본 제품에 대한 문서 세트는 편견 없는 언어를 사용하기 위해 노력합니다. 본 설명서 세트의 목적상, 편견 없는 언어는 나이, 장애, 성별, 인종 정체성, 민족 정체성, 성적 지향성, 사회 경제적 지위 및 교차성에 기초한 차별을 의미하지 않는 언어로 정의됩니다. 제품 소프트웨어의 사용자 인터페이스에서 하드코딩된 언어, RFP 설명서에 기초한 언어 또는 참조된 서드파티 제품에서 사용하는 언어로 인해 설명서에 예외가 있을 수 있습니다. 시스코에서 어떤 방식으로 포용적인 언어를 사용하고 있는지 자세히 알아보세요.
Cisco는 전 세계 사용자에게 다양한 언어로 지원 콘텐츠를 제공하기 위해 기계 번역 기술과 수작업 번역을 병행하여 이 문서를 번역했습니다. 아무리 품질이 높은 기계 번역이라도 전문 번역가의 번역 결과물만큼 정확하지는 않습니다. Cisco Systems, Inc.는 이 같은 번역에 대해 어떠한 책임도 지지 않으며 항상 원본 영문 문서(링크 제공됨)를 참조할 것을 권장합니다.
이 문서에서는 Cisco ISE(Identity Services Engine)의 TLS/SSL 인증서에 대해 설명합니다. ISE 인증서의 종류 및 역할, 일반적인 작업 및 문제 해결 방법, 그리고 마지막으로 자주 묻는 FAQ에 대한 답변을 제공합니다.버전 2.4에서 2.7까지 ISE를 지원하지만 달리 명시되지 않는 한 다른 ISE 2.x 소프트웨어 릴리스와 유사하거나 동일해야 합니다.
다음 주제에 대한 지식을 보유하고 있으면 유용합니다.
이 문서의 정보는 다음 소프트웨어 및 하드웨어 버전을 기반으로 합니다.
이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다.이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다.네트워크가 작동 중인 경우 모든 명령 또는 컨피그레이션의 잠재적인 영향을 이해해야 합니다.
서버 인증서는 서버에 의해 서버 ID가 클라이언트에 신뢰성을 제공하고 통신을 위한 보안 채널을 제공하는 데 사용됩니다.이는 자체 서명(서버가 자체 인증서를 발급하는 경우) 또는 인증 기관(조직 내부 또는 잘 알려진 벤더)에서 발급한 것일 수 있습니다.
서버 인증서는 일반적으로 서버의 호스트 이름 또는 FQDN(정규화된 도메인 이름)에 발급되거나 와일드카드 인증서(*.domain.com)일 수도 있습니다. 발급된 호스트, 도메인 또는 하위 도메인은 일반적으로 CN(Common Name) 또는 SAN(Subject Alternative Name) 필드에 언급됩니다.
와일드카드 인증서는 와일드카드 표기법(호스트 이름 대신 별표)을 사용하는 SSL 인증서이므로 조직의 여러 호스트에서 동일한 인증서를 공유할 수 있습니다.와일드카드 인증서의 주체 이름에 대한 CN 또는 SAN 값의 예제는 *.company.com과 비슷하며 server1.com, server2.com 등과 같은 이 도메인의 모든 호스트를 보호하는 데 사용할 수 있습니다.
인증서는 일반적으로 공개 키 암호화 또는 비대칭 암호화를 사용합니다.
주의:ISE는 현재 서명 알고리즘으로 RSSA-PSS를 사용하는 인증서를 지원하지 않습니다.여기에는 서버 인증서, 루트, 중간 또는 클라이언트 인증서(예: EAP-TLS, PEAP(TLS) 등)가 포함됩니다. CSCug22137 참조
Cisco ISE(Identity Services Engine)는 PKI(Public Key Infrastructure)를 사용하여 다중 노드 구축의 Cisco ISE 노드 간뿐만 아니라 엔드포인트, 사용자, 관리자 등과도 안전한 통신을 제공합니다.PKI는 x.509 디지털 인증서를 사용하여 메시지의 암호화 및 암호 해독을 위한 공개 키를 전송하고 사용자 및 디바이스에서 제공하는 다른 인증서의 신뢰성을 확인합니다.Cisco ISE에는 일반적으로 사용되는 두 가지 인증서 카테고리가 있습니다.
