Cisco ISE에서 SSL 디지털 인증서 설치, 갱신 및 문제 해결

소개

이 문서에는 SSL 인증서 설치, 갱신 및 Identity Services Engine에서 관찰된 가장 일반적인 인증서 문제에 대한 솔루션에 필요한 단계가 포함되어 있습니다.  이 문서에서는 트러블슈팅을 시작하고 Cisco 기술 지원부에 전화하기 전에 확인 및 해결해야 할 일반적인 문제에 대한 권장 단계 및 체크리스트를 제공합니다.

이러한 솔루션은 Cisco 기술 지원 팀에서 해결했던 서비스 요청에서 직접 가져옵니다. 네트워크가 작동 중인 경우 문제를 해결하기 위해 수행하는 단계의 잠재적 영향을 이해해야 합니다.

사전 요구 사항

요구 사항

다음 주제에 대한 지식을 보유하고 있으면 유용합니다.

• ID 서비스 엔진 GUI

사용되는 구성 요소

이 문서의 정보는 다음 소프트웨어 버전을 기반으로 합니다.

• Cisco Identity Service Engine 2.7

이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다.이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다.네트워크가 작동 중인 경우 모든 명령의 잠재적인 영향을 이해해야 합니다.

배경 정보

인증서는 개인, 서버, 회사 또는 기타 엔티티를 식별하고 해당 엔티티를 공개 키와 연결하는 전자 문서입니다.자체 서명 인증서는 자체 작성자가 서명합니다.인증서는 외부 CA(Certificate Authority)에서 자체 서명 또는 디지털 서명을 할 수 있습니다.CA 서명 디지털 인증서는 업계 표준이며 더 안전합니다.

인증서는 네트워크에서 보안 액세스를 제공하는 데 사용됩니다.Cisco ISE는 노드 간 통신을 위해 그리고 Syslog 서버, 피드 서버 및 모든 최종 사용자 포털(게스트, 스폰서 및 개인 장치 포털)과 같은 외부 서버와 통신하는 데 인증서를 사용합니다. 인증서는 엔드포인트에 대한 Cisco ISE 노드를 식별하고 해당 엔드포인트와 Cisco ISE 노드 간의 통신을 보호합니다.인증서는 모든 HTTPS 통신 및 EAP(Extensible Authentication Protocol) 통신에 사용됩니다.

구성 

다음 설명서에서는 인증서를 가져오고 교체하는 방법에 대해 설명합니다.

시스템 인증서 가져오기

https://www.cisco.com/c/en/us/td/docs/security/ise/2-7/admin_guide/workflow/html/b_basic_setup_2_7.html#ID547

만료된 인증서 교체

https://www.cisco.com/c/en/us/support/docs/security/identity-services-engine/116977-technote-ise-cert-00.html#anc5

일반적인 문제

시나리오 1: ISE 노드에서 만료 된 포털 인증서를 교체할 수 없습니다.

오류

새 포털 인증서를 CSR에 바인딩하는 동안 인증서 바인딩 프로세스가 실패하고 다음 오류가 표시됩니다.

내부 오류입니다.ISE 관리자에게 자세한 내용은 로그를 확인 하도록 요청

이 오류의 가장 일반적인 원인은 다음과 같습니다.

- 새 인증서의 주체 이름이 기존 인증서와 동일합니다.

- 기존 인증서의 동일한 개인 키를 사용하는 갱신된 인증서 가져오기

솔루션

1. 동일한 노드의 다른 인증서에 일시적으로 포털 사용 할당
2. 만료되는 포털 인증서 삭제
3. 새 포털 인증서를 설치한 다음 포털 사용을 할당합니다.

예를 들어, EAP 인증 사용이 있는 기존 인증서에 포털 사용을 일시적으로 할당하려면 다음 단계를 수행하십시오.

1단계. EAP 인증 사용을 사용하여 인증서를 선택 및 편집하고, Usage(사용)에서 포털 역할을 추가하고 Save(저장)를 선택합니다.

