゴリの設定

次の表では、[ロギングカテゴリ(Logging Categories)] ページのフィールドについて説明します。これらのフィールドを使用して、ログの重大度レベル を設定し、選択したカテゴリのログが保存されるロギングターゲットを選択できます。このページへのナビゲーションパスは、[管理(Administration)] > [システム(System)] > [ロギング(Logging)] > [ロギングカテゴリ(Logging Categories)] です。

表 4.ロギング カテゴリの設定

フィールド

使用上のガイドライン

名前(Name)

ロギング カテゴリの名前を表示します。

ログの重大度レベル(Log Severity Level)

次のオプションから、診断ロギング カテゴリの重大度レベルを選択できます。

  • [重大(FATAL)]:緊急事態。 このオプションは、Cisco ISE が使用できないため、緊急措置が必要であることを意味します

  • [エラー(ERROR)]:このオプションは深刻な状態またはエラー状態を示します。

  • [警告(WARN)]:このオプションは、通常の状態ではあるが重大な状態を示します。 これがデフォルトの条件です。

  • [情報(INFO)]:このオプションは、情報メッセージを示します。

  • [デバッグ(DEBUG)]:このオプションは、診断バグ メッセージを示します。

ローカル ロギング(Local Logging)

ローカル ノードで上のこのカテゴリのロギング イベントを有効にするには、このチェックボックスをオンにします。

ターゲット(Target)

左アイコンと右アイコンを使用して [使用可能(Available)] と [選択済み(Selected)] のボックス間でターゲットを移動することによって、カテゴリのターゲットを変更できます。[使用可能(Available)] ボックスには、論理(事前定義済み)と外部(ユーザ定義)という両方の既存のロギング ターゲットが含まれています。 最初は空の [選択済み(Selected)] ボックスには、特定のカテゴリの選択済みターゲットが含まれます。

TCP syslog および UDP syslog コレクタの無効化

Cisco ISE が ISE ノード間で セキュアな syslog のみを送信するには、TCP および UDP syslog コレクタを無効にして、セキュアな syslog コレクタのみを有効にする必要があります。

手順


ステップ 1

管理者ポータルにログインします。

ステップ 2

[管理(Administration)] > [システム(System)] > [ロギング(Logging)] > [リモートロギングターゲット(Remote Logging Targets)] を選択します。

ステップ 3

TCP または UDP syslog コレクタの横にあるオプションボタンをクリックします。

ステップ 4

[編集(Edit)] をクリックします。

ステップ 5

[ステータス(Status)] ドロップダウンリストから [無効化(Disabled)] を選択します。

ステップ 6

[保存(Save)] をクリックします。

ステップ 7

すべての TCP または UDP syslog コレクタが無効になるまで、このプロセスを繰り返します。


デフォルトのセキュア syslog コレクタ

Cisco ISE には、 MnT ノード用のデフォルトのセキュア syslog コレクタがあります。デフォルトでは、これらのデフォルトセキュア syslog コレクタにはロギング カテゴリはマッピングされません。デフォルト セキュア syslog コレクタの名前は次のとおりです。
  • プライマリ MnT ノード:SecureSyslogCollector

  • セカンダリ MnT ノード:SecureSyslogCollector2

[リモートロギングターゲット(Remote Logging Targets)] ページ([管理(Administration)] > [システム(System)] > [ロギング(Logging)])でこの 情報を確認できます。デフォルトの syslog コレクタは削除できません。また、 デフォルト syslog コレクタの [名前(Name)]、[ターゲットタイプ(Target Type)]、[IP/ホストアドレス(IP/Host address)] 、および [ポート(Port)] フィールドは更新できません。

Cisco ISE の新規インストール中に、システムから「デフォルトの自己署名サーバ証明書(Default Self-signed Server Certificate)」が 信頼ストアに追加され、「クライアン認証および syslog 用の信頼(Trust for Client authentication and Syslog)」目的で使用されるものとしてマークされます。これにより、この証明書はセキュア syslog に使用できるようになります。 展開を設定する場合または証明書を更新する場合には、 関連する証明書をセキュア syslog ターゲットに割り当てる必要があります。

アップグレード中に、 ポート 6514 で MnT ノードを指し示している既存のセキュア syslog ターゲットがある場合、同じ名前と設定が維持されますが、 アップグレード完了後にこれらの syslog ターゲットを削除すること、および [名前(Name)]、 [ターゲットタイプ(Target Type)]、[IP/ホスト アドレス(IP/Host address)]、および [ポート(Port)] フィールドを編集することはできません。 アップグレードの時点でこのようなターゲットが存在しない場合、新規 インストールの場合と同様にデフォルトセキュア syslog ターゲットが作成されますが、証明書のマッピングは行われません。これらの syslog ターゲットに関連 証明書を割り当てることができます。どの証明書にもマッピングされていないセキュア syslog ターゲット をロギングカテゴリにマッピングしようとすると、次の メッセージが表示されます。
次の証明書を設定してください。 log_target_name

オフライン メンテナンス

メンテナンス 時間が 1 時間未満の場合、ISE ノードをオフラインにして メンテナンス作業を行います。ノードをオンラインに戻すと、メンテナンス時間内に行われたすべての変更が PAN により自動的に 同期されます。 変更が自動的に同期されない場合は、 PAN を使用して手動で同期できます。

メンテナンス 時間が 1 時間を超える場合は、 メンテナンスの時点でノードを登録解除し、ノードを展開に再び追加するときにノードを再登録します。

処理があまり行われていない時間帯にメンテナンスをスケジュールすることが推奨されます。



  1. キューに格納されているメッセージの数が 1,000,000 を超える場合、または ISE ノードが 6 時間を超えてオフラインになっている場合には、データの複製の問題 が発生している可能性があります。
  2. プライマリ MnT ノードでメンテナンスを行う予定の場合は、メンテナンスアクティビティを実行する前に、MnT ノードの操作 バックアップを作成しておくことを推奨します。

Cisco ISE での証明書の管理

証明書は、個人、サーバ、会社、または その他のエンティティを識別し、そのエンティティを公開キーに関連付ける 電子文書です。自己署名 証明書は、独自の作成者によって署名されます。証明書は、自己署名したり、 外部の認証局(CA)がデジタルで署名したりすることができます。CA 署名付きデジタル 証明書は、業界標準であり、よりセキュアです。

証明書は、ネットワークに対するセキュアなアクセスを提供するために使用されます。Cisco ISE は、ノード間通信、および syslog サーバ、フィードサーバ、すべてのエンドユーザポータル(ゲスト、スポンサーおよび パーソナルデバイスポータル)などの 外部サーバとの通信に証明書を使用します。証明書は、エンドポイントに対して Cisco ISE ノードを識別し、 そのエンドポイントと Cisco ISE ノード間の通信を保護します。

展開内のすべてのノードの証明書を管理するには、管理者ポータルを使用できます。

Cisco ISE によるセキュアなアクセスの提供を可能にする証明書

Cisco Identity Services Engine(ISE)は、公開キーインフラストラクチャ(PKI)に依存して、エンドポイントおよび管理者の両方とのセキュアな通信、そしてマルチノード展開内の複数の Cisco ISE ノード間のセキュアな 通信を実現しています。PKI は、X.509 デジタル証明書 に依存して、メッセージの暗号化と復号化のための公開キーの転送、 およびユーザとデバイスを表す他の証明書の信頼性の検証を行います。 Cisco ISE には、次の 2 つの X.509 証明書のカテゴリを管理する、管理者ポータルが用意されています。

  • システム証明書:これらはクライアント アプリケーションに対して Cisco ISE ノードを識別する サーバ証明書です。 各 Cisco ISE ノードには独自のシステム証明書があり、それぞれの証明書は対応する秘密キーとともにノードに 格納されています。

  • 信頼できる証明書: この証明書は、ユーザおよびデバイスから受信した 公開キーの信頼を確立するために使用される認証局(CA)証明書です。信頼できる証明書ストア には、Simple Certificate Enrollment Protocol(SCEP)から配信された証明書も含まれます。これにより、モバイルデバイスを 企業ネットワークに登録できるようになります。信頼できる証明書ストア内の証明書は プライマリ管理ノード(PAN)で管理され、Cisco ISE 展開内の他のすべてのノードに自動的に 複製されます。

分散展開では、 証明書を PAN の証明書信頼リスト(CTL)のみにインポートする必要があります。この証明書はセカンダリ ノードに複製されます。

一般に、Cisco ISE での 証明書認証が、 証明書による認証機能のわずかな違いの影響を受けないようにするために、ネットワークに展開されているすべての Cisco ISE ノードには小文字のホスト名を使用してください。

証明書 の使用

Cisco ISE に証明書を追加またはインポートする場合、 証明書の使用目的を指定する必要があります。

  • 管理者: ノード間通信および管理者ポータルの認証

  • EAP: TLS ベースの EAP 認証

  • RADIUS DTLS: RADIUS DTLS サーバ認証用

  • ポータル: すべての Cisco ISE エンドユーザポータルとの通信

  • xGrid: pxGrid コントローラとの通信

管理者ポータル (管理者)、pxGrid コントローラ(xGrid)との通信および TLS ベースの EAP 認証 (EAP)に、各ノードから 異なる証明書を関連付けることができます。ただし、これらの 各目的に各ノードから関連付けることができる証明書は 1 つのみです。

Web ポータル要求を処理できる展開に複数のポリシーサービスノード(PSN)がある場合、Cisco ISE には一意の ID が必要です。この ID で、 ポータルの通信に使用する必要がある証明書を識別します。 ポータルでの使用に指定された証明書を追加またはインポートする場合、 証明書グループタグを定義して、それを展開内の 各ノードの対応する証明書に関連付ける必要があります。この証明書グループタグを 対応するエンドユーザポータル(ゲスト、スポンサー、およびパーソナルデバイス ポータル)に関連付ける必要があります。この証明書グループタグは一意の ID で、Cisco ISE が 各ポータルと通信する際に使用する必要がある証明書を識別する場合に役立ちます。 ポータルごとに各ノードから 1 つの証明書を指定できます。



EAP-TLS クライアント証明書では、以下の 暗号に対し、KeyUsage=Key Agreement および ExtendedKeyUsage=Client Authentication が必要です。

  • ECDHE-ECDSA-AES128-GCM-SHA256

  • ECDHE-ECDSA-AES256-GCM-SHA384

  • ECDHE-ECDSA-AES128-SHA256

  • ECDHE-ECDSA-AES256-SHA384

EAP-TLS クライアント証明書では、以下の 暗号に対し、KeyUsage=Key Encipherment および ExtendedKeyUsage=Client Authentication が必要です。

  • AES256-SHA256

  • AES128-SHA256

  • AES256-SHA

  • AES128-SHA

  • DHE-RSA-AES128-SHA

  • DHE-RSA-AES256-SHA

  • DHE-RSA-AES128-SHA256

  • DHE-RSA-AES256-SHA256

  • ECDHE-RSA-AES256-GCM-SHA384

  • ECDHE-RSA-AES128-GCM-SHA256

  • ECDHE-RSA-AES256-SHA384

  • ECDHE-RSA-AES128-SHA256

  • ECDHE-RSA-AES256-SHA

  • ECDHE-RSA-AES128-SHA

  • EDH-RSA-DES-CBC3-SHA

  • DES-CBC3-SHA

  • RC4-SHA

  • RC4-MD5


Cisco ISE の証明書の一致

展開内で Cisco ISE ノードをセットアップすると、2 つのノードが相互に通信します。システムは各 ISE ノードの FQDN を調べ、FQDN が一致することを確認します(たとえば ise1.cisco.com と ise2.cisco.com、またはワイルドカード証明書を使用している場合は *.cisco.com)。 また、外部マシンから ISE サーバに証明書が提示される場合、認証のために提示される外部証明書が、 ISE サーバの証明書と照合されます。2 つの証明書が一致すると、認証は成功します。

では、 ノード間(2 ノードの場合)、または と pxGrid の間で照合が実行されます。

Cisco ISE は、サブジェクト名の一致を次のようにして確認します。

  1. Cisco ISE により証明書のサブジェクト代替名(SAN)の拡張が確認されます。SAN に 1 つ以上の DNS 名が含まれている場合は、 それらの DNS 名の 1 つが Cisco ISE ノードの FQDN に一致している必要があります。ワイルドカード証明書が使用されている場合、ワイルドカードドメイン 名は Cisco ISE ノードの FQDN ドメインに一致している必要があります。

  2. SAN に DNS 名が存在しない場合、または SAN 全体が欠落している場合は、証明書の [サブジェクト(Subject)] フィールドの一般名(CN)または 証明書の [サブジェクト(Subject)] フィールドのワイルドカードドメインが、ノードの FQDN に一致している必要があります。

  3. 一致しない場合、 証明書は拒否されます。



    Cisco ISE にインポートされる X.509 証明書は、Privacy Enhanced Mail(PEM)または Distinguished Encoding Rules(DER)形式である必要があります。証明書チェーン (システム証明書、およびその証明書に署名する一連の信頼された証明書)が含まれたファイルはインポートすることができますが、特定の 制限の対象となります。


X.509 証明書の有効性

X.509 証明書が有効なのは、 指定された特定の日付までのみです。システム証明書が期限切れになった場合、その証明書に依存する Cisco ISE 機能が影響を受けます。Cisco ISE は、 有効期限 が 90 日以内になると、システム証明書の有効期間の残りについて通知します。この通知は、いくつかの方法で表示されます。

  • 配色された有効期限のステータス アイコンが、[システム証明書(System Certificates)] ページに表示されます。

  • 期限切れメッセージが Cisco ISE システム診断レポートに表示されます。

  • 有効期限のアラームは、 有効期限の 90 日前、60 日前に生成され、 有効期限前の最後の 30 日間には毎日生成されます。

失効した証明書 が自己署名証明書の場合は、この 証明書を編集して有効期限を延長できます。CA 署名付き証明書の場合は、 CA から新しい証明書を取得するのに十分な期間を確保する必要があります。

Cisco ISE での PKI の有効化

公開キーインフラストラクチャ (PKI)は、セキュアな通信を可能にし、 デジタル署名を使用してユーザの ID を確認する暗号化技術です。

手順


Step 1

EAP-TLS などの TLS 対応認証プロトコル、 管理者ポータルの認証、Cisco ISE Web ポータルにアクセスするブラウザおよび REST クライアント、および pxGrid コントローラ向けのシステム証明書を各展開ノードで確立します。

デフォルトで、Cisco ISE ノードには EAP 認証、管理者用ポータル、 ポータル、pxGrid コントローラに使用される自己署名証明書があらかじめインストールされています。一般的な企業環境では、この証明書は、信頼された CA によって署名されたサーバ証明書 に置き換えられます。

ステップ 2

信頼できる 証明書ストアに、 ユーザとの信頼を確立するために必要な CA 証明書と、 Cisco ISE に提示されるデバイス証明書を配置します。

ルート CA 証明書 と 1 つ以上の中間 CA 証明書 で構成されている証明書チェーンでユーザまたはデバイス証明書の信頼性を確認するには、次の手順を実行します。

  • ルート CA の [信頼性(Trust)] オプションを有効にします。

    Cisco ISE の GUI から、[管理(Administration)] > [システム(System)] > [証明書(Certificate)] > [証明書の管理(Certificate Management)] > [信頼できる証明書(Trusted certificates)] を選択します。このウィンドウで、ルート CA 証明書を選択し、[編集(Edit)] をクリックします。[使用方法(Usage)] タブで、[信頼先(Trusted For)] セクションのチェックボックスをオンにします。

  • ルート CA の [信頼(Trust)] オプションを有効にしない場合は、CA 証明書チェーン全体を信頼できる証明書 ストアにインポートします。

ノード間の通信では、Cisco ISE 展開内の各ノードに属する 管理者システム証明書を検証するために必要な信頼された証明書を、信頼できる証明書ストアに配置する必要があります。ノード間の通信にデフォルトの自己署名 証明書を使用する場合は、各 Cisco ISE ノードの [システム証明書(System Certificates)] ページからこの証明書をエクスポートし、信頼できる証明書ストアにインポートする必要があります。自己署名証明書を CA 署名証明書で置き換える場合に必要なのは、 適切なルート CA 証明書および中間 CA 証明書を信頼できる証明書ストアに配置することだけです。 この手順を完了するまでは、ノードを Cisco ISE 展開に登録できないことに注意してください。

展開内でクライアントと PSN の間のセキュアな通信に自己署名証明書を使用する場合、BYOD ユーザが ある場所から別の場所に移動すると、EAP-TLS ユーザ認証は失敗します。 一部の PSN 間で提供される必要があるこのような認証要求の場合、外部で署名された CA 証明書を使用してクライアントと PSN の間の通信を保護するか、または外部の CA によって署名された ワイルドカード証明書を使用する必要があります。

 

スタンドアロンの Cisco ISE または PAN からバックアップを取得した後に、展開内の 1 つ以上のノードの証明書設定を変更する場合は、データを復元するために別のバックアップを取得する必要があります。そうしないで 古いバックアップを使用してデータを復元すると、ノード間の通信が失敗する可能性があります。


ワイルドカード証明書

ワイルドカード証明書は ワイルドカード表記(ドメイン名の前にアスタリスクとピリオドの形式)を使用し、 組織の複数のホスト間で証明書を共有できるようにします。 たとえば、証明書サブジェクトの CN 値は aaa.ise.local などの汎用 ホスト名であり、SAN フィールドには、同じ汎用 ホスト名と DNS.1=aaa.ise.local および DNS.2=*.ise.local などのワイルドカード表記が含まれます。

*.ise.local を使用してワイルドカード証明書を設定すると、その同じ証明書を使用して、次のような、 DNS 名が「.ise.local」で終了する他のすべてのホストを保護することができます。

  • aaa.ise.local

  • psn.ise.local

  • mydevices.ise.local

  • sponsor.ise.local

ワイルドカード証明書は通常の証明書と同じ方法で 通信を保護し、要求は 同じ検証方式を使用して処理されます。

次の図に、 Web サイトの保護に使用されるワイルドカード証明書の例を示します。

図 1ワイルドカード証明書 の例

Cisco ISE のワイルドカード証明書のサポート

Cisco ISE はワイルドカード 証明書をサポートしています。以前のリリースの Cisco ISE では、 HTTPS に対して有効になったすべての証明書を検証し、CN フィールドがホストの完全修飾(FQDN) と正確に一致することを確認していました。フィールドが一致しない場合、その証明書は HTTPS 通信に使用できませんでした。

以前のリリースの Cisco ISE では、 CN 値を使用して、url-redirect A-V pair 文字列の変数を置き換えていました。この CN 値は、すべての Centralized Web Authentication(CWA)、オンボーディング、ポスチャ リダイレクションなどに使用されました。

Cisco ISE は CN として ISE ノードの ホスト名を使用します。

HTTPS および EAP 通信用のワイルドカード証明書

SSL/TLS トンネリングを使用する Admin(Web ベースのサービス)および EAP プロトコルに対して、Cisco ISE でワイルドカード サーバ証明書を使用できます。ワイルドカード証明書を使用することにより、 各 Cisco ISE ノードに固有の証明書を生成する必要がなくなります。 また、 証明書の警告を防ぐために、SAN フィールドに複数の FQDN 値を入力する必要もありません。SAN フィールドでアスタリスク(*)を使用すると、 展開内の複数のノードで単一の証明書を共有できるようになり、 証明書名の不一致による警告を防止することができます。ただし、ワイルドカード 証明書は、各 Cisco ISE ノードに固有のサーバ 証明書を割り当てる場合よりも安全性が低いと見なされます。

ゲストポータルにパブリックワイルドカード証明書を割り当て、ルート CA 証明書を使用してサブ CA をインポートする場合、ISE サービスが再起動されるまで証明書 チェーンは送信されません。



ワイルドカード証明書を使用する場合は、セキュリティを強化するためにドメイン 領域を分割することを推奨します。たとえば、*.example.com の代わりに *.amer.example.com を使用して領域を分割することができます。ドメインを分割しないと、 重大なセキュリティ問題が発生する可能性があります。


ワイルドカード証明書 では、ドメイン名の前にアスタリスク(*)およびピリオドが使用されます。たとえば、証明書のサブジェクト名の CN 値は aaa.ise.local などの汎用ホスト名になり、SAN フィールドには *.ise.local のようなワイルドカード文字が入力されます。Cisco ISE は、ワイルドカード証明書(提示される ID の一番左の文字がワイルドカード 文字(*))をサポートします。 たとえば、*.example.com または *.ind.example.com のように表記できます。 提示される ID に追加の文字と ワイルドカード文字が含まれた証明書はサポートされません。たとえば、abc*.example.com、a*b.example.com、または *abc.example.com は使用できません。

URL リダイレクションの完全修飾ドメイン名

Cisco ISE が認証プロファイルリダイレクトを構築(中央集中型 Web 認証、デバイス登録 Web 認証、 ネイティブサプリカントのプロビジョニング、モバイルデバイス管理、およびクライアントのプロビジョニングとポスチャサービスに対して)する場合、結果の cisco-av-pair ペア には、次のような文字列が含まれます。

url-redirect=https://ip:port/guestportal/gateway?sessionId=SessionIdValue&action=cwa

この要求を処理するときに、Cisco ISE は文字列の一部のキーワードを実際の値で置き換えます。たとえば、SessionIdValue は、要求の実際のセッション ID に置き換えられます。eth0 インターフェイスの場合、Cisco ISE は URL 内の IP を Cisco ISE ノードの FQDN で置き換えます。eth0 以外のインターフェイスの場合、Cisco ISE は URL 内の IP アドレスを使用します。インターフェイス eth1 から eth3 にはホストのエイリアス(名前) を割り当てることができます。このエイリアスは Cisco ISE が URL リダイレクション中に IP アドレスの代わりに置き換えることができます。