하나 이상의 역할에 시스템 인증서를 사용할 수 있습니다.각 역할은 서로 다른 목적을 제공하며 여기에서 설명합니다.
ISE가 설치되면 기본 자체 서명 서버 인증서를 생성합니다.EAP 인증, 관리, 포털 및 RADIUS DTLS에 기본적으로 할당됩니다.이러한 역할을 내부 CA 또는 잘 알려진 CA 서명 인증서로 이동하는 것이 좋습니다.
팁:ISE 서버의 FQDN 및 IP 주소가 모두 ISE 시스템 인증서의 Subject Alternative Name 필드에 추가되도록 하는 것이 좋습니다. 일반적으로 Cisco ISE의 인증서 인증이 인증서 기반 확인 기능의 사소한 차이로부터 영향을 받지 않도록 하려면 네트워크에 배포된 모든 Cisco ISE 노드에 대해 소문자를 구분하는 이름을 사용하십시오.
참고:ISE 인증서의 형식은 PEM(Privacy Enhanced Mail) 또는 DER(Distinguished Encoding Rules)여야 합니다.
CA 인증서는 Administration > System > Certificates > Certificate Store에 저장되어야 하며 ISE가 엔드포인트, 디바이스 또는 기타 ISE 노드에서 제공하는 인증서를 검증하기 위해 이러한 인증서를 사용하도록 하려면 Trust for client authentication use-case를 가져야 합니다.
인증서에 만료 날짜가 있으며 일부 시점에서 취소하거나 교체해야 할 수 있습니다.ISE 서버 인증서가 만료되면 유효한 새 인증서로 교체되지 않는 한 심각한 문제가 발생할 수 있습니다.
참고:EAP(Extensible Authentication Protocol)에 사용되는 인증서가 만료되면 클라이언트가 ISE 인증서를 더 이상 신뢰하지 않으므로 클라이언트 인증이 실패할 수 있습니다.포털에 사용되는 인증서가 만료되면 클라이언트 및 브라우저는 포털 연결을 거부할 수 있습니다.관리자 사용 인증서가 만료되면 위험 수준이 더 커지므로 관리자가 ISE에 더 이상 로그인하지 못하게 되고 분산 구축이 정상적으로 작동하지 않을 수 있습니다.
새 자체 서명 인증서를 생성하려면 Administration(관리) > System(시스템) > Certificates(인증서) > System Certificates(시스템 인증서)로 이동합니다.Generate Self Signed Certificate를 클릭합니다.
이 목록은 자체 서명 인증서 생성 페이지의 필드에 대해 설명합니다.
자체 서명 인증서 설정 필드 이름 사용 지침:
참고:RSA 및 ECDSA 공개 키는 동일한 보안 수준에 대해 다른 키 길이를 가질 수 있습니다.컨피그레이션이 공용 CA 서명 인증서를 가져오거나 Cisco ISE를 FIPS 호환 정책 관리 시스템으로 구축하려는 경우 2048을 선택합니다.
기존 자체 서명 인증서를 보려면 ISE 콘솔에서 Administration > System > Certificates > System Certificates로 이동합니다.동일한 ISE 서버 FQDN을 언급하는 경우 발급 대상 및 발급자가 있는 인증서는 자체 서명 인증서입니다.이 인증서를 선택하고 Edit를 클릭합니다.
Renew Self Signed Certificate(자체 서명 인증서 갱신)에서 Renewal Period(갱신 기간) 상자를 선택하고 필요에 따라 Expiration TTL을 설정합니다.마지막으로 저장을 클릭합니다.
루트 CA, 중간 CA 및/또는 신뢰할 수 있는 호스트에서 Base 64로 인코딩된 인증서를 가져옵니다.
1. ISE 노드에 로그인하고 Administration(관리) > System(시스템) > Certificate(인증서) > Certificate Management(인증서 관리) > Trusted Certificates(신뢰할 수 있는 인증서)로 이동하고 이 이미지에 표시된 대로 Import(가져오기)를 클릭합니다.