2단계. 만료 중인 포털 인증서를 삭제합니다.

3단계. Usage(사용)에서 역할을 선택하지 않고 새 포털 인증서를 업로드하고 Submit(제출)을 클릭합니다.

4단계. 새 포털 인증서를 선택 및 편집하고 Usage and Save(사용 및 저장)에서 포털 역할을 할당합니다.

시나리오 2:다중 사용 사용이 있는 동일한 ISE 노드에 대해 두 개의 CSR을 생성할 수 없습니다.

오류

Multi-Use 사용이 설정된 동일한 노드에 대한 새 CSR 생성이 실패하고 다음 오류가 표시됩니다.
이름이 같은 다른 인증서가 이미 있습니다.이름은 고유해야 합니다.

솔루션

CSR 식별 이름은 각 ISE 노드에 대해 하드 코딩되므로, 다중 사용 사용이 있는 동일한 노드에 대해 2개의 CSR을 생성할 수 없습니다.사용 사례는 특정 노드에 있으며, 관리 및 EAP 인증 사용에 사용되는 CA 서명 인증서 하나와 SAML 및 포털 사용에 사용되는 다른 CA 서명 인증서 및 두 인증서 모두 만료됩니다.

이 시나리오에서:

1단계. Multi-Use 사용이 가능한 첫 번째 CSR 생성

2단계. 첫 번째 CSR을 사용하여 CA 서명 인증서를 바인딩하고 관리 및 EAP 인증 역할을 할당합니다.

3단계. Multi-Use 사용이 가능한 두 번째 CSR 생성

4단계. CA 서명 인증서를 두 번째 CSR로 바인딩하고 SAML 및 포털 역할을 할당합니다.

시나리오 3:포털 사용을 위해 CA 서명 인증서를 바인딩할 수 없거나 인증서에 포털 태그를 할당하고 오류를 가져올 수 없습니다.

오류

포털 사용을 위해 CA 서명 인증서를 바인딩하면 오류가 발생합니다.

포털 시스템 인증서 체인의 일부이거나 인증서 기반 관리자 인증 역할이 주체 이름과 같지만 일련 번호가 다른 트러스트된 인증서가 하나 이상 있습니다.가져오기/업데이트가 중단되었습니다.성공적인 가져오기/업데이트를 위해서는 트러스트된 중복 인증서에서 카트 기반 관리자 인증 역할을 비활성화하거나, 체인에 중복된 트러스트된 인증서가 포함된 시스템 인증서에서 포털 역할을 변경해야 합니다.

솔루션

1단계. CA 서명 인증서의 인증서 체인(포털 사용) 및 신뢰할 수 있는 인증서 저장소에서 인증서 체인에서 중복 인증서가 있는지 확인합니다.
2단계. 중복 인증서를 제거하거나 중복 인증서에서 인증서 기반 관리자 인증을 위한 신뢰 확인란의 선택을 취소합니다.

예를 들어, CA 서명 포털 인증서에 아래 인증서 체인이 있습니다.

인증서 체인에 있는 3개의 CA 인증서(만료된 인증서일 수 있음)에 대해 중복 인증서가 있는지 확인하고, 신뢰할 수 있는 인증서 저장소에서 중복 인증서를 제거합니다.

시나리오 4:신뢰할 수 있는 인증서 저장소에서 만료된 기본 자체 서명 인증서를 삭제할 수 없습니다.

오류

신뢰할 수 있는 인증서 저장소에서 만료된 기본 자체 서명 인증서를 삭제하면 다음과 같은 오류가 발생합니다.
Disable, Delete 또는 Trust Certificate는 Remote Logging Targets(원격 로깅 대상)의 System Certificates(시스템 인증서) 및/또는 Secure Syslog Target(보안 Syslog 대상)에서 참조되므로 허용되지 않습니다.