この操作は、Cisco ISE CLI の ISE /admin(config)# プロンプトからコンフィギュレーション モードで ip host コマンドを使用して実行できます。

ip host IP_address host-alias FQDN-string

ここで、IP_address はネットワーク インターフェイス(eth1 または eth2 または eth3)の IP アドレスで、host-alias は ネットワーク インターフェイスに割り当てる名前です。FQDN-string は、ネットワーク インターフェイスの完全修飾ドメイン名です。このコマンドを使用して、 ネットワーク インターフェイスに host-alias または FQDN-string あるいはその両方を割り当てることができます。

ip host コマンドの使用例:ip host a.b.c.d sales sales.amerxyz.com

eth0 以外のインターフェイスにホストのエイリアスを割り当てたら、 application start ise コマンドを使用して Cisco ISE でアプリケーションサービスを再起動する必要があります。

このホスト エイリアスのネットワーク インターフェイスとの関連付けを削除するには、次のようにこのコマンドの no 形式を使用します。

no ip host IP_address host-alias FQDN-string

ホストのエイリアスの定義を表示するには、show running-config コマンドを使用します。

FQDN 文字列を指定している場合は、その FQDN で URL 内の IP アドレスが置き換えられます。ホストのエイリアスのみを指定した場合は、 Cisco ISE はそのホストエイリアスと設定された IP ドメイン名を結合して完全な FQDN を形成し、URL 内の IP アドレス をその FQDN で置き換えます。ネットワーク インターフェイスをホストのエイリアスにマッピングしない場合は、URL 内の ネットワーク インターフェイスの IP アドレスが使用されます。

クライアントのプロビジョニング、ネイティブサプリカント、またはゲストフローに対して eth0 以外のインターフェイスを使用する場合は、 eth0 以外のインターフェイスの IP アドレスまたはホストエイリアスがポリシーサービスノードの証明書の SAN フィールドに適切に設定されていることを確認する必要があります。

ワイルドカード証明書を使用する利点

  • コスト削減。サードパーティの認証局によって署名された証明書には高額な費用がかかります(特にサーバ数 が多い場合)。ワイルドカード証明書は、Cisco ISE 展開内の複数ノードで使用できます。

  • 運用の効率化。ワイルドカード証明書は、すべてのポリシー サービス ノード(PSN)EAP および Web サービスが同じ証明書を共有することを可能にします。 証明書を 1 回作成して、 すべての PSN に適用することにより、コストを大幅に削減できるだけでなく、証明書の管理も簡素化されます。

  • 認証エラーの低減。ワイルドカード証明書は、クライアントがプロファイル内に信頼された 証明書を保存しており、そのクライアントが iOS のキーチェーン(署名ルートが信頼されている)に従っていない Apple iOS デバイスで発生する問題に対処します。iOS クライアント が最初に PSN と通信する際、このクライアントはその PSN の証明書を(信頼された認証局 が署名している場合でも)明示的に信頼しません。ワイルドカード証明書を使用すると、この証明書がすべての PSN で同一になるため、ユーザは 証明書の受け入れを 1 回行えばよく、その後の異なる PSN に対する認証はエラーやプロンプトが表示されることなく進行します。

  • 簡素化されたサプリカントの設定。たとえば、PEAP-MSCHAPv2 およびサーバ証明書の信頼 が有効になっている Microsoft Windows サプリカントで、各サーバ証明書を信頼するように指定することが必要とされており、そのように指定されていない場合、 そのクライアントが別の PSN を使用して接続を行うと、各 PSN 証明書を信用するように、ユーザにプロンプトが出される可能性があります。ワイルドカード証明書を使用すると、 各 PSN の個別の証明書ではなく、単一のサーバ証明書を信頼するだけで済みます。

  • ワイルドカード証明書を使用すると、プロンプトの提示が減り、よりシームレスな接続が実現されることにより、ユーザ エクスペリエンスが改善されます。

ワイルドカード証明書を使用することの欠点

次に、ワイルドカード証明書に関連するセキュリティ上の考慮事項の一部を説明します。
  • 監査性と否認防止性の低下

  • 秘密キーの露出の増加

  • 一般的ではなく、管理者により理解されていない

ワイルドカード証明書は ISE ノードごとの固有のサーバ証明書よりも安全性が低いと見なされています。ただし、コスト、およびその他の運用関連の 要因がセキュリティリスクに勝っています。

ASA などのセキュリティ デバイスも、ワイルドカード証明書をサポートしています。

ワイルドカード証明書を展開する場合には注意が必要です。たとえば、*.company.local を使用して証明書を作成したとします。 該当の秘密キーを攻撃者が回復できた場合、攻撃者は company.local ドメイン内のすべてのサーバをスプーフィングすることができます。したがって、 このタイプの危険を回避するために、ドメイン領域を分割することがベストプラクティスと見なされています。

この想定される問題に対処し、利用範囲を制限するために、ワイルドカード証明書を使用して組織の特定の サブドメインを保護することもできます。 ワイルドカードを指定する一般名のサブドメイン領域に、アスタリスク(*)を追加します。

たとえば、*.ise.company.local に対してワイルドカード証明書を設定すると、その証明書は次のような、 DNS 名が「.ise.company.local」で終わるすべてのホストを保護するために使用できます。

  • psn.ise.company.local

  • mydevices.ise.company.local

  • sponsor.ise.company.local

ワイルドカード証明書の互換性

ワイルドカード 証明書は通常、証明書サブジェクトの一般名 (CN)としてリストされているワイルドカードを使用して作成されます。Cisco ISE は、このタイプの作成をサポートします。 ただし、すべてのエンドポイントサプリカントが 証明書サブジェクトのワイルドカード文字をサポートするわけではありません。

テスト済みのすべての Microsoft ネイティブ サプリカント(Windows Mobile を含む)の一部は、証明書のサブジェクトのワイルドカード文字 をサポートしていません。

Cisco AnyConnect Network Access Manager(NAM)など、 [サブジェクト(Subject)] フィールドでのワイルドカード文字の使用をサポートできる他の サプリカントを使用することができます。

また、DigiCert の Wildcard Plus など、証明書の サブジェクト代替名に特定のサブドメインを含めることで、 互換性のないデバイスを使用するように設計された、 特別なワイルドカード証明書を使用することもできます。

Microsoft サプリカントの制限はワイルドカード 証明書の使用にとって妨げになるように見えますが、ワイルドカード証明書 を作成して、 Microsoft のネイティブサプリカントを含む、セキュアなアクセスについてテスト済みのすべてのデバイスを使用できるようにする別の方法があります。

このためには、 サブジェクトにワイルドカードを使用する代わりに、[Subject Alterative Name (SAN)] フィールドでワイルドカード 文字を使用します。SAN フィールド はドメイン名(DNS 名)を検査するように設計された拡張を保持します。詳細については、 RFC 6125 および 2128 を参照してください。

証明書の階層

管理者ポータルから、すべてのエンドポイント、システム、および信頼できる証明書の証明書階層または証明書信頼チェーンを表示できます。証明書階層には、証明書、すべての中間認証局(CA)の証明書、 およびルート証明書が含まれています。たとえば、管理者ポータルからシステム証明書を表示すると、デフォルトでは該当するシステム証明書の詳細が表示されます。証明書階層は、 証明書の上部に表示されます。詳細を表示するには、その階層で証明書をクリックします。自己署名証明書には 階層または信頼チェーンがありません。

証明書の リストページで、[ステータス(Status)] 列に次のアイコンのいずれかが表示されます。

  • 緑色の アイコン:有効な証明書(有効な信頼チェーン)を示します。

  • 赤色のアイコン: エラーを示します(たとえば、信頼証明書の欠落または期限切れ)。

  • 黄色のアイコン: 証明書が期限切れ間近であることを警告し、更新処理を求めます。

システム証明書

Cisco ISE システム 証明書は、展開に含まれる その他のノードおよびクライアント アプリケーションに対して Cisco ISE ノードを識別するサーバ証明書です。 システム証明書の用途は次のとおりです。

  • Cisco ISE 展開で ノード間通信に使用されます。 この証明書の場合、[使用方法(Usage)] フィールドで [管理(Admin)] オプションを選択します。

  • Cisco ISE Web ポータルに接続するブラウザおよび REST クライアントで使用されます。この証明書の場合、 [使用方法(Usage)] フィールドで [ポータル(Portal)] オプションを選択します。

  • PEAP および EAP-FAST を使用する外部 TLS トンネルを形成するために使用されます。EAP-TLS、PEAP、および EAP-FAST の相互認証の場合、 [使用方法(Usage)] フィールドで [EAP] オプションを選択します。

  • RADIUS DTLS サーバ認証に使用されます。

  • SAML ID プロバイダー(IdP)との通信に使用されます。この証明書の [使用方法(Usage)] フィールドで [SAML] オプションを選択します。[SAML] オプションを選択すると、 その他のサービスにこの証明書を使用することはできません。

  • pxGrid コントローラとの通信に使用されます。この証明書の場合、[使用方法(Usage)] フィールドで [pxGrid] オプションを選択します。

Cisco ISE 展開内の 各ノードで有効なシステム証明書をインストールする必要があります。 デフォルトでは、 インストール時に Cisco ISE ノードに 2 つの自己署名証明書と、内部 Cisco ISE CA により署名された 1 つの証明書が作成されます。

  • [EAP]、 [管理(Admin)]、[ポータル(Portal)]、および [RADIUS DTLS] のための自己署名 サーバ証明書(キーサイズは 2048 で 1 年間有効)

  • SAML IdP との安全な通信に使用できる自己署名 SAML サーバ証明書(キーサイズは 2048 で 1 年間有効)

  • pxGrid クライアントとの安全な通信に使用できる内部 Cisco ISE CA 署名付きサーバ証明書(キーサイズは 4096 で 1 年間有効)

展開をセットアップし、セカンダリノードを登録すると、pxGrid コントローラ用の証明書が自動的に プライマリノードの CA 署名付き証明書に置き換わります。したがってすべての pxGrid 証明書が同一の PKI トラスト階層の一部となります。



ワイルドカードシステム証明書をエクスポートして、( ノード間通信用に)他のノードにインポートする場合は、必ず証明書と秘密 キーをエクスポートして、暗号化パスワードを指定してください。インポート時は、 証明書、秘密キー、および暗号化パスワードが必要です。




お使いのリリースでサポートされているキーと暗号情報を確認するには、適切なバージョンの『Cisco Identity Services Engine Network Component Compatibility』ガイドを参照してください。


セキュリティを強化するために、自己署名証明書を CA 署名付き証明書で置き換えることを推奨します。 CA 署名付き証明書を取得するには、以下を行う必要があります。

  1. 証明書署名要求の作成と認証局への CSR の送信

  2. 信頼できる証明書ストアへのルート証明書のインポート

  3. CSR への CA 署名付き証明書のバインド

ISE コミュニティリソース

How To: Implement ISE Server-Side Certificates

Certificate Renewal on Cisco Identity Services Engine Configuration Guide

システム証明書の表示

[システム証明書(System Certificate)] ページに、Cisco ISE に追加されたすべてのシステム証明書が一覧表示されます。

はじめる前に

次のタスクを実行するには、スーパー管理者またはシステム管理者である必要があります。

手順

ステップ 1

[管理(Administration)] > [システム(System)] > [証明書(Certificates)] > [システム証明書(System Certificates)] を選択します。

[システム証明書(System Certificate)] ページが表示されます。このページには、システム証明書に関する次の情報が表示されています。

  • [フレンドリ名(Friendly Name)]:証明書の名前。

  • [使用者(Used By)]:この証明書が使用されるサービス。

  • [ポータル グループ タグ(Portal group tag)]:ポータルを使用するように指定された証明書に対してのみ適用できます。どの証明書を ポータルに使用しなければならないかを指定します。

  • [発行先(Issued To)]:証明書のサブジェクトの一般名。

  • [発行元(Issued By)]:証明書発行者の一般名

  • [有効期限の開始(Valid From)]:証明書の作成日付(Not Before 証明書属性)。

  • [期限日(Expiration Date)]:証明書の有効期限(Not After 証明書属性)。 証明書の有効期限を示します。ここには、アイコンが関連付けられた 5 つのカテゴリがあります。

    • [91 日以上で期限切れ(Expiring in more than 90 days)](緑のアイコン)

    • [90 日以内に期限切れ(Expiring in 90 days or less)](青のアイコン)

    • [60 日以内に期限切れ(Expiring in 60 days or less)](黄色のアイコン)

    • [30 日以内に期限切れ(Expiring in 30 days or less)](オレンジのアイコン)

    • [期限切れ(Expired)](赤のアイコン)

ステップ 2

証明書を選択し、[表示(View)] を選択して証明書 の詳細を表示します。


システム証明書のインポート

管理者ポータルから、任意の Cisco ISE ノードのシステム証明書をインポートできます。



プライマリ PAN 上の管理者ロール証明書の証明書を変更すると、他のすべてのノード上のサービスが再起動されます。プライマリ管理ノード(PAN)の再起動が完了すると、システムによって 一度に 1 つのノードが再起動されます。


はじめる前に
  • クライアントブラウザを実行しているシステムに、 システム証明書と秘密キーファイルがあることを確認します。

  • インポートするシステム証明書が外部 CA によって署名されている場合は、関連するルート CA および中間 CA 証明書 を信頼できる証明書ストアにインポートします([管理(Administration)] > [システム(System)] > [証明書(Certificates)] > [信頼できる証明書(Trusted Certificates)]

  • SHA-256 より大きいハッシュアルゴリズムで署名されたサーバ証明書はインポートしないでください。

  • インポートするシステム証明書 に、CA フラグが true に設定された基本制約拡張が含まれている場合は、キー使用拡張が存在すること、および keyEncipherment ビットと keyAgreement ビットのいずれかまたは両方が設定されていることを確認します。

  • 次のタスクを実行するには、スーパー管理者またはシステム管理者である必要があります。

手順

ステップ 1

[管理(Administration)] > [システム(System)] > [証明書(Certificates)] > [システム証明書(System Certificates)] を選択します。

ステップ 2

[インポート(Import)] をクリックします。

[サーバ証明書のインポート(Import Server Certificate)] 画面が表示されます。
ステップ 3

インポートする証明書の 値を入力します。

ステップ 4

[送信(Submit)] をクリックします。


システム証明書 のインポート設定

次の表では、サーバ証明書をインポートするために使用できる [システム証明書のインポート(Import System Certificate)] ページのフィールドについて説明します。 このページへのナビゲーション パスは、[管理(Administration)] < > [システム(System)] > [証明書(Certificates)] > [システム証明書(System Certificates)] > [インポート(Import)] です。

表 5.システム証明書のインポート設定
フィールド名 説明

ノードの選択(Select Node)

(必須) システム証明書をインポートする Cisco ISE ノードを選択します。

証明書ファイル(Certificate file)

(必須)[参照(Browse)] をクリックして、ローカルシステムから証明書ファイルを選択します。

秘密キー ファイル(Private key file)

(必須)[参照(Browse)] をクリックして、秘密キーファイルを選択します。

[パスワード(Password)]

(必須)秘密キーファイルを復号化するためのパスワードを入力します。

フレンドリ名(Friendly Name)

証明書のフレンドリ名を入力します。 名前を指定しない場合は、Cisco ISE により <common name> # <issuer> # <nnnnn> の形式で自動的に名前が作成されます。ここで、<nnnnn> は固有の 5 桁の数値です。

ワイルドカード証明書の許可(Allow Wildcard Certificates)

ワイルドカード証明書(サブジェクトの任意の一般名またはサブジェクト代替名の DNS 名、またはその両方にアスタリスク(*)が含まれている証明書)をインポートする場合は、このチェックボックスをオンにします。 たとえば、SAN に割り当てられている DNS 名が *.amer.cisco.com の場合です。このチェックボックスをオンにすると、Cisco ISE は展開内の他のすべてのノードにこの証明書をインポートします。

証明書の拡張の検証(Validate Certificate Extensions)

Cisco ISE に証明書の拡張の検証を許可する場合は、このチェックボックスをオンにします。 このチェックボックスをオンにし、かつインポートする証明書に CA フラグが true に設定された基本制約拡張が含まれている場合は、キー使用拡張が存在すること、および keyEncipherment ビットと keyAgreement ビットのいずれかまたは両方が設定されていることを確認します。

使用方法

このシステム証明書を使用する必要があるサービスを選択します。

  • [管理者(Admin)]:管理者ポータルとの通信および展開内の ISE ノード間の通信の保護に使用されるサーバ証明書

     

    プライマリ PAN 上の管理者ロール証明書の証明書を変更すると、他のすべてのノード上のサービスが再起動されます。

  • [EAP 認証(EAP Authentication)]:SSL/TLS トンネリングの EAP プロトコルを使用する認証に使用されるサーバ証明書

  • [RADIUS DTLS]:RADIUS DTLS 認証に使用するサーバ証明書

  • [pxGrid]:pxGrid クライアントとサーバの間の通信を保護するクライアントおよびサーバ証明書

  • [SAML]:SAML ID プロバイダー(IdP)とのセキュア通信に使用するサーバ証明書。SAML 用の使用を目的とした証明書は、管理者認証や EAP 認証などのその他のサービスのために使用することはできません。

  • [ポータル(Portal)]:すべての Cisco ISE Web ポータルとの通信を保護するために使用されるサーバ証明書

自己署名証明書の生成

自己署名証明書を生成することにより、新しいローカル証明書を追加できます。自己署名 証明書は、内部テストと評価のニーズに対してのみ使用することを推奨します。実稼働環境に Cisco ISE を展開することを計画している場合は、可能な限り CA 署名付き証明書を使用して、 実稼働ネットワーク全体でより均一な受け入れが行われるようにします。



自己署名証明書を使用しており、Cisco ISE ノードのホスト名を変更する必要がある場合は、Cisco ISE ノードの管理者用ポータルにログインし、古いホスト名が使用された自己署名証明書を削除し、新しい自己署名証明書を生成します。そうしないと、 Cisco ISE は古いホスト名が使用された自己署名証明書を引き続き使用します。


はじめる前に

次のタスクを実行するには、スーパー管理者またはシステム管理者である必要があります。

手順

ステップ 1

[管理(Administration)] > [システム(System)] > [証明書(Certificates)] > [システム証明書(System Certificates)] を選択します。

セカンダリノードから自己署名証明書を生成するには、[管理(Administration)] > [システム(System)] > [サーバ証明書(Server Certificate)] を選択します。

ステップ 2

[自己署名証明書の生成(Generate Self Signed Certificate)] をクリックし、[自己署名証明書の生成(Generate Self Signed Certificate)] ページに詳細を入力します。

ステップ 3

自己署名したワイルドカード証明書(サブジェクトの任意の一般 名またはサブジェクト代替名の DNS 名、またはその両方にアスタリスク(*)が含まれている証明書)を生成する場合は、[ワイルドカード証明書の許可(Allow Wildcard Certificates)] チェックボックスをオンにします。たとえば、SAN に割り当てられている DNS 名が *.amer.cisco.com の場合です。

ステップ 4

この証明書を使用するサービスに基づいて [使用方法(Usage)] 領域のチェックボックスをオンにします。

ステップ 5

証明書を生成するには、[送信(Submit)] をクリックします。

CLI から セカンダリノードを再起動するには、指定された順序で次のコマンドを入力します。

  1. application stop ise

  2. application start ise


自己署名証明書 の設定

次の表では、[自己署名証明書の生成(Generate Self Signed Certificate)] ページのフィールドについて説明します。このページでは、ノード間通信、EAP-TLS 認証、Cisco ISE Web ポータル、および pxGrid コントローラとの通信用のシステム証明書を作成できます。 このページのナビゲーションパスは、[管理(Administration)] > [システム(System)] > [証明書(Certificates)] > [システム証明書(System Certificates)] > [自己署名証明書の生成(Generate Self Signed Certificate)] です。

表 6.自己署名証明書の設定
フィールド名 使用上のガイドライン

ノードの選択(Select Node)

(必須)システム証明書を生成するノード。

一般名(Common Name)(CN)

(SAN を指定しない場合に必須)デフォルトでは、一般名は自己署名証明書を生成する ISE ノードの完全修飾ドメイン名です。

組織

組織ユニット名。Engineering など。

組織(Organization)(O)

組織名。Cisco など。

都市(City)(L)

(省略不可)都市名。 San Jose など。

州(State)(ST)

(省略不可)州名。 California など。

国(Country)(C)

国 名。2 文字の ISO 国番号を入力する必要があります。US など。

サブジェクト代替名(Subject Alternative Name)(SAN)

証明書に関連付けられた IP アドレスまたは DNS 名 IP アドレス、DNS 名、または Uniform Resource Identifier(URI)。

キー タイプ

RSA または ECDSA の公開キーの作成に使用するアルゴリズムを指定します。

キーの長さ(Key Length)

公開キーのビット サイズを指定します。RSA には、次のオプションを使用できます。
  • 512

  • 1024

  • 2048

  • 4096

ECDSA には、次のオプションを使用できます。
  • 256

  • 384

 

RSA および ECDSA の公開キーは、同じセキュリティ レベルで異なるキー長を持つことがあります。

パブリック CA 署名付き証明書を取得する場合、または FIPS 準拠ポリシー管理システムとして Cisco ISE を展開する場合は、2048 を選択します。

署名するダイジェスト(Digest to Sign With)

ハッシュアルゴリズム SHA-1 または SHA-256 を選択します。

証明書ポリシー(Certificate Policies)

証明書が従うべき証明書ポリシーの OID または OID のリストを入力します。 OID を区切るには、カンマまたはスペースを使用します。

TTL 有効期限(Expiration TTL)