2. 다음 페이지에서 가져온 CA 인증서를 위와 같은 순서로 업로드합니다. 사용자에게 친숙한 이름 및 인증서 내용을 설명하는 설명을 할당하여 추적하십시오.
사용 요구에 따라 다음 옆의 상자를 선택합니다.
3. 마지막으로 전송을 클릭합니다.이제 인증서가 신뢰할 수 있는 저장소에 표시되고 모든 보조 ISE 노드(구축의 경우)에 동기화되어야 합니다.
루트 및 중간 CA의 인증서가 신뢰할 수 있는 인증서 저장소에 추가되면 CSR(Certificate Signing Request)이 발급되고 CSR을 기반으로 서명된 인증서가 ISE 노드에 바인딩될 수 있습니다.
1. CSR을 생성하려면 Administration(관리) > System(시스템) > Certificates(인증서) > Certificate Signing Requests(인증서 서명 요청)로 이동하고 Generate Certificate Signing Requests(CSR)(CSR(인증서 서명 요청 생성))를 클릭하여 CSR을 생성합니다.
2. 표시되는 페이지의 사용 섹션에서 드롭다운 메뉴에서 사용할 역할을 선택합니다.
인증서가 여러 역할에 사용되는 경우 Multi-Use를 선택합니다.인증서가 생성되면 필요한 경우 역할을 변경할 수 있습니다.대부분의 경우, Used For(사용 용도) 드롭다운에서 인증서를 여러 용도로 사용하도록 설정할 수 있습니다.이렇게 하면 모든 ISE 웹 포털에서 인증서를 사용할 수 있습니다.
3. ISE 노드 옆의 확인란을 선택하여 인증서가 생성되는 노드를 선택합니다.
4. 와일드카드 인증서를 설치/생성하려는 경우 와일드카드 인증서 허용 상자를 선택합니다.
5. 호스트 또는 조직(조직 단위, 조직, 시, 도 및 국가)에 대한 세부사항을 기준으로 주제 정보를 입력합니다.
6. 이 작업을 완료하려면 Generate(생성)를 클릭한 다음 팝업에서 Export(내보내기)를 클릭합니다.
이렇게 하면 방금 생성된 Base-64로 인코딩된 인증서 요청 요청이 다운로드됩니다. 이 PEM 파일은 서명을 위해 CA로 전송되어야 하며, 결과로 서명된 인증서 CER 파일(Base 64 인코딩)을 가져옵니다.
참고: Common Name (CN)(공통 이름(CN)) 필드 아래에서 ISE는 노드의 FQDN(Fully Qualified Domain Name)을 자동으로 채웁니다.
참고:ISE 1.3 및 1.4에서는 적어도 pxGrid를 사용하려면 두 개의 CSR을 실행해야 했습니다.하나는 pxGrid에 할당되고 다른 하나는 나머지 서비스에 사용됩니다.2.0 이상 이후, 이 모든 것은 하나의 CSR에 있습니다.
참고: 인증서가 EAP 인증에 사용되는 경우 Windows 신청자가 서버 인증서를 거부하므로 * 기호가 Subject CN 필드에 없어야 합니다.서 플리 컨 트에서 Validate Server Identity 가 비활성화 된 경우에도 CN 필드에 *가 있는 경우 SSL 핸드셰이크가 실패 할 수 있습니다.대신 CN 필드에서 일반 FQDN을 사용할 수 있으며, 그런 다음 SAN(Subject Alternative Name) DNS Name(SAN) 필드에서 *.domain.com을 사용할 수 있습니다.일부 CA(Certificate Authorities)는 CSR에 없는 경우에도 인증서의 CN에 와일드카드(*)를 자동으로 추가할 수 있습니다.이 시나리오에서는 이 작업을 방지하기 위해 특별한 요청을 제기해야 합니다.
7. CA가 인증서를 서명하면(비디오에 표시된 대로 CSR에서 생성된 인증서, Microsoft CA가 사용된 경우 여기) ISE GUI로 돌아가 관리 > 시스템 > 인증서 관리 > 인증서 서명 요청으로 이동합니다.이전에 생성한 CSR 옆의 확인란을 선택하고 Bind Certificate(인증서 바인딩) 버튼을 클릭합니다.
