ISE의 CA 서비스 및 EST 서비스

소개

이 문서에서는 Cisco ISE(Identity Services Engine)에 있는 CA(Certificate Authority) 서비스 및 EST(Enrollment over Secure Transport) 서비스에 대해 설명합니다.

사전 요구 사항

요구 사항

다음 주제에 대한 지식을 보유하고 있으면 유용합니다.

• ISE
• 인증서 및 공개 키 인프라(PKI)
• SCEP(Simple Certificate Enrollment Protocol)
• OCSP(Online Certificate Status Protocol)

사용되는 구성 요소

이 문서의 정보는 다음 소프트웨어 및 하드웨어 버전을 기반으로 합니다.

•  Identity Services Engine 3.0

이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다.이 문서에서 사용되는 모든 디바이스는 지워진(기본) 컨피그레이션으로 시작되었습니다.네트워크가 작동 중인 경우 모든 명령의 잠재적인 영향을 이해해야 합니다.

CA(Certificate Authority) 서비스

인증서는 외부 CA(Certificate Authority)에서 자체 서명 또는 디지털 서명을 할 수 있습니다. Cisco ISE CA(Internal Certificate Authority)는 직원이 회사 네트워크에서 개인 장치를 사용할 수 있도록 중앙 집중식 콘솔에서 엔드포인트의 디지털 인증서를 발급하고 관리합니다. CA 서명 디지털 인증서는 업계 표준이며 더 안전합니다.PAN(Primary Policy Administration Node)은 루트 CA입니다.PSN(Policy Service Node)은 기본 PAN의 하위 CA입니다.

ISE CA 기능

ISE CA는 다음 기능을 제공합니다.

• 인증서 발급:네트워크에 연결하는 엔드포인트의 CSR(Certificate Signing Request)을 확인하고 서명합니다.

• 키 관리:PAN 및 PSN 노드 모두에 키 및 인증서를 생성하고 안전하게 저장합니다.

• 인증서 저장소:사용자 및 디바이스에 발급된 인증서를 저장합니다.

• OCSP(Online Certificate Status Protocol) 지원:인증서의 유효성을 검사하는 OCSP 응답자를 제공합니다.

관리 및 정책 서비스 노드에 프로비저닝된 ISE CA 인증서

설치 후 Cisco ISE 노드는 루트 CA 인증서 및 엔드 포인트에 대한 인증서를 관리 할 노드 CA 인증서를 제공 합니다.

구축이 설정되면 PAN(Primary Administration Node)으로 지정된 노드가 루트 CA가 됩니다.PAN에는 루트 CA 인증서와 루트 CA에서 서명한 노드 CA 인증서가 있습니다.

SAN(Secondary Administration Node)이 PAN에 등록되면 노드 CA 인증서가 생성되고 기본 관리 노드의 루트 CA에 의해 서명됩니다.

PAN에 등록된 PSN(Policy Service Node)은 엔드포인트 CA와 PAN의 노드 CA에 의해 서명된 OCSP 인증서를 프로비저닝합니다.PSN(Policy Service Node)은 PAN에 대한 하위 CA입니다.ISE CA를 사용하는 경우 PSN의 엔드포인트 CA는 네트워크에 액세스하는 엔드포인트에 인증서를 발급합니다.

EST(Secure Transport) 서비스에 대한 등록

PKI(Public Key Infrastructure)의 개념은 오랫동안 존재해 왔습니다.PKI는 디지털 인증서의 형태로 서명된 공개 키 쌍을 통해 사용자 및 장치의 ID를 인증합니다.EST(Enrollment over Secure Transport)는 이러한 인증서를 프로비저닝하는 프로토콜입니다.EST 서비스는 보안 전송을 통해 CMC(암호화 메시지 구문)를 통해 인증서 관리를 사용하는 클라이언트에 대해 인증서 등록을 수행하는 방법을 정의합니다.IETF에 따르면 - "EST는 클라이언트 인증서 및 관련 CA(Certification Authority) 인증서를 획득해야 하는 PKI(Public Key Infrastructure) 클라이언트를 대상으로 하는 간단하면서도 기능적인 인증서 관리 프로토콜을 설명합니다.또한 클라이언트 생성 공개/개인 키 쌍은 물론 CA에서 생성한 키 쌍도 지원합니다."