証明書が失効するまでの日数を指定します。

フレンドリ名(Friendly Name)

証明書のフレンドリ名を入力します。 名前を指定しない場合は、Cisco ISE により <common name> # <issuer> # <nnnnn> の形式で自動的に名前が作成されます。ここで、<nnnnn> は固有の 5 桁の数値です。

ワイルドカード証明書の許可(Allow Wildcard Certificates)

自己署名したワイルドカード証明書(サブジェクトの任意の一般名またはサブジェクト代替名の DNS 名、またはその両方にアスタリスク(*)が含まれている証明書)を生成する場合は、このチェックボックスをオンにします。 たとえば、SAN に割り当てられている DNS 名が *.amer.cisco.com の場合です。

使用方法

このシステム証明書を使用する必要があるサービスを選択します。

  • [管理者(Admin)]:管理者ポータルとの通信および展開内の ISE ノード間の通信の保護に使用されるサーバ証明書

  • [EAP 認証(EAP Authentication)]:SSL/TLS トンネリングの EAP プロトコルを使用する認証に使用されるサーバ証明書

  • [RADIUS DTLS]:RADIUS DTLS 認証に使用するサーバ証明書

  • [pxGrid]:pxGrid クライアントとサーバの間の通信を保護するクライアントおよびサーバ証明書

  • [SAML]:SAML ID プロバイダー(IdP)とのセキュア通信に使用するサーバ証明書。SAML 用の使用を目的とした証明書は、管理者認証や EAP 認証などのその他のサービスのために使用することはできません。

  • [ポータル(Portal)]:すべての Cisco ISE Web ポータルとの通信を保護するために使用されるサーバ証明書

システム証明書の編集

このページを使用して、 システム証明書を編集し、自己署名証明書を更新できます。 ワイルドカード証明書を編集すると、変更が 展開内のすべてのノードに複製されます。ワイルドカード証明書を削除した場合、そのワイルドカード証明書は 展開内のすべてのノードから削除されます。

はじめる前に

次のタスクを実行するには、スーパー管理者またはシステム管理者である必要があります。

手順

ステップ 1

[管理(Administration)] > [システム(System)] > [証明書(Certificates)] > [システム証明書(System Certificates)] を選択します。

ステップ 2

編集する 証明書の横にあるチェックボックスをオンにして、[編集(Edit)] をクリックします。

ステップ 3

自己署名 証明書を更新するには、[更新期間(Renewal Period)] チェックボックス をオンにして、有効期限 TTL(存続可能時間)を日、週、月、または年単位で入力します。

ステップ 4

[保存(Save)] をクリックして 変更を保存します。

[管理者(Admin)] チェックボックスがオンになっている場合、Cisco ISE ノードのアプリケーションサーバが再起動されます。また、その Cisco ISE ノードが展開の PAN である場合は、展開 内のその他すべてのノードでもアプリケーションサーバが再起動されます。プライマリ管理ノード(PAN)の再起動が完了すると、システムによって一度に 1 つのノードが再起動されます。




Chrome 65 以上を使用して ISE を起動すると、 URL が正しくリダイレクトされたにもかかわらず、BYOD ポータルまたはゲスト ポータルがブラウザで起動に失敗することがあります。これは、すべての [サブジェクトの別名(Subject Alternative Name)] フィールドに証明書 を必要とする、Google で導入された新しいセキュリティ機能が原因です。ISE 2.4 以降のリリースの場合、[サブジェクトの別名(Subject Alternative Name)] フィールドを入力する必要があります。

Chrome 65 以上で起動するには、次の手順に従います。

1. [サブジェクトの別名(Subject Alternative Name)] フィールドに入力することで、ISE GUI から新しい自己署名証明書を生成します。DNS と IP アドレス の両方を入力する必要があります。

2. ISE サービスが再起動します。

3. Chrome ブラウザでポータルにリダイレクトされます。

4. ブラウザで [証明書の表示(View Certificate)] > [詳細(Details)] > [コピー(Copy)] の順に選択し、base-64 エンコードを選択して、証明書をコピーします。

5. 高信頼パスで証明書をインストールします。

6. Chrome ブラウザを終了し、ポータルのリダイレクトを試みます。




Win RS4 または RS5 のオペレーティングシステムでブラウザ Firefox 64 以降のワイヤレス BYOD セットアップを設定する場合は、 証明書の例外を追加することができない場合があります。この現象は Firefox 64 以降の新規インストール時に発生することがあります。 以前のバージョンから Firefox 64 以降にアップグレードした場合は発生しません。次の手順では、 このような場合でも証明書の例外を追加することができます。

1. BYOD フローのシングル/デュアル PEAP または TLS を設定します。

2. Windows のすべてのオプションで CP ポリシーを設定します。

3. エンド クライアント Windows RS4/RS5 で Dot1.x/MAB SSID に接続します。

4. ゲスト/BYOD ポータルにリダイレクトするために、FF64 ブラウザに 1.1.1.1 と入力します。

5. [例外を追加(Add Exception)] >[証明書を追加できない(Unable to add certificate)] をクリックし、フローを続行します。

これを回避するには、[オプション(Options)] > [プライバシーと設定(Privacy & Settings)] > [証明書の表示(View certificates)] > [サーバ(Servers)] > [例外を追加(Add Exception)] に移動して、Firefox 64 に証明書を手動で追加する必要があります。


システム 証明書の削除

今後使用しないシステム証明書を削除できます。

システム証明書ストアから複数の証明書を一度に削除できますが、管理および EAP 認証に使用できる 証明書を少なくとも 1 つ所有する必要があります。また、管理、EAP 認証、ポータル、または pxGrid コントローラに使用される証明書は削除できません。ただし、サービスがディセーブルの場合は、pxGrid 証明書を削除できます。

ワイルドカード証明書を削除することを選択した場合、証明書は 展開内のすべてのノードから削除されます。

手順

ステップ 1

[管理(Administration)] > [システム(System)] > [証明書(Certificates)] > [システム証明書(System Certificates)] を選択します。

ステップ 2

削除する証明書の隣にあるチェックボックスをオンにし、[削除(Delete)] をクリックします。

警告メッセージが表示されます。

ステップ 3

[はい(Yes)] をクリックして、証明書を削除します。


システム証明書のエクスポート

選択した システム証明書とその証明書に関連付けられている秘密キーをエクスポートできます。 証明書とその秘密キーをバックアップ用にエクスポートする場合は、 それらを必要に応じて後で再インポートできます。

はじめる前に

次のタスクを実行するには、スーパー管理者またはシステム管理者である必要があります。

手順

ステップ 1

[管理(Administration)] > [システム(System)] > [証明書(Certificates)] > [システム証明書(System Certificates)] を選択します。

ステップ 2

エクスポートする証明書の横にあるチェックボックスをオンにし、[エクスポート(Export)] をクリックします。

ステップ 3

証明書のみをエクスポートするか、証明書と証明書に関連付けられている秘密キーをエクスポートするかを選択します。

ヒント 

値が公開される可能性があるため、証明書に関連付けられている秘密キーのエクスポートは推奨しません。 秘密キーをエクスポートする必要がある場合(たとえば、ワイルドカードシステム証明書をエクスポートして ノード間通信用に他のノードにインポートする場合)は、その秘密キーの暗号化パスワードを指定します。このパスワードは、 証明書を別の Cisco ISE ノードにインポートするときに指定して、秘密キーを復号化する必要があります。

ステップ 4

秘密キーをエクスポートする場合は、パスワードを入力します。パスワードは、8 文字以上にする必要があります。

ステップ 5

[エクスポート(Export)] をクリックして、クライアントブラウザを実行しているファイルシステムに 証明書を保存します。

証明書のみをエクスポートする場合、証明書は Privacy Enhanced Mail 形式で保存されます。 証明書と秘密キーの両方をエクスポートする場合、証明書は Privacy Enhanced Mail 形式 の証明書と暗号化された秘密キーファイルを含む .zip ファイルとしてエクスポートされます。


信頼できる証明書ストア

信頼できる証明書 ストアには、信頼に使用される、Simple Certificate Enrollment Protocol(SCEP)用の X.509 証明書が含まれています。

信頼できる証明書ストア内の 証明書は PAN で管理され、 Cisco ISE 展開内の他のすべてのノードに複製されます。Cisco ISE は ワイルドカード証明書をサポートしています。

Cisco ISE は、次の目的で信頼できる 証明書を使用します。

  • エンドポイントによる認証と、証明書ベースの管理者認証を使用して ISE-PIC 管理者ポータル にアクセスする Cisco ISE 管理者による認証に使用するクライアント証明書 を確認するため。

  • 展開内の Cisco ISE ノード間のセキュアな 通信を可能にするため。信頼できる証明書ストアには、展開内の各ノード のシステム証明書との信頼を確立するために必要な CA 証明書のチェーンが含まれている必要があります。

    • 自己署名証明書 をシステム証明書に使用する場合は、各ノード の自己署名証明書を PAN の信頼できる証明書ストアに配置する必要があります。

    • CA 署名付き証明書を システム証明書に使用する場合は、CA ルート証明書だけでなく、信頼チェーン内のすべての 中間証明書も PAN の信頼できる 証明書ストアに配置する必要があります。

  • セキュア LDAP 認証を有効にするには、SSL を経由してアクセスされる LDAP ID ソースを定義するときに、証明書ストアから証明書を 選択する必要があります。

  • パーソナルデバイス ポータルを使用してネットワークへの登録を準備しているパーソナル デバイスに配信するため。Cisco ISE は、 パーソナルデバイス登録をサポートするために、ポリシーサービスノード(PSN)での SCEP を実装しています。登録するデバイスは、SCEP プロトコルを使用して PSN からクライアント証明書を要求します。PSN には中継の役割を果たす登録 局(RA)があります。RA は、登録するデバイスからの 要求を受信して検証し、その後クライアント証明書を発行する 外部 CA または内部 Cisco ISE CA にその要求を転送します。 CA は RA に証明書を返し、RA が証明書をデバイスに返します。

    Cisco ISE によって使用される各 SCEP CA は、SCEP RA プロファイルによって定義されます。SCEP RA のプロファイルが作成されると、次の 2 つの 証明書が信頼できる証明書ストアに自動的に追加されます。

    • CA 証明書( 自己署名証明書)

    • CA によって署名された RA 証明書(証明書要求のエージェントの 証明書)。

    SCEP プロトコルでは、 これらの 2 つの証明書が RA によって登録デバイスに提供されている必要があります。 信頼できる証明書ストアにこの 2 つの証明書を配置すると、これらのノードの RA が使用するために、 証明書がすべての PSN ノードに複製されます。



    SCEP RA プロファイルが削除されると、関連付けられている CA チェーンが信頼できる証明書ストアからも削除されます。




  • Cisco ISE にインポートされる X.509 証明書は、Privacy Enhanced Mail(PEM)または Distinguished Encoding Rules(DER)形式である必要があります。 証明書チェーン(システム証明書、および その証明書に署名する一連の信頼された証明書)が含まれたファイルはインポートすることができますが、特定の制限の対象となります。

  • ゲストポータルにパブリックワイルドカード証明書を割り当て、ルート CA 証明書を使用してサブ CA をインポートする場合、ISE サービスが再起動されるまで証明書 チェーンは送信されません。


ISE コミュニティ リソース

Install a Third-Party CA Certificate in ISE 2.0

信頼できる証明書ストアの証明書

信頼できる証明書ストア は、次の信頼できる証明書で事前設定されています。製造業者証明書、ルート 証明書、 その他の信頼できる証明書。ルート証明書 (Cisco Root CA)は、製造業者(Cisco CA Manufacturing)証明書に署名します。 これらの証明書は、デフォルトでは無効になっています。展開で エンドポイントとして Cisco IP Phone を使用している場合は、これら 2 つの証明書を有効にして、この電話用に シスコが署名した証明書の認証ができるようにします。

[信頼できる証明書ストア(Trusted Certificate Store)] ページ

次の表では、管理ノードに追加された証明書を表示するために使用できる [信頼できる証明書ストア(Trusted Certificates Store)] ページのフィールドについて説明します。 このページへのナビゲーションパスは、[管理(Administration)] > [システム(System)] > [証明書(Certificates)] > [信頼できる証明書(Trusted Certificates)] です。

表 7.信頼できる証明書 ページ

フィールド名

使用上のガイドライン

フレンドリ名(Friendly Name)

証明書の名前を表示します。

ステータス(Status)

有効または無効にします。 [無効(Disabled)] の場合、ISE は信頼を確立するために証明書を使用しません。

信頼対象(Trusted for)

証明書を使用するサービスを表示します。

発行先(Issued To)

証明書のサブジェクトの一般名(CN)。

発行元(Issued By)

証明書の発行元の一般名(CN)。

有効期限の開始(Valid From)

「Not Before」証明書属性。

期限日(Expiration Date)

「Not After」証明書属性。

有効期限ステータス(Expiration Status)

証明書の有効期限のステータスに関する情報です。 このカラムに表示される情報メッセージには 5 つのアイコンとカテゴリ があります。

  • 緑色:期限切れまで 91 日以上

  • 青色:期限切れまで 90 日以内

  • 黄色:期限切れまで 60 日以内

  • オレンジ色:期限切れまで 30 日以内

  • 赤色: 期限切れ

信頼できる証明書の命名の制約

CTL の信頼できる証明書には名前の制約の拡張が含まれている場合があります。この拡張は、証明書チェーンの後続のすべての 証明書のサブジェクト名とサブジェクト代替名フィールドの 値の名前空間を定義します。Cisco ISE は、ルート証明書で指定された制約 を検査しません。

次の名前 の制約がサポートされています。

  • ディレクトリ名

    ディレクトリ名の制限は 、サブジェクト/SAN のディレクトリ名のプレフィクスです。次の例を参考にしてください。

    • 正しいサブジェクト プレフィクス:

      CA 証明書の名前 の制約:Permitted: O=Cisco

      クライアント証明書のサブジェクト: O=Cisco,CN=Salomon

    • 不正なサブジェクト プレフィクス:

      CA 証明書の名前 の制約:Permitted: O=Cisco

      クライアント証明書のサブジェクト: CN=Salomon,O=Cisco

  • DNS

  • E-mail

  • URI(URI の制約は、 http://、https://、ftp://、または ldap:// のような URI プレフィクスで始まる必要があります)。

次の名前の 制約はサポートされていません。

  • IP アドレス

  • Othername

信頼できる証明書 にサポートされていない制約が含まれており、 検証中の証明書に該当のフィールドが含まれていない場合は、Cisco ISE がサポートされない制約を検証できないため、その証明書は拒否されます。

信頼できる証明書内の名前の制約の定義例 を次に示します。


X509v3 Name Constraints: critical
 Permitted:
 othername:<unsupported>
 email:.abcde.at
 email:.abcde.be
 email:.abcde.bg
 email:.abcde.by
 DNS:.dir
 DirName: DC = dir, DC = emea
 DirName: C = AT, ST = EMEA, L = AT, O = ABCDE Group, OU = Domestic
 DirName: C = BG, ST = EMEA, L = BG, O = ABCDE Group, OU = Domestic
 DirName: C = BE, ST = EMEA, L = BN, O = ABCDE Group, OU = Domestic
 DirName: C = CH, ST = EMEA, L = CH, O = ABCDE Group, OU = Service Z100
 URI:.dir
 IP:172.23.0.171/255.255.255.255
 Excluded:
 DNS:.dir
 URI:.dir

受け入れ可能なクライアント 証明書のサブジェクトは、次のように上記の定義に一致します。


 Subject: DC=dir, DC=emea, OU=+DE, OU=OU-Administration, OU=Users, OU=X1, CN=cwinwell

信頼できるストア証明書の表示

[信頼できる証明書(Trusted Certificates)] ページに、Cisco ISE に追加されたすべての信頼できる証明書が一覧表示されます。 信頼できる証明書を表示するには、スーパー管理者またはシステム管理者である必要があります。

すべての証明書を表示するには、[管理(Administration)] > [システム(System)] > [証明書(Certificates)] > [信頼できる証明書(Trusted Certificates)] を選択します。[信頼できる証明書(Trusted Certificates)] ページが表示され、すべての信頼できる証明書が一覧表示されます。

はじめる前に

次のタスクを実行するには、スーパー管理者またはシステム管理者である必要があります。

信頼できる証明書 ストアの証明書のステータス変更

証明書のステータスが有効になっている必要があります。これにより、Cisco ISE が信頼の確立にこの証明書を使用できるようになります。証明書が信頼できる証明書ストアにインポートされると、この証明書は 自動的に有効になります。

手順

ステップ 1

[管理(Administration)] > [システム(System)] > [証明書(Certificates)] > [信頼できる証明書(Trusted Certificates)] を選択します。

ステップ 2

有効または無効にする証明書の隣にあるチェックボックスをオンにし、[編集(Edit)] をクリックします。

ステップ 3

ステータスを変更します。

ステップ 4

[保存(Save)] をクリックします。


信頼できる証明書ストアへの証明書の追加

[証明書ストア(Certificate Store)] ページを使用して、Cisco ISE に CA 証明書を追加することができます。

はじめる前に
  • 次のタスクを実行するには、スーパー管理者またはシステム管理者である必要があります。

  • ブラウザ を実行しているコンピュータのファイルシステムに、証明書 ストアの証明書が存在することを確認します。証明書は PEM または DER 形式である必要があります。

  • 管理者認証または EAP 認証に証明書を使用する場合は、基本 制約が証明書に定義され、CA フラグが true に設定されていることを確認します。

手順

ステップ 1

[管理(Administration)] > [システム(System)] > [証明書(Certificates)] > [信頼できる証明書(Trusted Certificates)] を選択します。

ステップ 2

[インポート(Import)] をクリックします。

ステップ 3

必要に応じてフィールドの値を設定します。

EAP 認証用または証明書ベースの管理者 認証用に証明書チェーンにサブ CA 証明書を使用する場合は、ルート CA までに証明書チェーンにすべての証明書をインポートする際に [クライアント認証およびsyslog用に信頼する(Trust for client authentication and Syslog)] チェックボックスを必ずオンにしてください。Cisco ISE 2.6 パッチ 1 以降では、同じサブジェクト名を持つ複数の CA 証明書をインポートできます。証明書ベースの管理者認証の場合は、信頼できる証明書を追加する際に、 [証明書ベースの管理者認証用に信頼する(Trust for certificate based admin authentication)] チェックボックスをオンにします。

パスワードベースの認証から証明書ベースの認証に認証タイプを変更すると、Cisco ISE は展開内の各ノードでアプリケーションサーバを再起動します。PAN のアプリケーションサーバから開始され、その後に各追加ノードが 1 つずつ続きます


信頼できる証明書の編集

証明書 を信頼できる証明書ストアに追加したら、編集の 設定を使用して、その証明書をさらに編集できます。

はじめる前に

次のタスクを実行するには、スーパー管理者またはシステム管理者である必要があります。

手順

ステップ 1

[管理(Administration)] > [システム(System)] > [証明書(Certificates)] > [信頼できる証明書(Trusted Certificates)] を選択します。

ステップ 2

編集する 証明書の横にあるチェックボックスをオンにして、[編集(Edit)] をクリックします。

ステップ 3

必要に応じて編集可能なフィールドを変更します。

ステップ 4

[保存(Save)] をクリックして、証明書ストアに対して行った 変更を保存します。


証明書設定の編集

次の表では、認証局(CA)証明書属性を編集するために使用できる [証明書ストアの証明書編集(Certificate Store Edit Certificate)] ページのフィールドについて説明します。 このページへのナビゲーションパスは、[管理(Administration)] > [システム(System)] > [証明書(Certificates)] > [信頼できる証明書(Trusted Certificates)] > [証明書(Certificate)] > [編集(Edit)] です。

表 8.証明書ストア編集 設定

フィールド名

使用上のガイドライン

証明書発行元(Certificate Issuer)

フレンドリ名(Friendly Name)

証明書のフレンドリ名を入力します。

ステータス(Status)

[有効(Enabled)] または [無効(Disabled)] を選択します。 [無効(Disabled)] の場合、ISE は信頼を確立するために証明書を使用しません。

説明

任意で説明を入力します。

使用方法

ISE 内の認証用に信頼する(Trust for authentication within ISE)

この証明書で(他の ISE ノードまたは LDAP サーバから)サーバ証明書を検証する場合は、このチェックボックスをオンにします。

クライアント認証および syslog 用に信頼する(Trust for client authentication and Syslog)

([ISE 内の認証用に信頼する(Trust for authentication within ISE)] チェックボックスをオンにした場合に限り適用可能)この証明書を使用して次を行う場合は、このチェックボックスをオンにします。

  • EAP プロトコル を使用した ISE に接続するエンドポイントの認証

  • syslog サーバの信頼

シスコ サービスの認証用に信頼する(Trust for authentication of Cisco Services)

フィードサービスなどの外部シスコサービスを信頼するためにこの証明書を使用する場合は、このチェックボックスをオンにします。

証明書ステータスの検証(Certificate Status Validation)

ISE は、特定の CA が発行するクライアントまたはサーバ証明書の失効ステータスをチェックする 2 とおりの方法をサポートしています。 1 つは、Online Certificate Status Protocol(OCSP)を使用して証明書を検証することです(OCSP は、CA によって保持される OCSP サービス に要求を行います)。もう 1 つは、ISE に CA からダウンロードした証明書失効リスト(CRL)に対して証明書を検証することです。 両方の方法は、OCSP を最初に使用し、ステータスを判断できないときに限り CRL を使用する場合に使用できます。

OCSP サービスに対して検証する(Validate Against OCSP Service)