8. 이제 방금 수신한 서명된 인증서를 업로드하고 ISE의 이름을 지정합니다.그런 다음 인증서(예: Admin 및 EAP 인증, 포털 등)에 대한 필요에 따라 사용 옆의 상자를 선택하고 이 이미지에 표시된 대로 Submit(제출)을 클릭합니다.
이 인증서에 대해 Admin Role(관리 역할)을 선택한 경우 ISE 노드는 서비스를 다시 시작해야 합니다.VM에 할당된 버전 및 리소스를 기준으로 10-15분 정도 걸릴 수 있습니다.애플리케이션의 상태를 확인하려면 ISE 명령줄을 열고 show application status ise 명령을 실행합니다.
인증서 가져오기에서 관리자 또는 포털 역할을 선택한 경우 브라우저의 관리자 또는 포털 페이지에 액세스할 때 새 인증서가 제자리에 있는지 확인할 수 있습니다.브라우저에서 잠금 기호를 선택하고 인증서 아래에서 경로가 전체 체인이 있는지 확인하고 시스템에서 신뢰하는지 확인합니다.체인이 올바르게 빌드되고 브라우저에서 인증서 체인을 신뢰할 수 있는 경우 브라우저는 새 관리자 또는 포털 인증서를 신뢰해야 합니다.
참고:현재 CA 서명 시스템 인증서를 갱신하려면 새 CSR을 생성하고 서명된 인증서를 동일한 옵션으로 바인딩합니다.활성 상태가 되기 전에 ISE에 새 인증서를 설치할 수 있으므로 이전 인증서가 만료되기 전에 새 인증서를 설치할 계획입니다.이전 인증서 만료 날짜와 새 인증서 시작 날짜 사이에 이 중복 기간을 사용하면 인증서를 갱신하고 다운타임을 거의 또는 전혀 사용하지 않고 교환을 계획할 수 있습니다.이전 인증서의 만료 날짜 이전의 시작 날짜가 포함된 새 인증서를 가져옵니다.두 날짜 사이의 기간은 변경 창입니다.새 인증서가 유효한 날짜 범위를 입력하면 필요한 프로토콜(Admin/EAP/Portal)을 활성화합니다. 관리자 사용이 활성화된 경우 서비스가 다시 시작됩니다.
팁:관리자 및 EAP 인증서에 회사 내부 CA를 사용하고 게스트/스폰서/핫스팟/등 포털에 대해 공개적으로 서명된 인증서를 사용하는 것이 좋습니다.그 이유는 사용자 또는 게스트가 네트워크에 접속하고 ISE 포털이 게스트 포털에 대해 개인 서명 인증서를 사용 할 경우, 인증서 오류가 발생 하거나 포털 페이지에서 해당 브라우저가 이를 차단 할 수 있기 때문입니다.이 모든 것을 방지하려면 포털 사용에 대해 공개적으로 서명된 인증서를 사용하여 더 나은 사용자 환경을 보장합니다.또한 각 구축 노드의 IP 주소를 SAN 필드에 추가해야 IP 주소를 통해 서버에 액세스할 때 인증서 경고가 표시되지 않습니다.
다음 항목을 내보내는 것이 좋습니다.
1. 모든 시스템 인증서(구축의 모든 노드에서 제공)와 개인 키(다시 설치하는 데 필요)를 안전한 위치에 저장합니다.인증서 컨피그레이션(인증서가 사용된 서비스)에 대한 메모를 유지합니다.
2. 기본 관리 노드의 신뢰할 수 있는 인증서 저장소의 모든 인증서인증서 컨피그레이션(인증서가 사용된 서비스)에 대한 메모를 유지합니다.
3. 모든 인증 기관 인증서
이를 위해
1. 관리 > 시스템 > 인증서 > 인증서 관리 > 시스템 인증서로 이동합니다.인증서를 선택하고 Export(내보내기)를 클릭합니다.Export Certificates and Private Keys 라디오 버튼을 선택합니다.개인 키 암호 및 암호 확인을 입력합니다.Export(내보내기)를 클릭합니다.