EST 활용 사례

EST 프로토콜을 사용할 수 있습니다.

• 보안 고유 디바이스 ID를 통해 네트워크 디바이스 등록
• BYOD 솔루션용

EST를 선택해야 하는 이유

EST 및 SCEP 프로토콜 모두 인증서 프로비저닝을 처리합니다.EST는 SCEP(Simple Certificate Enrollment Protocol)의 후속 버전입니다. SCEP는 단순성으로 인해 수년간 인증서 프로비저닝에서 실질적인 프로토콜로 자리 잡았습니다.그러나 다음과 같은 이유로 SCEP를 통한 EST를 사용하는 것이 좋습니다.

• 인증서 및 메시지의 보안 전송을 위해 TLS 사용 - EST에서 CSR(Certificate Signing Request)은 이미 신뢰되고 TLS로 인증된 요청자와 연결될 수 있습니다.클라이언트는 자신만 아닌 다른 사용자를 위한 인증서를 받을 수 없습니다.SCEP에서 CSR은 클라이언트와 CA 간의 공유 암호로 인증됩니다.공유 암호에 액세스할 수 있는 사용자가 자신을 제외한 다른 엔터티에 대한 인증서를 생성할 수 있으므로 보안 문제가 발생합니다.
• ECC 서명 인증서 등록 지원 - EST는 암호화 민첩성을 제공합니다.ECC(Elliptic Curve Cryptography)를 지원합니다.SCEP는 ECC를 지원하지 않으며 RSA 암호화에 따라 달라집니다.ECC는 훨씬 작은 키 크기를 사용하지만 RSA와 같은 다른 암호화 알고리즘보다 더 우수한 보안 및 성능을 제공합니다.
• EST는 자동 인증서 재등록을 지원하도록 설계되었습니다.

TLS의 검증된 보안 및 지속적인 개선을 통해 암호화 보호 측면에서 EST 트랜잭션을 안전하게 보호할 수 있습니다.SCEP는 RSA와의 긴밀한 통합을 통해 데이터를 보호함으로써 기술 발전에 따른 보안 문제를 야기하고 있습니다.

ISE의 EST

이 프로토콜을 구현하려면 클라이언트와 서버 모듈이 필요합니다.

• EST 클라이언트 - 일반 ISE tomcat에 내장됨
• EST Server - NGINX라는 오픈 소스 웹 서버에 구축됩니다.이는 별도의 프로세스로 실행되며 포트 8084에서 수신 대기합니다.

인증서 기반 클라이언트 및 서버 인증은 EST에서 지원됩니다.엔드포인트 CA는 EST 클라이언트 및 EST 서버에 대한 인증서를 발급합니다.EST 클라이언트 및 서버 인증서 및 해당 키는 ISE CA의 NSS DB에 저장됩니다.

ISE EST의 요청 유형

EST 서버가 나타날 때마다 CA 서버에서 모든 CA 인증서의 최신 복사본을 가져와 저장합니다.그런 다음 EST 클라이언트는 이 EST 서버에서 전체 체인을 가져오기 위해 CA 인증서 요청을 할 수 있습니다.간단한 등록 요청을 하기 전에 EST 클라이언트는 먼저 CA 인증서 요청을 발행해야 합니다.

CA 인증서 요청(RFC 7030 기반)

1. EST 클라이언트는 현재 CA 인증서의 사본을 요청합니다.
2. 작업 경로 값이 "/cacerts"인 HTTPS GET 메시지
3. 이 작업은 다른 EST 요청 전에 수행됩니다.
4. 최신 CA 인증서 사본을 얻기 위해 5분마다 요청
5. EST 서버는 클라이언트 인증이 필요하지 않습니다.