OCSP サービスに対して証明書を検証するには、このチェックボックスをオンにします。 このボックスをオンにするには、まず OCSP サービスを作成する必要があります。

OCSP が不明なステータスを返した場合は要求を拒否する(Reject the request if OCSP returns UNKNOWN status)

認証ステータスが OCSP によって判別されなかった場合に要求を拒否するには、このチェックボックスをオンにします。 この チェックボックスをオンにした場合、OCSP サービスによって不明のステータス値が返されると、ISE は現在評価されているクライアントまたはサーバ証明書を拒否します。

OCSP応答側が到達不能な場合は要求を拒否する(Reject the request if OCSP Responder is unreachable)

OCSP 応答側が到達不能な場合に ISE が要求を拒否するには、このチェックボックスをオンにします。

CRL のダウンロード(Download CRL)

Cisco ISE で CRL をダウンロードするには、このチェックボックスをオンにします。

CRL 配信 URL(CRL Distribution URL)

CA から CRL をダウンロードするための URL を入力します。 認証局証明書で指定されている場合、このフィールドは自動的に読み込まれます。URL は「http」、「https」、または「ldap」で始まる必要があります。

CRL の取得(Retrieve CRL)

CRL は、自動的または定期的にダウンロードできます。 ダウンロードの時間間隔を設定します。

ダウンロードが失敗した場合は待機する(If download failed, wait)

Cisco ISE が CRL を再度ダウンロードするまでに待機する時間間隔 を設定します。

CRL を受信しない場合 CRL 検証をバイパスする(Bypass CRL Verification if CRL is not Received)

このチェックボックスをオンにした場合、クライアント要求は CRL が受信される前に受け入れられます。 この チェックボックスをオフにした場合、選択した CA によって署名された証明書を使用するすべてのクライアント要求は、Cisco ISE によって CRL ファイルが受信されるまで拒否されます。

CRL がまだ有効でないか、または期限切れの場合は無視する(Ignore that CRL is not yet valid or expired)

Cisco ISE で開始日と期限日を無視し、まだアクティブでないかまたは期限切れの CRL を引き続き使用し、CRL の内容に基づいて EAP-TLS 認証を許可または拒否する場合は、このチェックボックスをオンにします。

Cisco ISE で [有効日(Effective Date)] フィールドの開始日と [次の更新(Next Update)] フィールドの期限日を CRL ファイルでチェックする場合は、このチェックボックスをオフにします。CRL がまだアクティブではないか、または期限切れの場合、その CA によって署名された証明書を使用するすべての認証は拒否されます。

信頼できる 証明書の削除

今後使用しない信頼できる証明書を削除できます。ただし、ISE 内部 CA(認証局)の証明書は削除しないでください。ISE 内部 CA 証明書を削除できるのは、展開全体の ISE ルート証明書チェーンを置き換える場合のみです。

手順

ステップ 1

[管理(Administration)] > [システム(System)] > [証明書(Certificates)] > [信頼できる証明書(Trusted Certificates)] を選択します。

ステップ 2

削除する 証明書の隣にあるチェックボックスをオンにし、[削除(Delete)] をクリックします。

警告メッセージが表示されます。ISE 内部 CA 証明書を削除することを選択した場合は、次のとおりにクリックします。

  • [削除(Delete)]ISE 内部 CA 証明書を削除する場合。ISE 内部 CA によって署名されたすべてのエンドポイント証明書は無効になり、エンドポイントはネットワークにアクセスできません。エンドポイントをネットワークで再度有効にするには、信頼できる証明書ストアに 同じ ISE 内部 CA 証明書をインポートします。
  • [削除および取消(Delete & Revoke)]ISE 内部 CA 証明書を削除して取り消します。ISE 内部 CA によって署名されたすべてのエンドポイント証明書は無効になり、エンドポイントはネットワークにアクセスできません。この操作は取り消すことができません。展開全体の ISE ルート証明書チェーンを置き換える必要があります。
ステップ 3

[はい(Yes)] をクリックして、証明書を削除します。


信頼できる証明書ストアからの証明書のエクスポート

はじめる前に

次のタスクを実行するには、スーパー管理者またはシステム管理者である必要があります。



内部 CA から証明書をエクスポートし、そのエクスポートを使用してバックアップから復元する場合は、 CLI コマンド application configure ise を使用する必要があります。詳細については、「Cisco ISE CA 証明書およびキーのエクスポート」を参照してください。


手順

ステップ 1

[管理(Administration)] > [システム(System)] > [証明書(Certificates)] > [信頼できる証明書(Trusted Certificates)] を選択します。

ステップ 2

エクスポートする 証明書の隣にあるチェックボックスをオンにし、[エクスポート(Export)] をクリックします。 一度に 1 つの証明書のみをエクスポートできます。

ステップ 3

クライアントブラウザを実行しているファイルシステムに Privacy Enhanced Mail ファイルを保存します。


信頼できる証明書 ストアへのルート証明書のインポート

ルート CA 証明書および中間 CA 証明書をインポートするとき、 信頼できる CA 証明書を使用する対象のサービスを指定できます。

はじめる前に

CSR に署名し、デジタルで署名された CA 証明書を返した認証局 のルート 証明書および他の中間証明書が必要です。

手順

ステップ 1

[管理(Administration)] > [システム(System)] > [証明書(Certificates)] > [信頼できる証明書(Trusted Certificates)] を選択します。

ステップ 2

[インポート(Import)] をクリックします。

ステップ 3

表示された [証明書ストアへの新しい証明書のインポート(Import a new Certificate into the Certificate Store)] ウィンドウで、[ファイルの選択(Choose File)] をクリックし、CA によって署名され、返されたルート CA 証明書を選択します。

ステップ 4

わかりやすい名前を入力します。

わかりやすい名前を入力しないと、Cisco ISE により、このフィールドには、common-name#issuer#nnnnn 形式(nnnnn は一意の番号)で名前が自動的に入力されます。再度証明書を編集して、わかりやすい名前を変更できます。
ステップ 5

この信頼できる証明書を使用するサービスの横にあるチェックボックスをオンにします。

ステップ 6

(任意)[説明(Description)] フィールドに証明書の説明を入力します。

ステップ 7

[送信(Submit)] をクリックします。


次の作業

信頼できる証明書ストアに 中間 CA 証明書をインポートします( 該当する場合)。

信頼できる証明書のインポート設定

次の表では、認証局(CA)証明書を Cisco ISE に追加するために使用できる [信頼できる証明書のインポート(Trusted Certificate Import)] ページのフィールドについて説明します。 このページへのナビゲーションパスは、[管理(Administration)] > [システム(System)] > [証明書(Certificates)] > [信頼できる証明書(Trusted Certificates)] > [インポート(Import)] です。

表 9.信頼できる証明書のインポート 設定

フィールド

説明

証明書ファイル(Certificate file)

[参照(Browse)] をクリックして、ブラウザを実行しているコンピュータから証明書ファイルを選択します。

フレンドリ名(Friendly Name)

証明書のフレンドリ名を入力します。名前を指定しない場合は、Cisco ISE により <common name># <issuer># <nnnnn> の形式で自動的に名前が作成されます。<nnnnn> には一意の 5 桁の数値が入ります。

ISE 内の認証用に信頼する(Trust for authentication within ISE)

この証明書を(他の ISE ノードまたは LDAP サーバから)サーバ証明書の検証に使用する場合は、このチェックボックスをオンにします。

クライアント認証および syslog 用に信頼する(Trust for client authentication and Syslog)

([ISE 内の認証用に信頼する(Trust for authentication within ISE)] チェックボックスをオンにした場合に限り適用可能)この証明書を使用して次を行う場合は、このチェックボックスをオンにします。

  • EAP プロトコルを使用した ISE に接続するエンドポイントの認証

  • syslog サーバの信頼

シスコ サービスの認証用に信頼する(Trust for authentication of Cisco Services)

フィードサービスなどの外部シスコサービスを信頼するためにこの証明書を使用する場合は、このチェックボックスをオンにします。

証明書の拡張の検証(Validate Certificate Extensions)

([クライアント認証用に信頼する(Trust for client authentication)] オプションと [証明書拡張の検証を有効にする(Enable Validation of Certificate Extensions)] オプションの両方をオンにした場合のみ)「keyUsage」拡張が存在し、「keyCertSign」ビットが設定されていることと、CA フラグが true に設定された基本制約拡張が存在することを確認します。

説明

任意で説明を入力します。

証明書チェーンのインポート

証明書ストアから受信した証明書チェーンを含む単一のファイルから、複数の 証明書をインポートすることができます。ファイル内のすべての証明書は Privacy-Enhanced Mail(PEM)の形式であり、証明書は次の 順序に並べられている必要があります。

  • ファイル内の最後の証明書は、CA によって発行されたクライアントまたはサーバ証明書である必要があります。

  • 先行するすべての証明書 は、ルート CA 証明書と、発行された証明書の 署名チェーンにあるいずれかの中間 CA 証明書である必要があります。

証明書チェーン のインポートは、次の 2 ステップのプロセスです。

  1. 管理者ポータルで信頼できる証明書ストアに証明書チェーン ファイルをインポートします。この操作により 、信頼できる 証明書ストアにある最後の 1 つを除き、すべての証明書がファイルからインポートされます。

  2. CA 署名付き証明書のバインド操作を使用して証明書チェーン ファイルをインポートします。この操作により、 最後の証明書がローカル証明書としてファイルからインポートされます。

Cisco ISE ノード間通信の信頼できる 証明書のインストール

展開をセットアップする場合、セカンダリノードを登録する前に、 セカンダリノードの管理者証明書の検証に使用される適切な CA 証明書を PAN の 証明書信頼リスト(CTL)に配置する必要があります。PAN の CTL に入力する手順は、シナリオに応じて異なります。

  • セカンダリノードが 管理者ポータルとの通信に CA 署名付き証明書を使用する場合は、 セカンダリノードの CA 署名付き証明書、関連する 中間証明書(ある場合)、および( セカンダリノードの証明書に署名した CA の)ルート CA 証明書を PAN の CTL にインポートする必要があります。

  • セカンダリノードが 管理者ポータルとの通信に自己署名証明書を使用する場合は、 PAN の CTL にセカンダリノードの自己署名証明書をインポートできます。



    • 登録されたセカンダリノードの 管理者証明書を変更する場合は、セカンダリノードの 管理者証明書の検証に使用できる 適切な CA 証明書を取得し、PAN の CTL にインポートする必要があります。

    • 展開内でクライアントと PSN の間のセキュアな通信に自己署名証明書を使用する場合、BYOD ユーザが ある場所から別の場所に移動すると、EAP-TLS ユーザ認証は失敗します。 一部の PSN 間で提供される必要があるこのような認証要求の場合、外部で署名された CA 証明書を使用してクライアントと PSN の間の通信を保護するか、または外部の CA によって署名された ワイルドカード証明書を使用する必要があります。


外部 CA から発行された証明書に基本制約が定義されており、CA フラグが true に設定されていることを確認します。ノード間通信の CA 署名付き証明書をインストールするには、次の手順を実行します。これらのタスクの詳細については、『Cisco ISE Administrator Guide』の 「Basic Setup」の章を参照してください。

手順

ステップ 1

証明書署名要求(CSR)を作成し、認証局に CSR を送信します。

ステップ 2

信頼できる証明書ストアへのルート証明書をインポートします。

ステップ 3

CSR に CA 署名付き証明書をバインドします。


Cisco ISE でのデフォルトの信頼できる証明書

Cisco ISE の信頼できる証明書ストア( [管理(Administration)] > [システム(System)] > [証明書(Certificates)] > [信頼できる証明書(Trusted Certificates)])には、デフォルトで使用可能な証明書がいくつか含まれています。これらの証明書は、セキュリティ要件を満たすために ストアに自動的にインポートされます。ただし、これらすべてを使用する必要はありません。 次の表に記載されている場合を除き、すでに使用可能になっている証明書ではなく、自分で選択した証明書を使用できます。

表 10.

信頼できる証明書の名前

シリアル番号(Serial Number)

証明書の目的

証明書を含む Cisco ISE リリース

Baltimore CyberTrust Root CA

02 00 00 B9

この証明書は、一部の地域で cisco.com が使用する CA チェーン内のルート CA 証明書として機能することができます。また、この証明書 は、https://s3.amazonaws.com でホストされている ISE 2.4 のポスチャ/CP 更新 XML ファイルでも使用されていました。

リリース 2.4 以降。

DST Root CA X3 Certificate Authority

44 AF B0 80 D6 A3 27 BA 89 30 39 86 2E F8 40 6B

この証明書は、cisco.com が使用する CA チェーンのルート CA 証明書として機能することができます。

リリース 2.4 以降。

Thawte Primary Root CA

34 4E D5 57 20 D5 ED EC 49 F4 2F CE 37 DB 2B 6D

この証明書は、cisco.com と perfigo.com が使用する CA チェーンのルート CA 証明書として機能することができます。

リリース 2.4 以降。

VeriSign Class 3 Public Primary Certification Authority

18 DA D1 9E 26 7D E8 BB 4A 21 58 CD CC 6B 3B 4A

この証明書は、VeriSign Class 3 Secure Server CA-G3 のルート CA 証明書として機能します。

Cisco ISE でプロファイラ フィード サービスを設定する場合は、この証明書を使用する必要があります。

リリース 2.4 以降。

VeriSign Class 3 Secure Server CA - G3

6E CC 7A A5 A7 03 20 09 B8 CE BC F4 E9 52 D4 91

これは、2020 年 2 月 7 日に期限切れになる中間 CA 証明書です。この証明書を更新する必要はありません。

証明書を削除するには、下記のタスクを実行します。

リリース 2.4 以降。

Cisco CA Manufacturing

6A 69 67 B3 00 00 00 00 00 03

この証明書は、Cisco ISE に接続している特定のシスコデバイスが使用する場合があります。この証明書はデフォルトでは無効になっています。

リリース 2.4 および 2.6。

Cisco Manufacturing CA SHA2

02

この証明書は、管理者認証、エンドポイント認証、および展開インフラストラクチャ フローの CA チェーン内で使用できます。

リリース 2.4 以降。

Cisco Root CA 2048

5F F8 7B 28 2B 54 DC 8D 42 A3 15 B5 68 C9 AD FF

この証明書は、Cisco ISE に接続している特定のシスコデバイスが使用することができます。この証明書はデフォルトでは無効になっています。

リリース 2.4 以降。

Cisco Root CA M2

01

この証明書は、管理者認証、エンドポイント認証、および展開インフラストラクチャ フローの CA チェーン内で使用できます。

リリース 2.4 以降。

DigiCert Root CA

02 AC 5C 26 6A 0B 40 9B 8F 0B 79 F2 AE 46 25 77

Facebook を使用したゲストログインを使用しているフローには、この証明書を使用する必要があります。

リリース 2.4 以降。

DigiCert SHA2 High Assurance Server CA

04 E1 E7 A4 DC 5C F2 F3 6D C0 2B 42 B8 5D 15 9F

Facebook を使用したゲストログインを使用しているフローには、この証明書を使用する必要があります。

リリース 2.4 以降。

HydrantID SSL ICA G2

75 17 16 77 83 D0 43 7E B5 56 C3 57 94 6E 45 63 B8 EB D3 AC

シスコサービスで信頼されています。

リリース 2.4 および 2.6。

QuoVadis Root CA 2

05 09

この証明書は、プロファイラ、ポスチャ、およびクライアント プロビジョニング フロー内で使用する必要があります。

リリース 2.4 以降。

Cisco ECC Root CA

01

この証明書は、Cisco ISE で使用されるシスコの信頼ルートストアバンドルの一部です。

リリース 2.6。

Cisco Licensing Root CA

01

この証明書は、Cisco ISE で使用されるシスコの信頼ルートストアバンドルの一部です。

リリース 2.6 以降。

Cisco Root CA 2099

01 9A 33 58 78 CE 16 C1 C1

この証明書は、Cisco ISE で使用されるシスコの信頼ルートストアバンドルの一部です。

リリース 2.6 以降。

Cisco Root CA M1

2E D2 0E 73 47 D3 33 83 4B 4F DD 0D D7 B6 96 7E

この証明書は、Cisco ISE で使用されるシスコの信頼ルートストアバンドルの一部です。

リリース 2.6 以降。

Cisco RXC-R2

01

この証明書は、Cisco ISE で使用されるシスコの信頼ルートストアバンドルの一部です。

リリース 2.6 以降。

DigiCert Global Root CA

08 3B E0 56 90 42 46 B1 A1 75 6A C9 59 91 C7 4A

この証明書は、Cisco ISE で使用されるシスコの信頼ルートストアバンドルの一部です。

リリース 2.6 以降。

Cisco ECC Root CA 2099

03

この証明書は、Cisco ISE で使用されるシスコの信頼ルートストアバンドルの一部です。

リリース 2.6 以降。

Cisco ISE からのデフォルトの信頼できる証明書の削除

  • すべての信頼できる証明書を表示するには、[管理(Administration)] > [システム(System)] > [証明書(Certificates)] > [信頼できる証明書(Trusted Certificates)] に移動します。

  • 削除する証明書をエクスポートして保存します。これにより、必要に応じて再度インポートできるようになります。

    エクスポートする証明書のチェックボックスをクリックし、上にあるメニューバーの [エクスポート(Export)] をクリックします。キーチェーンがシステムにダウンロードされます。

  • 証明書を削除します。削除する証明書のチェックボックスをクリックし、上にあるメニューバーの [削除(Delete)] をクリックします。CA チェーン、セキュアな syslog、 またはセキュアな LDAP によって使用されている場合は、その証明書を削除することはできません。

  • CA チェーン、セキュアな syslog、および それが含まれている syslog から証明書を削除するために必要な設定変更を行ってから、証明書を削除します。

  • 証明書が削除されたら、関連するサービス(証明書の目的を参照)が 想定どおりに動作していることを確認します。

証明書署名要求

認証局 (CA)が署名付き証明書を発行するためには、証明書署名 要求(CSR)を作成して CA に送信する必要があります。

自分が作成した証明書 署名要求(CSR)のリストは、[証明書署名要求(Certificate Signing Requests)] ページで使用できます。認証局(CA)から署名を取得するには、 CSR をエクスポートし、その証明書を CA に送信する必要があります。証明書は CA によって署名され、 返されます。

管理者ポータルから 証明書を一元的に管理できます。展開内のすべてのノード の CSR を作成およびエクスポートできます。その後、CSR を CA に送信し、 CA から CA 署名付き証明書を取得し、CA によって返されたルートおよび中間 CA 証明書を信頼できる証明書ストアにインポートし、 CSR に CA 署名付き証明書をバインドする必要があります。

証明書 署名要求の作成と認証局への CSR の送信

証明書署名要求(CSR)を生成して、展開内の ノードの CA 署名付き証明書を取得できます。 展開の選択ノードまたは展開のすべてのノード用の CSR を生成できます。

手順

ステップ 1

[管理(Administration)] > [システム(System)] > [証明書(Certificates)] > [証明書署名要求(Certificate Signing Requests)] を選択します。

ステップ 2

CSR を生成するための値を入力します。各フィールドの詳細については、「証明書署名要求の設定」を参照してください。

ステップ 3

[生成(Generate)] をクリックして CSR を生成します。

CSR が 生成されます。

ステップ 4

[Export(エクスポート)] をクリックして、メモ帳で CSR を開きます。

ステップ 5

「-----BEGIN CERTIFICATE REQUEST-----」から「-----END CERTIFICATE REQUEST-----」までのすべての テキストをコピーします。

ステップ 6

選択した CA の証明書要求に、この CSR の 内容を貼り付けます。

ステップ 7

署名済みの証明書をダウンロードします。

CA によっては、署名付き証明書が電子メールで送信される場合があります。署名付き証明書は、zip ファイルの形式で、Cisco ISE の信頼された証明書ストアに追加する必要がある、 新規発行の証明書と CA のパブリック署名証明書が含まれています。デジタル署名された CA 証明書、ルート CA 証明書、および他の中間 CA 証明書 (該当する場合)がクライアントブラウザを実行するローカルシステムにダウンロードされます。


CSR への CA 署名付き証明書のバインド

CA からデジタル 署名付き証明書を受け取った後、それを証明書 署名要求(CSR)にバインドする必要があります。管理者ポータルから 展開内のすべてのノードに対してバインド操作を実行できます。

はじめる前に
  • デジタル署名付き証明書、および関連する ルート中間 CA 証明書を CA から受け取る必要があります。

  • 関連するルートおよび中間 CA 証明書を信頼できる証明書ストアにインポートします([管理(Administration)] > [システム(System)] > [証明書(Certificates)] > [信頼できる証明書(Trusted Certificates)])。

手順

ステップ 1

[管理(Administration)] > [システム(System)] > [証明書(Certificates)] > [証明書署名要求(Certificate Signing Requests)] を選択します。

CA 署名付き証明書に CSR をバインドするノードの隣にあるチェックボックスをオンにします。

ステップ 2

[バインド(Bind)] をクリックします。

ステップ 3

[参照(Browse)] をクリックし、 CA 署名付き証明書を選択します。

ステップ 4

証明書の [わかりやすい名前(Friendly Name)] を指定します。

ステップ 5

Cisco ISE に証明書の拡張の検証を許可する場合は、[証明書の拡張の検証(Validate Certificate Extensions)] チェックボックスをオンにします。

[証明書の拡張の検証(Validate Certificate Extensions)] オプションが有効になっており、インポートする証明書に CA フラグが true に設定された基本制約拡張が含まれている場合は、 キー使用拡張が存在すること、および keyEncipherment ビットと keyAgreement ビットのいずれかまたは両方が設定されていることを確認します。

 