2. 관리 > 시스템 > 인증서 > 인증서 관리 > 신뢰할 수 있는 인증서로 이동합니다.인증서를 선택하고 Export(내보내기)를 클릭합니다.Save File(파일 저장)을 클릭하여 인증서를 내보냅니다.
3. 관리 > 시스템 > 인증서 > 인증 기관 > 인증 기관 인증서로 이동합니다.인증서를 선택하고 Export(내보내기)를 클릭합니다.Export Certificates and Private Keys 라디오 버튼을 선택합니다.개인 키 암호 및 암호 확인을 입력합니다.Export(내보내기)를 클릭합니다.Save File(파일 저장)을 클릭하여 인증서를 내보냅니다.
Cisco ISE Trusted Certificates 또는 System Certificates 저장소의 인증서가 만료되면 업그레이드 프로세스가 실패합니다.Trusted Certificates and System Certificates 창(Administration > System > Certificates > Certificate Management)의 Expiration Date 필드에서 유효성을 확인하고 필요한 경우 업그레이드 전에 갱신합니다.
또한 CA Certificates(CA 인증서) 창(Administration(관리) > System(시스템) > Certificates(인증서) > Certificate Authority(인증 기관) > Certificate Authority Certificates(CA 인증서))의 인증서의 Expiration Date(만료일) 필드에서 유효성을 확인하고, 필요한 경우 업그레이드 전에 갱신합니다.
ISE의 인증서가 만료되거나 사용되지 않는 경우 해당 인증서를 제거해야 합니다.삭제하기 전에 (해당하는 경우 개인 키를 사용하여) 인증서를 내보내야 합니다.
만료된 인증서를 삭제하려면 Administration(관리) > System(시스템) > Certificates(인증서) > Certificate Management(인증서 관리)로 이동합니다.시스템 인증서 저장소를 클릭합니다.만료된 인증서를 선택하고 Delete(삭제)를 클릭합니다.
Trusted Certificates(신뢰할 수 있는 인증서) 및 Certificate Authority Certificates(CA 인증서) 저장소에 대해서도 같은 절차를 수행합니다.
ISE가 SSL 핸드셰이크 프로세스에 대한 전체 인증서 체인을 전송하는지 확인합니다.
클라이언트 OS 설정에서 서버 인증서(예: PEAP) 및 서버 ID 유효성 검사가 필요한 EAP 방법을 선택하면 서 플리 컨 트가 인증 프로세스의 일부로 로컬 신뢰 저장소에 있는 인증서를 사용하여 인증서 체인을 확인 합니다.SSL 핸드셰이크 프로세스의 일부로 ISE는 해당 인증서 및 체인에 있는 루트 및 중간 인증서를 나타냅니다.체인이 불완전하거나 신뢰 저장소에 이 체인이 없는 경우 신청자가 서버 ID를 검증할 수 없습니다.
인증서 체인이 클라이언트로 다시 전달되었는지 확인하려면 인증 시 엔드포인트에서 ISE(Operations(작업) > Diagnostic Tools(진단 도구) > General Tools(일반 툴) > TCP Dump(TCP 덤프) 또는 Wireshark 캡처에서 패킷 캡처를 가져옵니다.캡처를 열고 Wireshark에서 ssl.handshake.certificates 필터를 적용하고 액세스 챌린지를 찾습니다.
Expand Radius Protocol(RADIUS 프로토콜) > Attribute Value Pairs(특성 값 쌍) > EAP-Message Last segment(EAP-메시지 마지막 세그먼트) > Extensible Authentication Protocol(확장 가능한 인증 프로토콜) > Secure Sockets Layer(SSL 소켓 레이어) > Certificate(인증서) > Certificates(인증서)로 이동합니다.
체인이 불완전한 경우 ISE Administration(ISE 관리) > Certificates(인증서) > Trusted Certificates(신뢰할 수 있는 인증서)로 이동하고 루트 및 (또는) 중간 인증서가 있는지 확인합니다.인증서 체인이 성공적으로 전달된 경우 여기에 설명된 방법으로 체인 자체를 유효한 것으로 확인해야 합니다.
