Cisco ISE-PIC の証明書の一致
展開内で Cisco ISE-PIC ノードをセットアップすると、2 つのノードが相互に通信します。システムは各 ISE-PIC ノードの FQDN を調べ、FQDN が一致することを確認します(たとえば ise1.cisco.com と ise2.cisco.com、またはワイルドカード証明書を使用している場合は *.cisco.com)。また、外部マシンから ISE-PIC サーバに証明書が提示される場合、認証のために提示される外部証明書が、ISE-PIC サーバの証明書と照合されます。2 つの証明書が一致すると、認証は成功します。
Cisco ISE-PIC は、サブジェクト名の一致を次のようにして確認します。
-
Cisco ISE-PIC により証明書のサブジェクト代替名(SAN)の拡張が確認されます。SAN に 1 つ以上の DNS 名が含まれている場合は、それらの DNS 名の 1 つが Cisco ISE ノードの FQDN に一致している必要があります。ワイルドカード証明書が使用されている場合、ワイルドカード ドメイン名は Cisco ISE ノードの FQDN ドメインに一致している必要があります。
-
SAN に DNS 名が存在しない場合、または SAN 全体が欠落している場合は、証明書の [サブジェクト(Subject)] フィールドの一般名(CN)または証明書の [サブジェクト(Subject)] フィールドのワイルドカード ドメインが、ノードの FQDN に一致している必要があります。
-
一致しない場合、証明書は拒否されます。