ISE では、EAP-TLS クライアント証明書にデジタル署名キー使用拡張を使用する必要があります。

ステップ 6

この証明書が使用領域で使用される サービスを確認します。

この情報は、CSR の生成時に [使用方法(Usage)] オプションを有効にした場合は自動入力されます。 証明書のバインディング時に使用方法を指定しない場合は、[使用方法(Usage)] オプションをオフにします。後で 証明書を編集し、使用方法を指定できます。
 

プライマリ PAN の管理者ロール証明書の証明書を変更すると、他のすべてのノードのサービスが再起動します。

プライマリ PAN 上の管理者ロール証明書の証明書を変更すると、他のすべてのノード上のサービスが再起動されます。プライマリ管理ノード(PAN)の再起動が完了すると、システムによって 一度に 1 つのノードが再起動されます。

ステップ 7

[送信(Submit)] をクリックし、 CA 署名付き証明書をバインドします。

Cisco ISE ノード間通信にこの証明書を使用するように選択した場合、Cisco ISE ノードでアプリケーションサーバが再起動されます。

他のノードで CA 署名付き証明書に CSR をバインドするために、この プロセスを繰り返します。


次の作業
信頼できる証明書ストアへのルート証明書のインポート

証明書署名要求のエクスポート

このページを使用して、 証明書署名要求をエクスポートすることができます。

はじめる前に

次のタスクを実行するには、スーパー管理者またはシステム管理者である必要があります。

手順

ステップ 1

[管理(Administration)] > [システム(System)] > [証明書(Certificates)] > [証明書署名要求(Certificate Signing Requests)] を選択します。

ステップ 2

エクスポートする 証明書の隣にあるチェックボックスをオンにし、[エクスポート(Export)] をクリックします。

ステップ 3

[OK] をクリックして、クライアントブラウザを実行しているファイルシステムに ファイルを保存します。


証明書署名要求の設定

Cisco ISE では、1 つの要求で、管理者ポータルから展開内の すべての ノードの CSR を生成することができます。 また、展開内の単一ノードまたは 複数 両方の ノードのどちらの CSR を生成するのか選択することもできます。単一ノードの CSR を生成する場合、ISE は証明書サブジェクトの [CN=] フィールドの特定ノードの完全修飾ドメイン名(FQDN)を自動的に置き換えます。 証明書の [サブジェクト代替名(Subject Alternative Name (SAN))] フィールドにエントリを含めることを選択した場合、他の SAN 属性に加えて ISE ノードの FQDN を入力する必要があります。 展開内のすべてのノードの CSR を生成することを選択した場合は、[ワイルドカード証明書の許可(Allow Wildcard Certificates)] チェックボックスをオンにして、[SAN] フィールド(DNS 名)にワイルドカード表記で FQDN を入力します(*.amer.example.com など)。 EAP 認証に証明書を使用する場合は、[CN=] フィールドにワイルドカード値を入力しないでください。

ワイルドカード証明書を使用することにより、各 Cisco ISE ノードに固有の証明書を生成する必要がなくなります。 また、証明書の警告を防ぐために、SAN フィールドに複数の FQDN 値を入力する必要もありません。 SAN フィールドでアスタリスク(*)を使用すると、展開内の複数の両方のノードで単一の証明書を共有できるようになり、証明書名の不一致による警告を防止することができます。 ただし、ワイルドカード証明書は、各 Cisco ISE ノードに固有のサーバ証明書を割り当てる場合よりも安全性が低いと見なされます。

次の 表に、 認証局 (CA)が署名可能な証明書署名要求(CSR)の生成に使用できる [証明書署名要求(Certificate Signing Request)] ページのフィールドを示します。このページへのナビゲーション パスは、[管理(Administration)] > [システム(System)] > [証明書(Certificates)] > [証明書管理(Certificate Management)] > [証明書署名要求(Certificate Signing Request)] です。

表 11.証明書署名要求の設定
フィールド 使用上のガイドライン

証明書の用途(Certificate(s) will be used for)

証明書を使用するサービスを選択します。

Cisco ISE ID 証明書

  • [複数使用(Multi-Use)]:複数のサービス(管理者、EAP-TLS 認証、pxGrid、およびポータル)に使用されます。複数使用の証明書は、クライアントとサーバ両方のキーの用途を使用します。署名 CA の証明書テンプレートは、コンピュータまたはマシン証明書テンプレートと呼ばれます。 このテンプレートには、次のプロパティがあります。

    • [キーの用途(Key Usage)]:デジタル署名(署名)

    • [キーの拡張用途(Extended Key Usage)]:TLS Web サーバ認証(1.3.6.1.5.5.7.3.1)および TLS Web クライアント認証(1.3.6.1.5.5.7.3.2)

  • [管理者(Admin)]:サーバ認証に使用されます(管理者ポータルとの通信および展開内の ISE ノード間の通信を保護するため)。署名 CA の証明書テンプレートは、Web サーバ証明書テンプレートと呼ばれます。このテンプレートには、次のプロパティがあります。

    • [キーの用途(Key Usage)]:デジタル署名(署名)

    • [キーの拡張用途(Extended Key Usage)]:TLS Web サーバ認証(1.3.6.1.5.5.7.3.1)

  • [EAP 認証(EAP Authentication)]:サーバ認証に使用されます。署名 CA の証明書テンプレートは、コンピュータまたはマシン証明書テンプレートと呼ばれます。 このテンプレートには、次のプロパティがあります。

    • [キーの用途(Key Usage)]:デジタル署名(署名)

    • [キーの拡張用途(Extended Key Usage)]:TLS Web サーバ認証(1.3.6.1.5.5.7.3.1)

     

    EAP-TLS クライアント証明書にデジタル署名キー使用法を使用する必要があります。

  • [RADIUS DTLS]:RADIUS DTLS サーバの認証に使用されます。このテンプレートには、次のプロパティがあります。

    • [キーの用途(Key Usage)]:デジタル署名(署名)

    • [キーの拡張用途(Extended Key Usage)]:TLS Web サーバ認証(1.3.6.1.5.5.7.3.1)

  • [ポータル(Portal)]:サーバ認証に使用されます(すべての ISE Web ポータルとの通信を保護するため)。署名 CA の証明書テンプレートは、コンピュータまたはマシン証明書テンプレートと呼ばれます。 このテンプレートには、次のプロパティがあります。

    • [キーの用途(Key Usage)]:デジタル署名(署名)

    • [キーの拡張用途(Extended Key Usage)]:TLS Web サーバ認証(1.3.6.1.5.5.7.3.1)

  • [pxGrid]:クライアント認証とサーバ認証の両方に使用されます(pxGrid クライアントとサーバ間の通信を保護するため)。署名 CA の証明書テンプレートは、コンピュータまたはマシン証明書テンプレートと呼ばれます。 このテンプレートには、次のプロパティがあります。

    • [キーの用途(Key Usage)]:デジタル署名(署名)

    • [キーの拡張用途(Extended Key Usage)]:TLS Web サーバ認証(1.3.6.1.5.5.7.3.1)および TLS Web クライアント認証(1.3.6.1.5.5.7.3.2)

  • [SAML]:SAML ID プロバイダー(IdP)とのセキュア通信に使用するサーバ証明書。SAML 用の使用を目的とした証明書は、管理者認証や EAP 認証などのその他のサービスのために使用することはできません。

    • [キーの用途(Key Usage)]:デジタル署名(署名)

    • [キーの拡張用途(Extended Key Usage)]:TLS Web サーバ認証(1.3.6.1.5.5.7.3.1)

 
拡張キーの使用状況属性に任意の目的のオブジェクト識別子のための 2.5.29.37.0 の値が含まれている証明書を使用しないことをお勧めします。 拡張キーの使用状況属性に任意の目的のオブジェクト識別子のための 2.5.29.37.0 の値が含まれている証明書を使用する場合、証明書は無効と見なされ、次のエラーメッセージが表示されます。
source=local ; type=fatal ; message="unsupported certificate"

Cisco ISE 認証局 証明書

  • [ISEルートCA(ISE Root CA)]:(内部 CA サービスにのみ適用可能)プライマリ PAN のルート CA および PSN の下位 CA を含む内部 CA 証明書チェーン全体を再生成するために使用されます。

  • [ISE中間CA(ISE Intermediate)]:(ISE が外部 PKI の中間 CA として機能する場合に内部 CA サービスにのみ適用可能)プライマリ PAN の中間 CA 証明書および PSN の下位 CA 証明書の生成に使用されます。 署名 CA の証明書テンプレートは、下位認証局と呼ばれます。 このテンプレートには、次のプロパティがあります。

    • [基本制約(Basic Constraints)]:重要、認証局

    • [キーの用途(Key Usage)]:証明書の署名、デジタル署名

    • [キーの拡張用途(Extended Key Usage)]:OCSP 署名(1.3.6.1.5.5.7.3.9)

  • [ISE OCSP応答側証明書の更新(Renew ISE OCSP Responder Certificates)]:(内部 CA サービスにのみ適用可能)展開全体の ISE OCSP 応答側証明書の更新に使用されます(証明書署名要求ではありません)。セキュリティ上の理由から、ISE OCSP 応答側証明書を 6 ヵ月ごとに更新することを推奨します。

ワイルドカード証明書の許可(Allow Wildcard Certificates)

証明書の [SAN] フィールドの CN/DNS 名にワイルドカード文字(*)を使用するには、このチェックボックスをオンにします。 このチェックボックスをオンにすると、 展開内のすべてのノードが自動的に選択されます。左端のラベルの位置にアスタリスク(*)ワイルドカード文字を使用する必要があります。 ワイルドカード証明書を使用する場合は、セキュリティを強化するためにドメイン領域を分割することを推奨します。 たとえば、*.example.com の代わりに *.amer.example.com を使用して領域を分割することができます。 ドメインを分割しないと、セキュリティ問題が発生する可能性があります。

これらのノードの CSR の生成(Generate CSRs for these Nodes)

証明書を生成するノードの隣のチェックボックスをオンにします。 展開内の選択されたノードの CSR を生成するには、 [ワイルドカード証明書の許可(Allow Wildcard Certificates)] オプションをオフにします。

一般名(Common Name)(CN)

デフォルトでは、一般名は CSR を生成する ISE ノードの FQDN です。 $FQDN$ は ISE ノードの FQDN を意味します。展開内の複数ノードの CSR を生成すると、CSR の [一般名(Common Name)] フィールドは各 ISE ノードの FQDN に置き換えられます。

組織

組織ユニット名。Engineering など。

組織(Organization)(O)

組織名。Cisco など。

都市(City)(L)

(省略不可)都市名。 San Jose など。

州(State)(ST)

(省略不可)州名。 California など。

国(Country)(C)

国 名。2 文字の ISO 国番号を入力する必要があります。US など。

サブジェクト代替名(Subject Alternative Name)(SAN)

証明書に関連付けられている IP アドレス、DNS 名、Uniform Resource Identifier(URI)、またはディレクトリ名。

  • [DNS名(DNS Name)]:DNS 名を選択した場合は、ISE ノードの完全修飾ドメイン名を入力します。[ワイルドカード証明書の許可(Allow Wildcard Certificates)] オプションをオンにした場合は、ワイルドカード表記(ドメイン名の前にアスタリスクとピリオドを入力)を指定します。 *.amer.example.com など。

  • [IPアドレス(IP Address)]:証明書に関連付けられる ISE ノードの IP アドレス。

  • [Uniform Resource Identifier]:証明書に関連付ける URI。

  • [ディレクトリ名(Directory Name)]:RFC 2253 に従って定義される識別名(DN)の文字列表現。DN 間はカンマ(,)で区切ります。「dnQualifier」RDN の場合は、カンマをエスケープし、区切り文字としてバックスラッシュカンマ「\,」を使用します。 たとえば、CN=AAA,dnQualifier=O=Example\,DC=COM,C=IL などです。

キー タイプ

RSA または ECDSA の公開キーの作成に使用するアルゴリズムを指定します。

キーの長さ(Key Length)

公開キーのビット サイズを指定します。

RSA には、次のオプションを使用できます。

  • 512

  • 1024

  • 2048

  • 4096

ECDSA には、次のオプションを使用できます。

  • 256

  • 384

 

RSA および ECDSA の公開キーは、同じセキュリティレベルで異なるキー長を持つことがあります。

パブリック CA 署名付き証明書を取得する予定の場合は、 2048 以上を選択します。

署名するダイジェスト(Digest to Sign With)

ハッシュアルゴリズム SHA-1 または SHA-256 を選択します。

証明書ポリシー(Certificate Policies)

証明書が従うべき証明書ポリシーの OID または OID のリストを入力します。 OID を区切るには、カンマまたはスペースを使用します。

ポータルで使用する証明書 のセットアップ

Web ポータル要求を処理できる展開に複数のポリシーサービスノード(PSN)がある場合、Cisco ISE には一意の ID が必要です。この ID で、 ポータルの通信に使用する必要がある証明書を識別します。 ポータルでの使用に指定された証明書を追加またはインポートする場合、 証明書グループタグを定義して、それを展開内の 各ノードの対応する証明書に関連付ける必要があります。この証明書グループタグを 対応するエンドユーザポータル(ゲスト、スポンサー、およびパーソナルデバイス ポータル)に関連付ける必要があります。この証明書グループタグは一意の ID で、Cisco ISE が 各ポータルと通信する際に使用する必要がある証明書を識別する場合に役立ちます。 ポータルごとに各ノードから 1 つの証明書を指定できます。



Cisco ISE は TCP ポート 8443(またはポータルが使用するように設定したポート)でポータル証明書を提示します。


手順


ステップ 1

証明書署名要求を作成し、認証局に CSR を送信します

すでに定義済みの証明書グループ タグを選択するか、ポータル用に新しく作成する必要があります。たとえば、mydevicesportal などです。

ステップ 2

信頼できる証明書ストアへのルート証明書をインポートします

ステップ 3

CSR に CA 署名付き証明書をバインドします


CA 署名付き証明書へのデフォルトの ポータル証明書グループタグの再割り当て

デフォルトでは、すべての Cisco ISE ポータルは自己署名証明書を使用します。ポータルに CA 署名付き証明書を使用する場合は、デフォルトのポータル 証明書グループタグを CA 署名付き証明書に割り当てることができます。既存の CA 署名付き証明書を使用するか、または CSR を生成して、ポータルに使用する新しい CA 署名付き証明書 を取得できます。1 つの証明書から 別の証明書にポータルグループタグを再割り当てすることができます。



既存の証明書を編集する場合、証明書に関連付けられているポータルタグ(ゲスト) がいずれかの ポータルですでに使用されている場合は、デフォルトのポータル証明書グループタグまたは 他のポータルグループタグをこの証明書に再割り当てすることはできません。「ゲスト」ポータルタグを使用している ポータルのリストが表示されます。


次に、CA 署名付き証明書にデフォルトのポータル 証明書グループタグを再割り当てする手順について説明します。

手順

ステップ 1

[管理(Administration)] > [システム(System)] > [証明書(Certificates)] > [システム証明書(System Certificates)] を選択します。

このタグを使用する ポータルのリストを表示するには、デフォルトのポータル証明書グループタグの横にある i アイコンにマウスポインタを合わせます。このタグが割り当てられているポータル証明書がある 展開内の ISE ノードを表示することもできます。

ステップ 2

ポータルに使用する CA 署名付き証明書の横にあるチェック ボックスをオンにして、 [編集(Edit)] をクリックします。

いずれのポータルでも使用されていない CA 署名付き証明書を選択してください。

ステップ 3

[使用方法(Usage)] 領域で、[ポータル(Portal)] チェックボックスをオンにして、デフォルトのポータル 証明書グループタグを選択します。

ステップ 4

[保存(Save)] をクリックします。

警告 メッセージが表示されます。

ステップ 5

[はい(Yes)] をクリックして、CA 署名付き証明書にデフォルトのポータル証明書グループ タグを再割り当てします。


ノード登録前のポータル 証明書タグの関連付け

展開内のすべてのポータルに 「デフォルトポータル証明書グループ」タグを使用する場合は、 新しい ISE ノードを登録する前に、関連する CA 署名付き証明書をインポートし、サービスとして「ポータル」を選択し、この証明書に「デフォルト ポータル証明書グループ」タグを関連付けます。

展開に新しい ノードを追加すると、デフォルトの自己署名証明書が 「デフォルトポータル証明書グループ」タグに関連付けられ、 このタグを使用するようにポータルが設定されます。

新しいノードの登録後、証明書グループタグの関連付けは変更できません。したがって、 展開にノードを登録する前に、次を実行してください。

手順

ステップ 1

自己署名証明書を作成し、サービスとして「ポータル」を選択し、別の 証明書グループタグ(たとえば、tempportaltag)を割り当てます。

ステップ 2

新しく作成した証明書グループタグ (tempportaltag)を使用するように ポータル設定を変更します。

ステップ 3

デフォルト 自己署名証明書を編集し、ポータルロールを削除します。

このオプションは、 デフォルトポータル証明書グループタグとデフォルト 自己署名証明書との関連付けを削除します。

ステップ 4

次のいずれか を実行します。

オプション 説明

CSR の生成

CSR を生成するときは、次を実行します。

  1. この証明書を使用する 「ポータル」をサービスとして選択し、 「デフォルトポータル証明書グループ」タグを関連付けます。

  2. CSR を CA に送信し、署名付きの証明書を取得します。

  3. 信頼できる証明書ストアに証明書に署名した CA のルートおよび他の中間証明書をインポートします。

  4. CSR に CA 署名付き証明書をバインドします。

秘密キーと CA 署名付き証明書のインポート

CA 署名付き証明書をインポートするときは、次を実行します。

  1. この証明書を使用する 「ポータル」をサービスとして選択し、 「デフォルトポータル証明書グループ」タグを関連付けます。

  2. 信頼できる証明書ストアに 証明書に署名した CA の ルートおよび他の中間証明書をインポートします。

既存の CA 署名付き証明書の編集

既存の CA 署名付き証明書を編集するときは、次を実行します。

この証明書を使用する 「ポータル」をサービスとして選択し、 「デフォルトポータル証明書グループ」タグを関連付けます。

ステップ 5

展開に ISE ノードを登録します。

展開内の ポータル構成は「デフォルトポータル 証明書グループ」タグに設定され、ポータルは 新しいノードの「デフォルトポータル証明書グループ」タグに関連付けられた CA 署名付き 証明書を使用するように設定されます。

ユーザおよびエンドポイントの 証明書の更新

デフォルトでは、Cisco ISE は証明書が期限切れになったデバイスからの要求を拒否します。 ただし、このデフォルト動作を変更し、このような要求を処理し、 ユーザに証明書の更新を求めるように ISE を設定できます。

ユーザが証明書を更新することを許可する場合は、 要求をさらに処理する前に証明書が更新されたかどうかを判断する 認証ポリシールールを設定することを推奨します。証明書が期限切れになったデバイス からの要求を処理することで、潜在的なセキュリティ脅威が発生する可能性があります。 組織のセキュリティが侵害されていないことを保証するには、 適切な認証プロファイルおよびルールを設定する必要があります。

あるデバイスは 有効期限の前後に証明書を更新できます。ただし、Windows デバイスでは、期限切れになる前にだけ証明書を更新できます。Apple iOS、Mac OSX、および Android デバイスでは、 有効期限の前または後に証明書を更新できます。

ポリシー条件で証明書更新に使用されるディクショナリ 属性

Cisco ISE 証明書ディクショナリには、ユーザに証明書更新を許可するポリシー条件で使用される次の属性 が含まれます。

  • [有効期限までの日数(Days to Expiry)]:この属性は、 証明書が有効な日数を指定します。この属性を使用して、 認証ポリシーで使用できる条件を作成できます。この属性には、 0 ~ 15 の値を指定できます。0 の値は、証明書の有効期限がすでに 切れていることを示します。1 の値は、証明書の 有効期限が切れるまで 1 日未満であることを示します。

  • [有効期限切れ(Is Expired)]:このブール属性は、証明書が 有効期限切れかどうかを示します。 証明書の有効期限が近く、有効期限切れではない場合にのみ証明書更新を許可する場合は、 認証ポリシー条件でこの属性を使用します。

証明書更新用の許可ポリシー 条件

認証ポリシーで CertRenewalRequired の単純条件( デフォルトで使用可能)を使用すると、Cisco ISE が要求を処理する前に証明書(有効期限切れまたはまもなく 有効期限が切れる)を更新できます。

証明書を更新するための CWA リダイレクト

ユーザ証明書が期限切れになる前に失効している場合、Cisco ISE は、CA がパブリッシュした CRL をチェックして認証要求を拒否します。 失効した証明書の期限が切れている場合は、CA が CRL でこの証明書をパブリッシュしない可能性があります。このシナリオでは、失効した証明書 が Cisco ISE によって更新される可能性があります。このことを避けるために、証明書を更新する前に、 要求が中央 Web 認証(CWA)にリダイレクトされ、完全 認証が実行されるようにします。 CWA のユーザをリダイレクトするには、認証プロファイルを作成する必要があります。

ユーザによる証明書の更新を許可する Cisco ISE の設定

ユーザが証明書を更新できるように Cisco ISE を設定するには、 この手順で示すタスクを実行する必要があります。

はじめる前に

WLC で制限されたアクセス ACL を設定して、CWA 要求をリダイレクトします。

手順

ステップ 1

許可されるプロトコルの設定の更新

ステップ 2

CWA リダイレクションの許可ポリシー プロファイルの作成

ステップ 3

証明書を更新する許可ポリシー ルールの作成

ステップ 4

ゲスト ポータルでの BYOD 設定の有効化


許可される プロトコルの設定の更新

手順

ステップ 1

[ポリシー(Policy)] > [ポリシー要素(Policy Elements)] > [結果(Results)] > [認証(Authentication)] > [許可されるプロトコル(Allowed Protocols)] > [デフォルトネットワークアクセス(Default Network Access)] を選択します。