솔루션

1. 만료된 기본 자체 서명 인증서가 기존 원격 로깅 대상과 연결되어 있지 않은지 확인합니다.이는 Administration(관리) > System(시스템) > Logging(로깅) > Remote Logging Targets(원격 로깅 대상) > Select and Edit SecureSyslogCollector(s)(SecureSyslogCollector(s) 선택 및 수정)에서 확인할 수 있습니다.
2. 만료된 기본 자체 서명 인증서가 특정 역할(사용)과 연결되지 않았는지 확인합니다.이는 Administration(관리) > System(시스템) > Certificates(인증서) > System Certificates(시스템 인증서)에서 확인할 수 있습니다.

문제가 계속되면 TAC에 문의하십시오.

시나리오 5:ISE 노드의 CSR에 CA 서명 pxGrid 인증서를 바인딩할 수 없습니다.

오류

새 pxGrid 인증서를 CSR에 바인딩하는 동안 다음 오류가 발생하여 인증서 바인딩 프로세스가 실패합니다.

pxGrid용 인증서에는 EKU(Extended Key Usage) 확장에 클라이언트 및 서버 인증이 모두 포함되어야 합니다.

솔루션

CA 서명 pxGrid 인증서에는 TLS 웹 서버 인증(1.3.6.1.5.5.7.3.1) 및 TLS 웹 클라이언트 인증(1.3.6.1.5.5.7.3.2) 확장 키 사용이 모두 포함되어야 합니다. 이는 pxGrid 클라이언트와 서버 간의 통신을 보호하기 위해 클라이언트와 서버 인증 모두에 사용되기 때문입니다.

참조 링크:https://www.cisco.com/c/en/us/td/docs/security/ise/2-6/admin_guide/b_ise_admin_guide_26/b_ise_admin_guide_26_chapter_011010.html

시나리오 6:기존 LDAP 또는 SCEP RA 프로필 컨피그레이션으로 인해 신뢰할 수 있는 인증서 저장소에서 만료된 기본 자체 서명 인증서를 삭제할 수 없습니다.

오류

신뢰할 수 있는 인증서 저장소에서 만료된 기본 자체 서명 인증서를 삭제하면 다음과 같은 오류가 발생합니다.

신뢰 인증서가 다른 곳에서 참조되고 있으므로 삭제할 수 없습니다. SCEP RA 프로필 또는 LDAP ID 원본에서 참조될 수 있습니다.

* 기본 자체 서명 서버 인증서

인증서를 삭제하려면 SCEP RA 프로필을 삭제하거나 LDAP ID 소스를 편집하여 이 인증서를 사용하지 마십시오.

솔루션

1. Administration(관리) > Identity Management(ID 관리) > External Identity Sources(외부 ID 소스) > LDAP > Server Name(서버 이름) > Connection(연결)으로 이동합니다.
2. LDAP 서버 루트 CA가 "Default self-signed server certificate(기본 자체 서명 서버 인증서)"를 사용하지 않는지 확인합니다.
3. LDAP 서버가 보안 연결에 필요한 인증서를 사용하지 않는 경우 Administration(관리) > System(시스템) > Certificates(인증서) > Certificate Authority(인증 기관) > External CA Settings(외부 CA 설정) > SCEP RA Profiles(SCEP RA 프로필)로 이동합니다.
4. 모든 SCEP RA 프로파일이 기본 자체 서명 인증서를 사용하지 않는지 확인합니다.

추가 리소스

와일드카드 인증서 설치 방법
https://www.cisco.com/c/en/us/td/docs/security/ise/2-6/admin_guide/b_ise_admin_guide_26/b_ise_admin_guide_26_chapter_0111.html

ISE 인증서 관리
https://www.cisco.com/c/en/us/td/docs/security/ise/2-6/admin_guide/b_ise_admin_guide_26/b_ise_admin_guide_26_chapter_0111.html

ISE에 서드파티 CA 인증서 설치
https://www.cisco.com/c/en/us/support/docs/security/identity-services-engine-software/200295-Install-a-3rd-party-CA-certificate-in-IS.html