두 번째 요청은 간단한 등록 요청이며 EST 클라이언트와 EST 서버 간의 인증이 필요합니다.이는 엔드포인트가 ISE에 연결하고 인증서 요청을 할 때마다 발생합니다.

단순 등록 요청(RFC 7030 기준)

1. EST 클라이언트가 EST 서버에서 인증서를 요청합니다.
2. 작업 경로 값이 "/simplenroll"인 HTTPS POST 메시지
3. EST 클라이언트는 ISE로 전송되는 이 통화 내에 PKCS#10 요청을 포함합니다
4. EST 서버는 클라이언트를 인증해야 합니다.

EST 및 CA 서비스 상태

CA 및 EST 서비스는 세션 서비스가 활성화된 정책 서비스 노드에서만 실행할 수 있습니다.노드에서 세션 서비스를 활성화하려면 Administration(관리) > System(시스템) > Deployment(구축)로 이동합니다.세션 서비스를 활성화해야 하는 서버 호스트 이름을 선택하고 Edit를 클릭합니다.Policy Service persona(정책 서비스 페르소나) 아래에서 "Enable Session Services(세션 서비스 활성화)" 확인란을 선택합니다.

GUI에 표시되는 상태

EST 서비스 상태는 ISE의 ISE CA 서비스 상태에 연결됩니다.CA 서비스가 작동 중인 경우 EST 서비스가 작동 중이고 CA 서비스가 다운된 경우 EST 서비스도 작동 중지됩니다.

CLI에 표시되는 상태

대시보드의 경보

EST 및 CA 서비스가 다운된 경우 ISE 대시보드에 경보가 표시됩니다.

CA 및 EST 서비스가 실행되고 있지 않을 경우 미치는 영향

• EST 서버가 다운된 경우 EST 클라이언트 "/cacerts" 호출 오류가 발생할 수 있습니다.EST 인증서의 CA 체인이 불완전한 경우에도 "/cacerts" 호출 실패가 발생할 수 있습니다.
  

• ECC 기반 엔드포인트 인증서 등록 요청이 실패합니다.

• 이전 두 개의 장애 중 하나가 발생하면 BYOD 흐름이 중단됩니다.
• 큐 링크 오류 경보가 생성될 수 있습니다.

문제 해결

EST 프로토콜의 BYOD 흐름이 제대로 작동하지 않을 경우 다음 조건을 확인하십시오.

• 인증서 서비스 끝점 하위 CA 인증서 체인이 완료되었습니다.인증서 체인이 완료되었는지 확인하려면 다음을 수행합니다.

  1. 관리 > 시스템 > 인증서 > 인증 기관 > 인증 기관 인증서를 선택 합니다.

  2. 인증서 옆의 확인란을 선택하고 View를 클릭하여 특정 인증서를 확인합니다.

• CA 및 EST 서비스가 실행 중인지 확인합니다.서비스가 실행되고 있지 않으면 CA 서비스를 활성화하려면 Administration(관리) > System(시스템) > Certificates(인증서) > Certificate Authority(인증 기관) > Internal CA Settings(내부 CA 설정)로 이동합니다.

• 업그레이드가 수행된 경우 업그레이드 후 ISE 루트 CA 인증서 체인을 교체합니다.이를 위해 다음을 수행합니다.

  1. 관리 > 시스템 > 인증서 > 인증서 관리 > 인증서 서명 요청을 선택 합니다.

  2. CSR(Generate Certificate Signing Requests)을 클릭합니다.

  3. Certificates(s) will be used for 드롭다운 목록에서 "ISE Root CA"를 선택합니다.

  4. Replace ISE Root CA Certificate Chain을 클릭합니다.

• 로그 확인을 위해 활성화할 수 있는 유용한 디버그에는 est, provisioning, ca-service, ca-service-cert가 포함됩니다.ise-psc.log, catalina.out, caservice.log 및 error.log 파일을 참조하십시오.