ステップ 2

PEAP および EAP-FAST プロトコルの EAP-TLS プロトコルおよび EAP-TLS 内部方式下の [認証ポリシーの証明書更新を可能にするために失効した証明書の認証を許可(Allow Authentication of expired certificates to allow certificate renewal in Authorization Policy)] チェックボックスをオンにします。

EAP-TLS プロトコルを使用する要求が NSP フローを通過します。

PEAP および EAP-FAST プロトコルについては、要求を処理するように Cisco ISE 向け Cisco AnyConnect を手動で設定する必要があります。

ステップ 3

[送信(Submit)] をクリックします。


次の作業

CWA リダイレクションの許可ポリシー プロファイルの作成

CWA リダイレクションの 認証ポリシープロファイルの作成

はじめる前に

WLC で制限されたアクセス ACL が設定されていることを確認します。

手順

ステップ 1

[ポリシー(Policy)] > [ポリシー要素(Policy Elements)] > [結果(Results)] > [許可(Authorization)] > [認証プロファイル(Authorization Profiles)] を選択します。

ステップ 2

[追加(Add)] をクリックします。

ステップ 3

認証プロファイルの名前を入力します。たとえば、CertRenewal_CWA です。

ステップ 4

[共通タスク(Common Tasks)] 領域の [Webリダイレクション(CWA、DRW、MDM、NSP、CPP)(Web Redirection (CWA, DRW, MDM, NSP, CPP))] チェックボックスをオンにします。

ステップ 5

ドロップダウンリストの [中央集中Web認証(Centralized Web Auth)] および制限されたアクセス ACL を選択します。

ステップ 6

[証明書更新メッセージの表示(Display Certificates Renewal Message)] チェックボックスをオンにします。

url-redirect 属性値が変更され、この値に 証明書が有効である日数が含まれます。

ステップ 7

[送信(Submit)] をクリックします。




Cisco ISE 1.2 で 無線デバイスの次のデバイス登録 WebAuth(DRW)ポリシーを設定している場合:

  • 条件 = (Wireless_MAB AND Network Access:UseCase EQUALS HostLookup) およびプロファイル = Wireless-drw-redirect を含む DRW-Redirect ポリシー

  • 条件 = (Wireless_MAB AND Network Access:UseCase EQUALS HostLookup) およびプロファイル = Wireless-Permit を含む DRW-Allow ポリシー

ISE 1.3 以上のバージョンにアップグレードした後は、DRW-Allow ポリシー条件を 次のように更新する必要があります。

  • 条件 = (Wireless_MAB AND Network Access:UseCase EQUALS Guest Flow) およびプロファイル = Wireless-Permit


次の作業

証明書を更新する許可ポリシー ルールの作成

証明書を更新する 認証ポリシールールの作成

はじめる前に

中央 Web 認証リダイレクションの認証プロファイルが作成されていることを確認します。

[管理(Administration)] > [システム(System)] > [設定(Settings)] > [ポリシーセット(Policy Sets)] でポリシーセットを有効にします。

手順

ステップ 1

[ワークセンター(Work Centers)] > [デバイス管理(Device Administration)] > [デバイス管理ポリシーセット(Device Admin Policy Sets)] の順に選択します。

ステップ 2

[上を作成(Create Above)] をクリックします。

ステップ 3

新しいルールの名前を入力します。

ステップ 4

次の単純条件と結果を選択します。

CertRenewalRequired EQUALS True の場合は、 権限用に以前に作成した認証プロファイル(CertRenewal_CWA)を選択します。

ステップ 5

[保存(Save)] をクリックします。


次の作業

証明書が期限切れになったデバイスを持つ 企業ネットワークにアクセスした場合は、[更新(Renew)] をクリックして、デバイスを再設定します。

ゲスト ポータルでの BYOD 設定の有効化

ユーザがパーソナル デバイス証明書を更新できるようにするには、選択したゲスト ポータルで BYOD 設定を有効にする必要があります。

手順

ステップ 1

[ワークセンター(Work Center)] > [ゲストアクセス(Guest Access)] > [ポータルとコンポーネント(Portals & Components)] > [ゲストポータル(Guest Portals)] を選択します。

  1. 目的の CWA ポータルを選択して、[編集(Edit)] をクリックします。

ステップ 2

[BYOD設定(BYOD Settings)] から [従業員にネットワークでのパーソナルデバイスの使用を許可する(Allow employees to use personal devices on the network)] チェックボックスをオンにします。

ステップ 3

[保存(Save)] をクリックします。


Apple iOS デバイスの証明書更新の 失敗

ISE を使用して Apple iOS デバイスのエンドポイント証明書を更新する場合、エラーメッセージ「プロファイル済みでインストールできませんでした(Profiled Failed to Install)」が表示される場合があります。このエラー メッセージは、同じポリシーサービスノード(PSN)または別の PSN で、期限切れ間近または期限切れのネットワークプロファイルが 更新のプロセス時に使用されるものとは 異なる管理者 HTTPS 証明書によって署名されている場合に表示されます。

回避策としては、展開内のすべての PSN で管理者 HTTPS 用にマルチドメイン SSL 証明書( 通称 Unified Communications Certificates(UCC))またはワイルドカード 証明書を使用します。

証明書のステータス(OCSP または CRL)の確認

Cisco ISE は、証明書失効リスト(CRL)を定期的にチェックします。 このページを使用して、自動的にダウンロードされた CRL に対して進行中のセッションをチェックするように Cisco ISE を設定できます。OCSP または CRL のチェックを毎日開始する時刻と、OCSP サーバまたは CRL を再度チェックする前に Cisco ISE が待機する時間間隔を時間単位で指定できます。

次の表では、[証明書定期チェックの設定(Certificate Periodic Check Settings)] ページのフィールドについて説明します。このページを使用して、証明書(OCSP または CRL)のステータスをチェックする時間間隔を指定できます。 このページへのナビゲーションパスは、[管理(Administration)] > [システム(System)] > [証明書(Certificates)] > [証明書管理(Certificate Management)] > [証明書定期チェックの設定(Certificate Periodic Check Settings)] です。

表 12.証明書定期チェックの設定
フィールド名 使用上のガイドライン

証明書チェックの設定

自動的に取得されたCRLに対する進行中のセッションのチェック(Check ongoing sessions against automatically retrieved CRL)

Cisco ISE が自動的にダウンロードされた CRL に対する進行中のセッションをチェックするようにするには、このチェックボックスをオンにします。

CRL/OCSP の定期的な証明書チェック

最初のチェック時刻(First check at)

CRL または OCSP のチェックを 毎日開始する時刻を指定します。00:00 ~ 23:59 の時間範囲の値を入力します。

チェック間隔(Check every)

CRL または OCSP サーバを再度チェックする前に Cisco ISE が待機する時間間隔を時間単位で指定します。

Cisco ISE CA サービス

証明書は、自己署名したり、外部の認証局(CA)がデジタルで署名したりできます。Cisco ISE 内部認証局(ISE CA)は、従業員が企業ネットワークでパーソナルデバイスを使用できるように、一元的な コンソールからエンドポイントのデジタル証明書を発行し、管理します。 CA 署名付きデジタル証明書は、業界標準であり、よりセキュアです。プライマリ PAN は、ルート CA です。ポリシー サービス ノード(PSN)は、プライマリ PAN の下位 CA です(SCEP RA)。 ISE CA には次の機能があります。

  • 証明書 の発行:ネットワークに接続するエンドポイント の証明書署名要求(CSR)を検証し、署名します。

  • キー管理:PAN ノードと PSN ノードの両方でキーと証明書を生成し、セキュアに保存します

  • 証明書 ストレージ:ユーザやデバイスに発行された証明書を保存します。

  • Online Certificate Status Protocol(OCSP)サポート:OCSP 応答側に証明書の 有効性を確認する手段を提供します。

CA サービスがプライマリ管理ノードで無効になっている場合でも、CA サービスはセカンダリ 管理ノードの CLI で実行中として表示されます。理想的には、CA サービスは無効として表示される必要があります。これは、Cisco ISE の既知の問題です。

管理ノードとポリシーサービスノードでプロビジョニングされる ISE CA 証明書

インストール後に、 Cisco ISE ノードはルート CA 証明書およびノード CA 証明書でプロビジョニングされ、エンドポイントの証明書が管理されます。

図 2.スタンドアロンノードでプロビジョニングされる ISE CA 証明書


展開をセットアップすると、プライマリ管理ノード (PAN)として指定したノードがルート CA になります。PAN には、ルート CA 証明書と、ルート CA によって署名されたノード CA 証明書があります。

PAN に セカンダリ管理ノードを登録すると、ノード CA 証明書が生成され 、プライマリ管理ノードでルート CA によって署名されます。

PAN に登録したポリシーサービス ノード(PSN)には、エンドポイント CA と、PAN のノード CA によって署名された OCSP 証明書がプロビジョニングされます。ポリシーサービスノード (PSN)は、PAN の下位 CA です。ISE CA を使用すると、PSN のエンドポイント CA によってネットワークにアクセスするエンドポイントに証明書が発行されます。

図 3. 展開内の管理ノードおよびポリシーサービスノードでプロビジョニングされる ISE CA 証明書


ISE CA チェーン の再生成

Cisco ISE CA チェーンを再生成すると、ルート CA、ノード CA、 およびエンドポイント CA 証明書を含むすべての証明書が再生成されます。PAN または PSN のドメイン名またはホスト名を変更すると、ISE CA チェーンを再生する必要があります。 以前のリリースから 2.0 以降にアップグレードするときには、2 つのルート階層から 1 つの ルート階層に移行するように ISE CA チェーンを再生成することをお勧めします。

システム証明書を再生成すると、ルート CA または中間 CA 証明書のいずれでも、ISE メッセージングサービスが再起動して 新しい証明書チェーンがロードされます。監査ログは、ISE メッセージングサービスが再び利用可能になるまで失われます。



展開で Cisco ISE の内部 CA を置き換えるたびに、 完全な証明書チェーンを取得するように ISE メッセージングサービスも更新する必要があります。


楕円曲線 暗号化証明書のサポート

Cisco ISE CA サービスが、楕円曲線暗号化(ECC)アルゴリズムに基づく証明書をサポートするようになりました。ECC は、より小さいキー サイズを使用している場合でも、他の暗号化アルゴリズムよりも高いセキュリティ とパフォーマンスを提供します。

次の表では、ECC および RSA のキー サイズとセキュリティ強度を比較しています。

ECC のキー サイズ(ビット単位) RSA のキー サイズ(ビット単位)
160 1024
224 2048
256 3072
384 7680
521 15360

キー サイズが小さいため、暗号化が迅速になります。

Cisco ISE では、次の ECC 曲線タイプがサポートされています。曲線タイプまたはキー サイズが大きくなると、セキュリティが強化されます。

  • P-192

  • P-256

  • P-384

  • P-521

ISE は、証明書の EC 部分の明示的なパラメータをサポートしていません。明示的なパラメータで証明書をインポートしようとすると、 「証明書の検証に失敗しました」というエラーが表示されます。名前付き ECParameters のみがサポートされています。

Cisco ISE CA サービスは、BYOD フローを介して接続するデバイスの ECC 証明書をサポートします。また、証明書プロビジョニングポータルから ECC 証明書 を生成することもできます。



次の表に、ECC をサポートしているオペレーティング システムおよびバージョンと、サポートされている曲線タイプを示します。 デバイスがサポートされているオペレーティングシステムを実行していない場合、またはサポートされているバージョンでない場合には、代わりに RSA ベースの証明書を使用することもできます。

オペレーティング システム(Operating System) サポートされるバージョン サポートされる曲線タイプ
Windows 8 以降 P-256、P-384、P-521
Android 4.4 以降
 

Android 6.0 は、ECC 証明書をサポートするために 2016 年 5 月のパッチが必要です。

すべての曲線タイプ(P-192 曲線タイプをサポートしていない Android 6.0 を除く)。

Windows 7 と Apple iOS は、EAP-TLS を介した認証用の ECC をネイティブでサポートしていません。Cisco ISE のこのリリースでは、 Mac OS X デバイスでの ECC 証明書の使用はサポートされていません。


Enrollment over Secure Transport(EST)プロトコルを備えた BYOD フローが適切に機能しない場合は、次のことを確認します。

  • 証明書サービス エンドポイント サブ CA 証明書チェーンが完全であること。証明書チェーンが完全かどうかを確認するには:

    1. [管理(Administration)] > [システム(System)] > [証明書(Certificates)] > [認証局(Certificate Authority)] > [認証局証明書(Certificate Authority Certificates)] の順に選択します。

    2. 確認する証明書の横にあるチェックボックスをオンにして、[表示(View)] をクリックします。

  • CA および EST サービスが起動し、実行されていることを確認します。サービスが実行されていない場合は、[管理(Administration)] > [システム(System)] > [証明書(Certificates)] > [認証局(Certificate Authority)] > [内部CAの設定(Internal CA Settings)] に移動して CA サービスを有効にします。

  • 2.0 以前の ISE バージョンから Cisco ISE 2.x にアップグレードしている場合は、 アップグレード後に ISE ルート CA 証明書チェーンを置き換えます。手順は次のとおりです。

    1. [管理(Administration)] > [システム(System)] > [証明書(Certificates)] > [証明書の管理(Certificate Management)] > [証明書署名要求(Certificate Signing Requests)] の順に選択します。

    2. [証明書署名要求(CSR)の生成(Generate Certificate Signing Requests (CSR))] をクリックします。

    3. [1つ以上の証明書の使用先(one or more Certificates will be used for)] ドロップダウンリストから ISE ルート CA を選択します。

    4. [ISEルートCA証明書チェーンの置き換え(Replace ISE Root CA Certificate chain)] をクリックします。



Cisco ISE のこのリリースでは、EST クライアントが Cisco ISE に存在する EST サーバに対して直接認証を行うことはサポートされていません。

Android または Windows エンドポイントでのオンボーディング時に、要求が ECC ベースの証明書用である場合には、ISE が EST フローをトリガーします。


Cisco ISE 認証局証明書

[認証局(CA)証明書(Certificate Authority (CA) Certificates)] ページには、内部 Cisco ISE CA に関連するすべての証明書が表示されます。以前のリリースでは、これらの CA 証明書は信頼できる証明書ストアにありましたが、現在は [CA証明書(CA Certificates)] ページに移動しています。これらの証明書は、このページにノード方式で表示されます。ノードを展開して、そのノードの ISE CA 証明書をすべて表示することができます。プライマリおよびセカンダリ管理ノードには、ルート CA、ノード CA、下位 CA、OCSP 応答側証明書があります。展開内の他のノードには、エンドポイント下位 CA および OCSP 証明書があります。

Cisco ISE CA サービスを有効にすると、すべてのノードでこれらの証明書が自動的に生成され、インストールされます。また、 ISE ルート CA チェーン全体を置き換えると、すべてのノードでこれらの証明書が自動的に再生成され、インストールされます。手動による介入 は必要ありません。

Cisco ISE CA 証明書は、次の命名規則に従います。証明書サービス <エンドポイントサブ CA/ノード CA/ルート CA/OCSP 応答側>-<node_hostname>#certificate_number

[CA 証明書(CA Certificates)] ページで Cisco ISE CA 証明書を編集、インポート、エクスポート、削除、表示できます。

Cisco ISE CA 証明書の編集

証明書を Cisco ISE CA 証明書ストアに追加した後、編集の設定を使用して、その証明書をさらに編集できます。

はじめる前に

次のタスクを実行するには、スーパー管理者またはシステム管理者である必要があります。

手順

ステップ 1

[管理(Administration)] > [システム(System)] > [証明書(Certificates)] > [認証局(Certificate Authority)] > [認証局証明書(Certificate Authority Certificates)] の順に選択します。

ステップ 2

編集する 証明書の横にあるチェックボックスをオンにして、[編集(Edit)] をクリックします。

ステップ 3

必要に応じて編集可能なフィールドを変更します。フィールドの説明については、「証明書設定の編集」を参照してください。

ステップ 4

[保存(Save)] をクリックして、証明書ストアに対して行った 変更を保存します。


Cisco ISE CA 証明書のエクスポート

Cisco ISE ルート CA およびノード CA 証明書をエクスポートするには、次の手順を実行します。

はじめる前に

次のタスクを実行するには、ネットワーク管理者またはシステム管理者である必要があります。

手順

ステップ 1

[管理(Administration)] > [システム(System)] > [証明書(Certificates)] > [認証局(Certificate Authority)] > [認証局証明書(Certificate Authority Certificates)] の順に選択します。

ステップ 2

エクスポートする 証明書の隣にあるチェックボックスをオンにし、[エクスポート(Export)] をクリックします。 一度に 1 つの証明書のみをエクスポートできます。

ステップ 3

クライアントブラウザを実行しているファイルシステムに Privacy Enhanced Mail ファイルを保存します。


Cisco ISE CA 証明書のインポート

エンドポイント が別の展開の Cisco ISE CA によって発行された証明書を使用してネットワークへの認証を試みる場合、Cisco ISE ルート CA、ノード CA、エンドポイント サブ CA 証明書をその展開から Cisco ISE の信頼できる証明書ストアにインポートする必要があります。

はじめる前に
  • 次のタスクを実行するには、スーパー管理者またはシステム管理者である必要があります。

  • ISE ルート CA、ノード CA、エンドポイントサブ CA 証明書を、エンドポイント証明書が署名されている展開からエクスポートし、 ブラウザが実行されているコンピュータのファイルシステムに保存します。

手順

Step 1

エンドポイントが認証されている展開の管理者用ポータルにログインします。

ステップ 2

[管理(Administration)] > [システム(System)] > [証明書(Certificates)] > [信頼できる証明書(Trusted Certificates)] を選択します。

ステップ 3

[インポート(Import)] をクリックします。

ステップ 4

必要に応じてフィールドの値を設定します。詳細については、「信頼できる証明書のインポート設定」を参照してください。

クライアント証明書ベースの認証が有効である場合は、Cisco ISE により展開内の各ノードのアプリケーションサーバが再起動されます(最初に PAN のアプリケーションサーバが再起動され、続いて追加のノードのアプリケーションサーバが 1 つずつ再起動されます)。


証明書 テンプレート

証明書テンプレートには、そのテンプレートに基づいて認証局(CA) によって発行されたすべての証明書に共通のプロパティ が含まれています。証明書テンプレートでは、件名、サブジェクト 代替名(SAN)、キータイプ、キーサイズ、使用する必要がある SCEP RA プロファイル、 証明書の有効期間、 証明書がクライアントやサーバの 認証またはその両方に使用される必要があるかどうかを指定した拡張キーの使用状況(EKU)を定義します。内部 Cisco ISE CA(ISE CA)は、証明書 テンプレートを使用し、そのテンプレートに基づいて証明書を発行します。

Cisco ISE には、 次の ISE CA のデフォルト証明書テンプレートが付属しています。必要に応じて、 追加の証明書テンプレートを作成できます。デフォルトの証明書テンプレート は次のとおりです。

  • CA_SERVICE_Certificate_Template: Cisco ISE を認証局として使用するその他のネットワークサービス用。たとえば、ASA VPN ユーザに対し証明書を発行するには、ISE の設定時にこの証明書 テンプレートを使用します。この証明書テンプレートでは、 有効期間のみを変更できます。

  • EAP_Authentication_Certificate_Template:EAP 認証用。

  • pxGrid_Certificate_Template:証明書プロビジョニング ポータルから証明書を生成するときの pxGrid コントローラ用。

証明書テンプレート 名の拡張子

Cisco ISE の内部 CA には、 エンドポイント証明書を作成するために使用された証明書テンプレートを表す拡張子が含まれています。 内部 CA によって発行されたすべてのエンドポイント証明書には、証明書テンプレート名の拡張子が含まれています。この拡張子 は、そのエンドポイント 証明書を作成するために使用された証明書テンプレートを表します。拡張子の ID は 1.3.6.1.4.1.9.21.2.5 です。 CERTIFICATE: Template Name 属性を認証ポリシーの条件に使用して、 評価の結果に基づいて適切なアクセス権限を割り当てることができます。

認証ポリシー条件での証明書 テンプレート名の使用

認証ポリシールールで 証明書テンプレート名の拡張子を使用できます。

手順

ステップ 1

[ポリシー(Policy)] > [ポリシーセット(Policy Sets)] を選択し、認証ポリシールールを表示するデフォルトのポリシーセットを展開します。

ステップ 2

新しいルール を追加するか、既存のルールを編集します。次に、 Compliant_Device_Access ルールを編集する例を示します。

  1. Compliant_Device_Access ルールを編集します。

  2. [属性/値の追加(Add Attribute/Value)] を選択します。

  3. ディクショナリから、 CERTIFICATE: Template Name 属性と Equals 演算子を選択します。

  4. 証明書テンプレート名の値を入力します。 EAP_Authentication_Certificate_Template などです。

ステップ 3

[保存(Save)] をクリックします。


pxGrid コントローラ用の Cisco ISE CA 証明書の展開

Cisco ISE CA は、証明書プロビジョニング ポータルから証明書を生成するための pxGrid コントローラの証明書テンプレートを提供します。

はじめる前に

pxGrid クライアントの 証明書署名要求(CSR)を生成し、CSR の内容 をクリップボードにコピーします。

手順

ステップ 1

ネットワーク アクセス ユーザ アカウントを作成します([管理(Administration)] > [IDの管理(Identity Management)] > [ID(Identities)] > [ユーザ(Users)] > [追加(Add)])。

ユーザが割り当てられている ユーザグループをメモします。

ステップ 2

証明書プロビジョニングポータルの設定を編集します([管理(Administration)] > [デバイスポータル管理(Device Portal Management)] > [証明書プロビジョニング(Certificate Provisioning)])。

  1. 証明書プロビジョニングポータルを選択して、[編集(Edit)] をクリックします。

  2. [ポータル設定(Portal Settings)] ドロップダウンリストをクリックします。[承認済みグループの設定(Configure authorized groups)] の選択可能なリストから、ネットワーク アクセスユーザが属すユーザグループを選択して、選択済みリストに移動します。

  3. [証明書プロビジョニングポータル設定(Certificate Provisioning Portal Settings)] ドロップダウンリストをクリックします。[pxGrid_Certificate_Template] を選択します。詳細については、『Cisco ISE Admin Guide: Guest and BYOD 』の「Portal Settings for Certificate Provisioning Portal」」のセクションを参照してください。

  4. ポータル設定を保存します。

ステップ 3

証明書プロビジョニングポータルを起動します。[ポータル テスト URL(Portal test URL)] リンクをクリックします。

  1. 手順 1 で作成したユーザアカウントを使用して 証明書プロビジョニングポータルにログインします。

  2. AUP を受け入れ、[続行(Continue)] をクリックします。

  3. [処理の選択(I want to)] ドロップダウンリストから、[単一の証明書の生成(証明書署名要求あり)(Generate a single certificate (with certificate signing request))] を選択します。

  4. [証明書署名要求の詳細(Certificate Signing Request Details)] フィールドに、 クリップボードから CSR の内容を貼り付けます。

  5. [証明書のダウンロード形式(Certificate Download Format)] ドロップダウンリストから、[PKCS8形式(PKCS8 format)] を選択します。

     

    [PKCS12 形式(PKCS12 format)] を選択する場合は、1 つの証明書ファイルを証明書ファイルとキー ファイルに分けて変換する必要があります。Cisco ISE にインポートする前に、 証明書とキーファイルはバイナリ DER エンコードまたは PEM 形式にする必要があります。

  6. [証明書テンプレートの選択(Choose Certificate Template)] ドロップダウンリストから、[pxGrid_Certificate_Template] を選択します。

  7. 証明書のパスワードを入力します。

  8. [生成(Generate)] をクリックします。

    証明書が生成されます。

  9. 証明書をエクスポートします。

    証明書チェーンとともに証明書がエクスポートされます。

ステップ 4

pxGrid クライアントの信頼できる証明書ストアに Cisco ISE CA チェーンをインポートします。


Simple Certificate Enrollment Protocol プロファイル

ユーザがネットワークで登録できるさまざまなモバイルデバイスの証明書のプロビジョニング機能を有効にするために、 Cisco ISE では、1 つ以上の Simple Certificate Enrollment Protocol(SCEP)認証局(CA)プロファイル( Cisco ISE 外部 CA 設定と呼ばれる)を設定して、Cisco ISE に複数の CA の場所を指定できます。複数のプロファイルを使用できる利点は、ハイアベイラビリティを実現し、指定した CA の場所の間でロード バランシングを実行できることです。特定の SCEP CA への要求に 3 回連続して 応答がなかった場合、Cisco ISE は特定のサーバが使用不能であると宣言し、次に負荷が小さく応答 時間が短い既知の CA に自動的に移動し、サーバがオンラインに復帰するまで、定期的なポーリングを開始します。

Microsoft SCEP サーバを Cisco ISE と相互運用するように設定する方法については、次を参照してください。

http://www.cisco.com/en/US/solutions/collateral/ns340/ns414/ns742/ns744/docs/howto_60_byod_certificates.pdf

発行した 証明書

管理者ポータルには、内部 ISE CA によってエンドポイントに対して発行されたすべての証明書のリストが示されます([管理(Administration)] > [システム(System)] > [証明書(Certificates)] > [エンドポイント証明書(Endpoint Certificates)])。[発行された証明書(Issued Certificates)] ページでは、証明書ステータスを一目で確認できます。証明書が失効している場合は、[ステータス(Status)] カラムの上にマウスカーソルを移動すると、失効の理由 を確認できます。[証明書テンプレート(Certificate Template)] カラムの上にマウスカーソルを移動すると、キータイプ、キーサイズ、曲線タイプ、サブジェクト、サブジェクト代替名(SAN)、証明書の有効性などの詳細情報 を表示できます。エンドポイント証明書クリックして、 証明書を表示できます。

ISE CA によって発行されたすべての証明書(BYOD フローを介して 自動的にプロビジョニングされた証明書と 証明書プロビジョニングポータルから取得された証明書)は、[エンドポイント証明書(Endpoint Certificates)] ページにリストされます。このページからこれらの証明書を管理できます。

たとえば user7 に発行された証明書を確認する場合は、 [わかりやすい名前(Friendly Name)] フィールドの下に表示されるテキストボックスに 「user7」 と入力します。このユーザに Cisco ISE によって発行されたすべての証明書が表示されます。 フィルタをキャンセルするには、テキストボックスから検索語を削除します。また、[拡張フィルタ(Advanced Filter)] オプションを使用して、 さまざまな検索基準に基づいてレコードを表示することもできます。

この [エンドポイント証明書(Endpoint Certificates)] ページには、必要に応じてエンドポイント 証明書を取り消すためのオプションもあります。

[証明書管理概要(Certificate Management Overview)] ページには、展開内の各 PSN ノードによって発行されたエンドポイント証明書 の合計数が表示されます。また、 失効した証明書の合計数と 失敗した証明書の合計数をノードごとに確認することもできます。このページのデータは任意の属性に基づいてフィルタリングできます。

発行された証明書と失効した証明書

次の表で、[発行および失効した証明書の概要(Overview of Issued and Revoked Certificates)] ページのフィールドについて説明します。展開内の PSN ノードがエンドポイントに証明書を発行します。このページでは、展開内の各 PSN ノードが発行するエンドポイント証明書に関する情報を示します。 このページへのナビゲーションパスは、[管理(Administration)] > [システム(System)] > [証明書(Certificates)] > [概要(Overview)] です。

表 13.発行された証明書と失効した証明書
フィールド 使用上のガイドライン

ノード名

証明書を発行したポリシー サービス ノード(PSN)の名前。

[発行された証明書(Certificates Issued)]

PSN ノードが発行したエンドポイント証明書の数。

[取り消された証明書(Certificates Revoked)]

失効したエンドポイント証明書(PSN ノードが発行した証明書)の数。

[証明書要求(Certificates Requests)]

PSN ノードが処理した証明書ベースの認証要求の数。

[失敗した証明書(Certificates Failed)]

PSN ノードが処理する失敗した認証要求の数。

Cisco ISE CA 証明書およびキーのバックアップと復元

PAN に障害が発生し 、セカンダリ管理ノードを外部 PKI のルート CA または中間 CA として機能させるために昇格する場合に備え、Cisco ISE CA 証明書およびキーをセキュアにバックアップして、セカンダリ管理ノードにこれらを復元できるようにする必要があります。 Cisco ISE 設定のバックアップには、CA 証明書とキーは含まれていません。CA 証明書およびキーをリポジトリにエクスポートおよびインポートするには、代わりにコマンドライン インターフェイス(CLI) を使用する必要があります。application configure ise コマンドには、CA 証明書およびキーのバックアップと復元のための、エクスポートおよびインポート オプションが含まれています。

信頼できる証明書ストアからの次の 証明書が、セカンダリ 管理ノードで復元されます。

  • Cisco ISE ルート CA 証明書

  • Cisco ISE サブ CA 証明書

  • Cisco ISE エンドポイント RA 証明書

  • Cisco ISE OCSP 応答側証明書

次の場合、Cisco ISE CA 証明書およびキーのバックアップおよび 復元が必要となります。

  • 展開内にセカンダリ 管理ノードが存在する

  • Cisco ISE CA ルートチェーン全体を置き換える

  • 外部 PKI の下位 CA として機能するように Cisco ISE ルート CA を設定する

  • リリース 1.2 からそれ以降のリリースにアップグレードする

  • 設定のバックアップからデータを復元する。この場合、最初に Cisco ISE CA ルートチェーンを再生成し、次に ISE CA 証明書およびキーのバックアップと復元を行う必要があります。



展開で Cisco ISE の内部 CA を置き換えるたびに、 完全な証明書チェーンを取得するように ISE メッセージングサービスも更新する必要があります。


Cisco ISE CA 証明書およびキーのエクスポート

CA 証明書およびキーを PAN からエクスポートし、セカンダリ 管理ノードでインポートする必要があります。このオプションでは、PAN がダウンした場合にセカンダリ管理ノードで エンドポイントの証明書を発行および管理し、 セカンダリ管理ノードを PAN に昇格させることができます。

はじめる前に

CA 証明書およびキーを格納するためのリポジトリを作成したことを確認します。

手順

ステップ 1

Cisco ISE CLI から application configure ise コマンドを入力します。

ステップ 2

7 を入力して、 証明書およびキーをエクスポートします。

ステップ 3

リポジトリの名前を入力します。

ステップ 4

暗号キーを入力します。

エクスポートされた証明書のリスト、 件名、発行者、およびシリアル番号とともに成功 メッセージが表示されます。

例:
 The following 4 CA key pairs were exported to repository 'sftp' at 'ise_ca_key_pairs_of_ise-vm1':
 Subject:CN=Cisco ISE Self-Signed CA of ise-vm1
 Issuer:CN=Cisco ISE Self-Signed CA of ise-vm1
 Serial#:0x621867df-568341cd-944cc77f-c9820765

 Subject:CN=Cisco ISE Endpoint CA of ise-vm1
 Issuer:CN=Cisco ISE Self-Signed CA of ise-vm1
 Serial#:0x7027269d-d80a406d-831d5c26-f5e105fa

 Subject:CN=Cisco ISE Endpoint RA of ise-vm1
 Issuer:CN=Cisco ISE Endpoint CA of ise-vm1
 Serial#:0x1a65ec14-4f284da7-9532f0a0-8ae0e5c2

 Subject:CN=Cisco ISE OCSP Responder Certificate of ise-vm1
 Issuer:CN=Cisco ISE Self-Signed CA of ise-vm1
 Serial#:0x6f6d4097-21f74c4d-8832ba95-4c320fb1
ISE CA keys export completed successfully

Cisco ISE CA 証明書およびキーのインポート

セカンダリ管理ノードを登録したら、PAN から CA 証明書およびキー をエクスポートし、セカンダリ管理ノードにインポートします。

手順

ステップ 1

Cisco ISE CLI から application configure ise コマンドを入力します。

ステップ 2

8 を入力して、 証明書およびキーをインポートします。

ステップ 3

リポジトリの名前を入力します。

ステップ 4

インポートするファイルの名前を入力します。ファイル名は ise_ca_key_pairs_of_<vm hostname> 形式である必要があります。

ステップ 5

ファイルを復号化するための 暗号キーを入力します。

処理が正常に完了したことを知らせる メッセージが表示されます。

例:
The following 4 CA key pairs were imported:
 Subject:CN=Cisco ISE Self-Signed CA of ise-vm1
 Issuer:CN=Cisco ISE Self-Signed CA of ise-vm1
 Serial#:0x21ce1000-8008472c-a6bc4fd9-272c8da4

 Subject:CN=Cisco ISE Endpoint CA of ise-vm1
 Issuer:CN=Cisco ISE Self-Signed CA of ise-vm1
 Serial#:0x05fa86d0-092542b4-8ff68ed4-f1964a56

 Subject:CN=Cisco ISE Endpoint RA of ise-vm1
 Issuer:CN=Cisco ISE Endpoint CA of ise-vm1
 Serial#:0x77932e02-e8c84b3d-b27e2f1c-e9f246ca

 Subject:CN=Cisco ISE OCSP Responder Certificate of ise-vm1
 Issuer:CN=Cisco ISE Self-Signed CA of ise-vm1
 Serial#:0x5082017f-330e412f-8d63305d-e13fd2a5

Stopping ISE Certificate Authority Service...
Starting ISE Certificate Authority Service...
ISE CA keys import completed successfully


プライマリ PAN および PSN でのルート CA および下位 CA の生成

展開をセットアップする場合、Cisco ISE は、ポリシーサービスノード(PSN)のプライマリ PAN と下位 CA 証明書で、Cisco ISE CA サービスに対するルート CA を生成します。ただし、プライマリ PAN または PSN のドメイン名またはホスト名を変更する場合は、プライマリ PAN でルート CA、PSN で下位 CA をそれぞれ再生成する必要があります。

PSN のホスト名を変更する場合は、プライマリ PAN および PSN でそれぞれルート CA と下位 CA を再生成する代わりに、ホスト名を変更する前に PSN を登録解除し、再登録できます。新しい下位証明書は PSN 上で自動的にプロビジョニングされます。

手順


ステップ 1

[管理(Administration)] > [システム(System)] > [証明書(Certificates)] > [証明書署名要求(Certificate Signing Requests)] を選択します。

ステップ 2

[証明書署名要求(CSR)の生成(Generate Certificate Signing Requests (CSR))] をクリックします。

ステップ 3

[証明書の使用先(Certificate(s) will be used for)] ドロップダウンリストから ISE ルート CA を選択します。

ステップ 4

[ISEルートCA証明書チェーンの置き換え(Replace ISE Root CA Certificate chain)] をクリックします。

ルート CA と 下位 CA 証明書が、展開内のすべてのノードに対して生成されます。


次の作業

展開にセカンダリ PAN がある場合は、プライマリ PAN から Cisco ISE CA 証明書およびキーのバックアップを取得し、セカンダリ PAN で復元します。これにより、プライマリ PAN の障害が発生した場合に、 セカンダリ PAN がルート CA として機能するようになり、セカンダリ PAN をプライマリ PAN に昇格させることができます。

外部 PKI の下位 CA としての Cisco ISE ルート CA の設定

外部 PKI の下位 CA として機能するプライマリ PAN のルート CA が必要な場合は、ISE 中間 CA 証明書署名要求を生成して、外部 CA に送信し、ルートおよび CA 署名付き証明書を入手して、 ルート CA 証明書を信頼できる証明書ストアにインポートし、CA 署名付き証明書を CSR にバインドします。この場合、 外部 CA はルート CA、プライマリ PAN は外部 CA の下位 CA、PSN はプライマリ PAN の下位 CA です。

手順


ステップ 1

[管理(Administration)] > [システム(System)] > [証明書(Certificates)] > [証明書署名要求(Certificate Signing Requests)] を選択します。

ステップ 2

[証明書署名要求(CSR)の生成(Generate Certificate Signing Requests (CSR))] をクリックします。

ステップ 3

[証明書の使用目的(Certificate(s) will be used for)] ドロップダウンリストから [ISE中間CA(ISE Intermediate CA)] を選択します。

ステップ 4

[生成(Generate)] をクリックします。

ステップ 5

CSR をエクスポートし、 外部 CA に送信して、CA 署名付き証明書を取得します。

ステップ 6

信頼できる証明書ストアに外部 CA のルート CA 証明書をインポートします。

ステップ 7

CSR に CA 署名付き証明書をバインドします。


次の作業

展開にセカンダリ PAN がある場合は、プライマリ PAN から Cisco ISE CA 証明書およびキーのバックアップを取得し、セカンダリ PAN で復元します。これにより、プライマリ PAN の障害が発生した場合に、セカンダリ PAN が外部 PKI の下位 CA として機能するようになり、セカンダリ PAN をプライマリ PAN に昇格させることができます。

証明書を使用してパーソナルデバイスを許可するための Cisco ISE の設定

ネットワークに接続するエンドポイント(パーソナルデバイス) の証明書を発行し、管理するように Cisco ISE を設定できます。内部 Cisco ISE 認証 局(CA)サービスを使用して、 エンドポイントから証明書署名要求(CSR)に署名したり、外部 CA に CSR を転送したりすることができます。

はじめる前に

  • プライマリ PAN から Cisco ISE CA 証明書およびキーのバックアップを取得し、ディザスタ リカバリのため、安全な場所に保管してください。

  • 展開にセカンダリ PAN がある場合は、プライマリ PAN から Cisco ISE CA 証明書およびキーをバックアップし、 セカンダリ PAN で復元します。

手順


ステップ 1

Employee ユーザ グループへのユーザの追加

内部 ID ストアまたは Active Directory などの外部 ID ストアにユーザを追加できます。
ステップ 2

TLS ベース認証の証明書認証プロファイルの作成

ステップ 3

TLS ベース認証の ID ソース順序の作成

ステップ 4

クライアント プロビジョニング ポリシーを作成します。

  1. 認証局の設定

  2. CA テンプレートの作成

  3. クライアント プロビジョニング ポリシーで使用されるネイティブ サプリカント プロファイルの作成

  4. Cisco サイトからの Windows および Mac OS X オペレーティング システムのエージェント リソースのダウンロード

  5. Apple iOS、Android および MACOSX デバイスのクライアント プロビジョニング ポリシー ルールの作成

ステップ 5

TLS ベース認証の Dot1X 認証ポリシー ルールの設定

ステップ 6

TLS ベース認証用の認証ポリシールールを設定します。

  1. 中央 Web 認証とサプリカント プロビジョニング フローの許可プロファイルの作成

  2. 許可ポリシー ルールの作成

パーソナルデバイスからワイヤレス SSID に接続するときに ECC RSA ベースの証明書を使用すると、 2 回目のパスワード入力を行うよう求められます。


Employee ユーザグループへのユーザの追加

次の 手順では、Cisco ISE ID ストアの Employee ユーザグループにユーザを追加する方法について説明します。外部 ID ストアを使用した場合でも、 ユーザを追加できる Employee ユーザグループがあることを確認します。

手順

ステップ 1

[管理(Administration)] > [IDの管理(Identity Management)] > [ID(Identities)] > [ユーザ(Users)] を選択します。

ステップ 2

[追加(Add)] をクリックします。

ステップ 3

ユーザの 詳細情報を入力します。

ステップ 4

[パスワード(Passwords)] セクションで、[ログインパスワード(Login Password)] と [TACACS+イネーブルパスワード(TACACS+ Enable Password)] を選択し、 ネットワークデバイスにアクセスレベルを設定します。

ステップ 5

[ユーザグループ(User Group)] ドロップダウンリストから [従業員(Employee)] を選択します。

Employee ユーザグループに属するすべてのユーザが同じ権限セットを共有します。
ステップ 6

[送信(Submit)] をクリックします。


次の作業
TLS ベース認証の証明書認証プロファイルの作成

TLS ベース認証の証明書 認証プロファイルの作成

ネットワークに接続するエンドポイントの認証に証明書 を使用するには、Cisco ISE で 証明書認証プロファイルを定義するか、またはデフォルトの Preloaded_Certificate_Profile を編集する必要があります。証明書認証プロファイルには、プリンシパルユーザ名として使用する必要がある 証明書フィールドが含まれています。 たとえば、ユーザ名が [一般名(Common Name)] フィールドにある場合は、 証明書認証プロファイルを [プリンシパルユーザ名(Principal Username)] が [サブジェクト-一般名(Subject - Common Name)] であるものとして定義できます。これは ID ストアを参照して確認できます。

手順

ステップ 1

[管理(Administration)] > [IDの管理(Identity Management)] > [外部IDソース(External Identity Sources)] > [証明書認証プロファイル(Certificate Authentication Profile)] を選択します。

ステップ 2

証明書認証プロファイルの名前を入力します。たとえば、CAP となります。

ステップ 3

[サブジェクト-一般名(Subject - Common Name)] に [プリンシパルユーザ名X509属性(Principal Username X509 Attribute)] を選択します。

ステップ 4

[保存(Save)] をクリックします。


次の作業
TLS ベース認証の ID ソース順序の作成

TLS ベース認証の ID ソース順序の作成

証明書認証プロファイルを作成したら、Cisco ISE が証明書の属性を取得し、 その属性を ID ソース順序で定義した ID ソースと照合できるように、証明書認証プロファイルを ID ソース 順序に追加します。

はじめる前に

次のタスクが完了していることを確認します。

  • Employee ユーザグループへのユーザの追加。

  • 証明書ベース認証の 証明書認証プロファイルの作成。

手順

ステップ 1

[管理(Administration)] > [ID管理(Identity Management)] > [IDソース順序(Identity Source Sequences)] を選択します。

ステップ 2

[追加(Add)] をクリックします。

ステップ 3

ID ソース順序の名前を入力します。たとえば、Dot1X となります。

ステップ 4

[証明書認証プロファイルの選択(Select Certificate Authentication Profile)] チェックボックスをオンにし、作成した証明書認証 プロファイル、つまり CAP を選択します。

ステップ 5

ユーザ情報を含む ID ソースを [認証検索リスト(Authentication Search List)] 領域の [選択済み(Selected)] リストボックスに移動します。

追加の ID ソースを追加すると、Cisco ISE は、これらのデータストア を順に一致が見つかるまで検索します。
ステップ 6

[ユーザが見つからなかったとして処理し、順序内の次のストアに進む(Treat as if the user was not found and proceed to the next store in the sequence)] オプションボタンをクリックします。

ステップ 7

[送信(Submit)] をクリックします。


次の作業
認証局の設定

認証局の設定

CSR への署名に外部 CA を使用する場合、 外部 CA を設定する必要があります。外部 CA 設定は Cisco ISE の以前の リリースでは、SCEP RA プロファイルと呼ばれていました。Cisco ISE CA を使用する場合、 CA 設定を明示的に設定する必要はありません。[管理(Administration)] > [システム(System)] > [証明書(Certificates)] > [内部CA設定(Internal CA Settings)] で、内部 CA 設定を確認できます。

ユーザのデバイスが 検証済みの証明書を受信すると、証明書はデバイス上の 次の表の場所に置かれます。

表 14.デバイス証明書 の場所

Device

証明書ストレージの場所

アクセス方式

iPhone/iPad

標準の証明書ストア

[設定(Settings)] > [一般(General)] > [プロファイル(Profile)]

Android

暗号化された証明書ストア

エンド ユーザに不可視です。

 

証明書は、 [設定(Settings)] > [ロケーションおよびセキュリティ(Location & Security)] > [ストレージのクリア(Clear Storage)] を使用して削除できます。

Windows

標準の証明書ストア

/cmd プロンプトから mmc.exe を起動するか、または証明書スナップインで表示します。

Mac

標準の証明書ストア

[アプリケーション(Application)] > [ユーティリティ(Utilities)] > [キーチェーンアクセス(Keychain Access)]

はじめる前に

証明書署名 要求(CSR)への署名に 外部認証局(CA)を使用する場合は、外部 CA の URL が必要となります。

手順

ステップ 1

[管理(Administration)] > [システム(System)] > [証明書(Certificates)] > [外部CA設定(External CA Settings)] を選択します。

ステップ 2

[追加(Add)] をクリックします。

ステップ 3

外部 CA 設定の名前を入力します。たとえば、EXTERNAL_SCEP などです。

ステップ 4

[URL] テキストボックスに、 外部 CA サーバの URL を入力します。

外部 CA が到達可能かどうかを確認するには、[テスト接続(Test Connection)] をクリックします。追加 CA サーバの URL を入力するには、[+] ボタンをクリックします。
ステップ 5

[送信(Submit)] をクリックします。


次の作業
CA テンプレートの作成

CA テンプレートの作成

証明書 テンプレートは、(内部または 外部 CA のために)使用する必要がある SCEP RA プロファイル、 キータイプ、キーサイズ、曲線タイプ、 サブジェクト、サブジェクト代替名(SAN)、証明書の有効期間、 拡張キーの使用状況を定義します。この例では、 内部 Cisco ISE CA を使用すると想定します。外部 CA テンプレートの場合、有効期間は 外部 CA によって決定され、指定することはできません。

新しい CA テンプレートを作成するか、デフォルトの証明書テンプレート EAP_Authentication_Certificate_Template を編集できます。

デフォルトでは、次の CA テンプレートが Cisco ISE で使用できます。

  • CA_SERVICE_Certificate_Template: ISE CA を使用する他のネットワークサービス用。たとえば、ASA VPN ユーザに対し証明書を発行するには、 ISE の設定時にこの証明書テンプレートを使用します。

  • EAP_Authentication_Certificate_Template:EAP 認証用。

  • pxGrid_Certificate_Template:証明書プロビジョニング ポータルから証明書を生成する際の pxGrid コントローラ用。



ECC キータイプを使用する証明書 テンプレートは、内部 Cisco ISE CA とのみ使用することができます。


はじめる前に

CA が設定されていることを確認します。

手順

ステップ 1

[管理(Administration)] > [システム(System)] > [CAサービス(CA Service)] > [内部CA証明書テンプレート(Internal CA Certificate Template)] を選択します。

ステップ 2

内部 CA テンプレートの名前を入力します。たとえば、Internal_CA_Template とします。

ステップ 3

(任意) [組織単位(Organizational Unit)]、[組織(Organization)]、[市(City)]、[州/都道府県(State)]、 [国(Country)] フィールドに値を入力します。

証明書テンプレートフィールド([組織ユニット(Organizational Unit)] 、[組織(Organization)]、[都市(City)]、[州(State)]、および [国(Country)])の UTF-8 文字は サポートしていません。 UTF-8 文字を証明書テンプレートで使用すると、証明書プロビジョニングが失敗します。

証明書を生成する内部ユーザのユーザ名 が、 証明書の一般名として使用されます。Cisco ISE 内部 CA は、「+」または「*」の文字 を [一般名(Common Name)] フィールドでサポートしていません。ユーザ名に「+」または「*」の 特殊文字が含まれていないことを確認してください。

ステップ 4

サブジェクト代替名(SAN)および証明書の有効期間を指定します。

ステップ 5

キー タイプを指定します。RSA または ECC を選択します。

次の 表に、ECC をサポートしているオペレーティングシステムおよびバージョンと、サポートされている 曲線タイプを示します。デバイスがサポートされている オペレーティングシステムを実行していない場合、またはサポートされているバージョンでない場合には、代わりに RSA ベースの証明書 を使用することもできます。

オペレーティング システム サポートされるバージョン サポートされる曲線 タイプ
Windows 8 以降 P-256、P-384、および P-521
Android 4.4 以降
 

Android 6.0 は、ECC 証明書をサポートするために 2016 年 5 月のパッチが必要です。

すべての曲線タイプ( P-192 曲線タイプをサポートしていない Android 6.0 を除く)。

Windows 7 と Apple iOS は、EAP-TLS 認証用の ECC をネイティブでサポートしていません。Cisco ISE のこのリリース では、Mac OS X デバイスでの ECC 証明書の使用はサポートされていません。

ネットワークのデバイス がサポートされていないオペレーティングシステム(Windows 7、MAC OS X、Apple iOS)を実行する場合は、キータイプとして RSA を選択することを推奨します。

ステップ 6

( RSA キータイプを選択する場合に適用)キーサイズを指定します。1024 以上のキーサイズを選択する必要があります。

ステップ 7

( ECC キータイプを選択する場合にのみ適用)曲線タイプを指定します。デフォルトは P-384 です。

ステップ 8

ISE 内部 CA を SCEP RA プロファイルとして選択します。

ステップ 9

有効期間を日数単位で入力します。デフォルトは 730 日です。有効な 範囲は 1 ~ 730 です。

ステップ 10

拡張キーの使用状況を指定します。証明書を クライアント認証に使用する場合は、[クライアント認証(Client Authentication)] チェックボックスにマークを付けます。証明書を サーバ認証に使用する場合は、[サーバ認証(Server Authentication)] チェックボックスにマークを付けます。

ステップ 11

[送信(Submit)] をクリックします。


内部 CA 証明書テンプレートが作成され、クライアント プロビジョニング ポリシーによって使用されます。

次の作業

クライアント プロビジョニング ポリシーで使用されるネイティブ サプリカント プロファイルの作成

内部 CA の設定

次の表では、内部 CA の設定ページのフィールドについて説明します。内部 CA の設定を表示し、このページから内部 CA サービスを無効にできます。 このページへのナビゲーションパスは、[管理(Administration)] > [システム(System)] > [証明書(Certificates)] > [内部 CA の設定(Internal CA Settings)] です。

表 15.内部 CA の設定
フィールド名 使用上のガイドライン

認証局の無効化(Disable Certificate Authority)

内部 CA サービスを無効にするには、このボタンをクリックします。

ホスト名(Host Name)

CA サービスを実行している Cisco ISE ノードのホスト名。

ペルソナ(Personas)

CA サービスを実行しているノードで有効な Cisco ISE ノードのペルソナ。 たとえば、管理、ポリシーサービスなどです。

ロール(Role(s))

CA サービスを実行する Cisco ISE ノードが担当するロール。 たとえば、 スタンドアロンまたはプライマリまたはセカンダリです。

CA、EST、および OCSP 応答側のステータス(CA, EST & OCSP Responder Status)

[有効(Enabled)]または [無効(Disabled)] です。

OCSP 応答側 URL(OCSP Responder URL)

OCSP サーバにアクセスするための Cisco ISE ノードの URL。

SCEP URL

SCEP サーバにアクセスするための Cisco ISE ノードの URL。

クライアント プロビジョニング ポリシーで使用されるネイティブ サプリカント プロファイルの作成

ネイティブ サプリカント プロファイルを作成して、ユーザがパーソナルデバイスを 企業ネットワークに含めることができます。Cisco ISE では、異なる オペレーティングシステムごとに異なるポリシールールを使用します。各クライアント プロビジョニング ポリシー ルールには、 どのオペレーティングシステムにどのプロビジョニングウィザードを使用するかを指定するネイティブ サプリカント プロファイルが含まれています。

はじめる前に
  • Cisco ISE で CA 証明書テンプレートを設定します。

  • TCP ポート 8905 および UDP ポート 8905 を開き、クライアントエージェントとサプリカントのプロビジョニングウィザードのインストールを有効にします。 ポートの使用法の詳細については、『Cisco Identity Services Engine Hardware Installation Guide』の付録「Cisco ISE Appliance Ports Reference」を参照してください。

手順

ステップ 1

[ポリシー(Policy)] > [ポリシー要素(Policy Elements)] > [結果(Results)] > [クライアントプロビジョニング(Client Provisioning)] > [リソース(Resources)] を選択します。

ステップ 2

[追加(Add)] > [ネイティブサプリカントプロファイル(Native Supplicant Profile)] を選択します。

ステップ 3

ネイティブ サプリカント プロファイルの名前を入力します。たとえば、EAP_TLS_INTERNAL となります。

ステップ 4

[オペレーティングシステム(Operating System)] ドロップダウンリストから [すべて(ALL)] を選択します。

 

MAC OS バージョン 10.10 のユーザは、 デュアル SSID PEAP フローに対してプロビジョニングされた SSID に手動で接続する必要があります。

ステップ 5

[有線(Wired)] または [無線(Wireless)] チェックボックスをオンにします。

ステップ 6

[許可されるプロトコル(Allowed Protocol)] ドロップダウンリストから [TLS] を選択します。

ステップ 7

以前に作成した CA 証明書テンプレートを選択します。

ステップ 8

[送信(Submit)] をクリックします。


次の作業
Cisco サイトからの Windows および Mac OS X オペレーティング システムのエージェント リソースのダウンロード

Cisco サイトからの Windows および Mac OS X オペレーティングシステムのエージェント リソースのダウンロード

Windows および Mac OS X オペレーティングシステムでは、Cisco サイトからリモートリソースをダウンロードする必要があります。

はじめる前に

ネットワーク のプロキシ設定が正しく設定されていることを確認し、 適切なリモートロケーションにアクセスして、クライアント プロビジョニング リソースを Cisco ISE にダウンロードできることを確認します。

手順

ステップ 1

[ポリシー(Policy)] > [ポリシー要素(Policy Elements)] > [結果(Results)] > [クライアントプロビジョニング(Client Provisioning)] > [リソース(Resources)] を選択します。

ステップ 2

[追加(Add)] > [Ciscoサイトのエージェントリソース(Agent resources from Cisco site)] を選択します。

ステップ 3

[Windows] および [MAC OS X] パッケージの隣にあるチェック ボックスをオンにします。必ず最新バージョンを含めます。

ステップ 4

[保存(Save)] をクリックします。


次の作業
Apple iOS、Android および MACOSX デバイスのクライアント プロビジョニング ポリシー ルールの作成

Apple iOS、Android および MACOSX デバイスのクライアント プロビジョニング ポリシー ルールの作成

クライアント プロビジョニング リソース ポリシーは、どのユーザがリソース(エージェント、エージェント コンプライアンス モジュール、エージェント カスタマイズ パッケージ/プロファイル)のどのバージョン(または複数のバージョン)をログイン時およびユーザセッション開始時に Cisco ISE から受信するかを決定します。

エージェント コンプライアンス モジュールをダウンロードすると、 システム内に既存のモジュールがある場合は上書きされます。

従業員が iOS、Android、および MACOSX デバイスを持ち込むことができるようにするには、[クライアントプロビジョニングポリシー(Client Provisioning Policy)] ページでこれらの各デバイスのポリシールールを作成する必要があります。

はじめる前に

必要なネイティブ サプリカント プロファイルを設定し、[クライアントプロビジョニングポリシー(Client Provisioning Policy)] ページから必要な エージェントをダウンロードしておく必要があります。

手順

ステップ 1

[ポリシー(Policy)] > [クライアントプロビジョニング(Client Provisioning)] を選択します。

ステップ 2

Apple iOS、Android および MACOSX デバイスのクライアント プロビジョニング ポリシー ルールを作成します。

ステップ 3

[保存(Save)] をクリックします。


次の作業
TLS ベース認証の Dot1X 認証ポリシー ルールの設定

TLS ベース認証の Dot1X 認証ポリシー ルールの設定

このタスクは、TLS ベース認証の Dot1X 認証ポリシー ルールを更新する方法を示します。

はじめる前に

TLS ベース認証用に作成された証明書認証プロファイルが存在することを確認します。

手順

ステップ 1

[ポリシー(Policy)] > [ポリシーセット(Policy Sets)] を選択します。

ステップ 2

[表示(View)] カラムから矢印アイコンをクリックすると、[設定(Set)] ビュー画面が開き、認証ポリシーを表示、管理、および更新できます。

デフォルトのルールベースの認証ポリシーには、Dot1X 認証用のルールが含まれます。

ステップ 3

Dot1X 認証ポリシールールの条件を編集するには、[条件(Conditions)] カラムのセルにカーソルを合わせ、 をクリックします。[条件スタジオ(Conditions Studio)] が開きます。

ステップ 4

Dot1X ポリシールールの [アクション(Actions)] カラムで、歯車アイコンをクリックし、必要に応じてドロップダウンメニューから、 挿入または複製オプションのいずれかを選択して新しいポリシー セットを挿入します。

[ポリシー セット(Policy Sets)] テーブルに新しい行が表示されます。
ステップ 5

ルールの名前を入力します。たとえば、eap-tls と入力します。

ステップ 6

[条件(Conditions)] カラムから、(+)記号をクリックします。

ステップ 7

[条件スタジオ(Conditions Studio)] ページで必要な条件を作成します。[エディタ(Editor)] セクションで、[クリックして属性を追加する(Click To Add an Attribute)] テキストボックスをクリックし、必要なディクショナリと属性(たとえば、Network Access:UserName Equals User1)を選択します。

ライブラリ条件を [クリックして属性を追加する(Click To Add An Attribute)] テキストボックスにドラッグアンドドロップできます。

ステップ 8

[使用(Use)] をクリックします。

ステップ 9

デフォルト ルールは、そのままにします。

ステップ 10

[保存(Save)] をクリックします。


次の作業

中央 Web 認証とサプリカント プロビジョニング フローの許可プロファイルの作成

中央 Web 認証とサプリカント プロビジョニング フローの認証 プロファイルの作成

認証プロファイルを定義して、 証明書ベースの認証の成功後にユーザに付与するアクセスを決定します。

はじめる前に

ワイヤレス LAN コントローラ(WLC)に 必要なアクセスコントロールリスト(ACL)が設定されていることを確認します。 WLC での ACL の作成方法については、『 TrustSec How-To Guide: Using Certificates for Differentiated Access』を参照してください。

この例では、 WLC で次の ACL が作成されていると仮定します。

  • NSP-ACL: ネイティブ サプリカント プロビジョニング用

  • BLACKHOLE: ブラックリストに登録されているデバイスへのアクセスの制限

  • NSP-ACL-Google: Android デバイスのプロビジョニング

手順

ステップ 1

[ポリシー(Policy)] > [ポリシー要素(Policy Elements)] > [結果(Results)] > [許可(Authorization)] > [認証プロファイル(Authorization Profiles)] を選択します。

ステップ 2

新しい許可プロファイルを作成するには、[追加(Add)] をクリックします。

ステップ 3

許可プロファイルの名前を入力します。

ステップ 4

[アクセスタイプ(Access Type)] ドロップダウンリストから、[ACCESS_ACCEPT] を選択します。

ステップ 5

中央 Web 認証、Google Play の中央 Web 認証、ネイティブ サプリカント プロビジョニング、および Google のネイティブ サプリカント プロビジョニングの認証プロファイルを追加するには、[追加(Add)] をクリックします。

ステップ 6

[保存(Save)] をクリックします。


次の作業

許可ポリシー ルールの作成

認証ポリシールール の作成

Cisco ISE は、 認証ポリシールールを評価し、ポリシールールで指定された認証プロファイルに基づいてネットワーク リソースへのアクセス権をユーザに付与します。

はじめる前に

必要な認証プロファイルを作成済みであることを確認します。

手順

ステップ 1

[ポリシー(Policy)] > [ポリシーセット(Policy Sets)] を選択し、認証ポリシールールを表示するポリシーセットを展開します。

ステップ 2

デフォルトのルールの上に追加のポリシー ルールを挿入します。

ステップ 3

[保存(Save)] をクリックします。


CA サービスポリシー のリファレンス

このセクション では、Cisco ISE CA サービスを有効にする前に作成する必要がある認証ポリシールールおよびクライアント プロビジョニング ポリシー ルールの詳細情報について説明します。

証明書サービスのクライアント プロビジョニング ポリシー ルール

このセクションでは 、Cisco ISE 証明書サービスを使用している場合に作成する必要があるクライアント プロビジョニング ポリシー ルールについて説明します。次の表に詳細を示します。

ルール名 ID グループ オペレーティング システム その他の条件 結果
iOS 任意(Any) Apple iOS すべて 条件 EAP_TLS_INTERNAL(以前に作成したネイティブ サプリカント プロファイル)。外部 CA を使用している場合は、 外部 CA 用に作成したネイティブ サプリカント プロファイルを選択します。
Android 任意(Any) Android 条件 EAP_TLS_INTERNAL(以前に作成したネイティブ サプリカント プロファイル)。外部 CA を使用している場合は、 外部 CA 用に作成したネイティブ サプリカント プロファイルを選択します。
MACOSX 任意(Any) MACOSX 条件 [ネイティブサプリカントの設定(Native Supplicant Configuration)] で、次を指定してください。
  1. [設定ウィザード(Config Wizard)]:シスコのサイトからダウンロードした MACOSX サプリカントのウィザードを選択します。
  2. [ウィザードのプロファイル(Wizard Profile)]:以前作成した EAP_TLS_INTERNAL ネイティブサプリカントのプロファイルを選択します。 外部 CA を使用している場合は、 外部 CA 用に作成したネイティブ サプリカント プロファイルを選択します。

証明書サービスの認証 プロファイル

このセクションでは、Cisco ISE で証明書ベースの 認証を有効にするために作成する必要がある 認証プロファイルについて説明します。ワイヤレス LAN コントローラ(WLC)の ACL(NSP-ACL および NSP-ACL-Google)がすでに作成されている必要があります。

  • CWA:この プロファイルは、中央 Web 認証フローを使用するデバイス用です。 [Web認証(Web Authentication)] チェックボックスをオンにして、ドロップダウン リストから [中央集中(Centralized)] を選択し、ACL テキストボックスに NSP-ACL を入力します。

  • CWA_GooglePlay: このプロファイルは、中央 Web 認証フローを使用する Android デバイス用です。このプロファイルによって、Android デバイスは Google Play ストアにアクセスし、Cisco Network Setup Assistant をダウンロードできます。[Web認証(Web Authentication)] チェックボックスをオンにして、ドロップダウン リストから [中央集中(Centralized)] を選択し、ACL テキストボックスに NSP-ACL-Google を入力します。

  • NSP:この プロファイルは、サプリカント プロビジョニング フローを使用する非 Android デバイス用です。[Web認証(Web Authentication)] チェックボックスをオンにして、 ドロップダウンリストから [サプリカントプロビジョニング(Supplicant Provisioning)] を選択し、ACL テキストボックスに NSP-ACL を入力します。

  • NSP-Google: このプロファイルは、サプリカント プロビジョニング フローを使用する Android デバイス用です。[Web認証(Web Authentication)] チェックボックスをオンにして、 ドロップダウンリストから [サプリカントプロビジョニング(Supplicant Provisioning)] を選択し、ACL テキストボックスに NSP-ACL-Google を入力します。

デフォルトの Blackhole_Wireless_Access 認証プロファイルを確認します。高度な属性 設定を次のように設定する必要があります。
  • Cisco:cisco-av-pair = url-redirect=https://ip:port/blacklistportal/gateway?portal=PortalID
  • Cisco:cisco-av-pair = url-redirect-acl=BLACKHOLE

証明書サービスの許可ポリシー ルール

ここでは、Cisco ISE CA サービスを有効にするときに作成する必要がある許可ポリシー ルールについて説明します。

  • 企業資産:このルールは 、802.1X および MSCHAPV2 プロトコルを使用して企業のワイヤレス SSID に接続する企業のデバイス用です。
  • Android_SingleSSID:このルールは 、Google Play ストアにアクセスして、プロビジョニングのために Cisco Network Setup Assistant をダウンロードする Android デバイス用です。このルールは、シングル SSID 設定に固有のものです。
  • Android_DualSSID:このルールは 、Google Play ストアにアクセスして、プロビジョニングのために Cisco Network Setup Assistant をダウンロードする Android デバイス用です。このルールは、デュアル SSID 設定に固有のものです。
  • CWA:このルールは、 中央 Web 認証フローを使用するデバイス用です。
  • NSP:このルールは、 EAP-TLS 認証の証明書を使用するネイティブ サプリカント プロビジョニング フローを使用するデバイス 用です。
  • EAP-TLS:このルールは、サプリカント プロビジョニング フローを完了したデバイスおよび 証明書でプロビジョニングされるデバイス 用です。デバイスには、ネットワークへのアクセス権限が付与されます。

次の表に、 Cisco ISE CA サービスの認証ポリシールールを設定するときに選択する必要がある属性および値を示します。この例では、Cisco ISE で対応する認証プロファイルも設定しているものと想定します。

ルール名 条件(Conditions) 権限(適用される許可プロファイル)
企業資産 Corp_Assets AND (Wireless 802.1X AND Network Access:AuthenticationMethod EQUALS MSCHAPV2) PermitAccess
Android_SingleSSID (Wireless 802.1X AND Network Access:AuthenticationMethod EQUALS MSCHAPV2 AND Session:Device-OS EQUALS Android) NSP_Google
Android_DualSSID (Wireless_MAB AND Session:Device-OS EQUALS Android) CWA_GooglePlay
CWA Wireless_MAB CWA