각 인증서(서버, 중간 및 루트)를 열고 각 인증서의 SKI(Subject Key Identifier)와 체인의 다음 인증서의 AKI(Authority Key Identifier)를 일치시키기 위한 신뢰 체인을 확인합니다.
ISE가 SSL 핸드셰이크에 대한 전체 인증서 체인을 표시하고 신청자가 여전히 인증서 체인을 거부하면다음 단계는 루트 및 중간 인증서가 클라이언트 로컬 트러스트 저장소에 있는지 확인하는 것입니다.
Windows 장치에서 이를 확인하려면 mmc.exe(Microsoft Management Console)를 시작하고 파일 > 스냅인 추가로 이동합니다.사용 가능한 스냅인 열에서 인증서를 선택하고 추가를 클릭합니다.사용 중인 인증 유형(User 또는 Machine)에 따라 내 사용자 계정 또는 컴퓨터 계정을 선택한 다음 OK(확인)를 클릭합니다.
콘솔 보기에서 Trusted Root Certification Authorities(신뢰할 수 있는 루트 인증 기관) 및 Intermediate Certification Authorities(중간 인증 기관)를 선택하여 로컬 트러스트 저장소에 루트 및 중간 인증서가 있는지 확인합니다.
서버 ID 확인 문제인지 쉽게 확인할 수 있는 방법은 서 플리 컨 트 프로파일 컨피그레이션 아래에서 Validate Server Certificate(서버 인증서 검증)를 선택 취소하고 다시 테스트합니다.
이 메시지는 ISE가 정확히 동일한 OU 매개 변수를 가진 시스템 인증서를 탐지했으며 중복 인증서를 설치하려고 시도했음을 의미합니다.중복 시스템 인증서는 지원되지 않으므로 새 인증서가 서로 달라지도록 시/도/부서 값을 약간 다른 값으로 변경하는 것이 좋습니다.
이는 브라우저가 서버의 ID 인증서를 신뢰하지 않을 때 발생합니다.
먼저, 브라우저에 표시되는 포털 인증서가 예상한 대로 포털의 ISE에 구성되었는지 확인합니다.
둘째, FQDN을 통해 포털에 액세스해야 합니다. IP 주소가 사용 중인 경우 인증서의 SAN 및/또는 CN 필드에 FQDN과 IP 주소가 모두 있는지 확인합니다.
마지막으로, 클라이언트 OS/브라우저 소프트웨어에서 포털 인증서 체인(ISE 포털, 중간 CA, 루트 CA 인증서)을 가져오거나 신뢰할 수 있는지 확인합니다.
참고:일부 최신 버전의 iOS, Android OS 및 Chrome/Firefox 브라우저는 인증서에 대해 엄격한 보안 기대치를 갖고 있습니다.위의 점이 충족되더라도 포털 및 중간 CA가 SHA-256보다 작으면 연결을 거부할 수 있습니다.
Cisco ISE Trusted Certificates 또는 System Certificates 저장소의 인증서가 만료되면 업그레이드 프로세스가 실패합니다.Trusted Certificates and System Certificates(신뢰할 수 있는 인증서 및 시스템 인증서) 창(Administration(관리) > System(시스템) > Certificates(인증서) > Certificate Management(인증서 관리))의 Expiration Date(만료일) 필드에서 유효성을 확인하고, 필요한 경우 업그레이드 전에 갱신합니다.
또한 CA Certificates(CA 인증서) 창(Administration(관리) > System(시스템) > Certificates(인증서) > Certificate Authority(인증 기관) > Certificate Authority Certificates(CA 인증서))의 인증서의 Expiration Date(만료일) 필드에서 유효성을 확인하고, 필요한 경우 업그레이드 전에 갱신합니다.
ISE 업그레이드 전에 내부 CA 인증서 체인이 유효한지 확인합니다.
Administration(관리) > System(시스템) > Certificates(인증서) > Certificate Authority Certificates(인증 기관 인증서)로 이동합니다.구축의 각 노드에 대해 Friendly Name(식별 이름) 열에서 Certificate Services Endpoint Sub CA가 있는 인증서를 선택합니다.View(보기)를 클릭하고 Certificate Status(인증서 상태)가 Good(정상) 메시지인지 확인합니다.
인증서 체인이 손상된 경우 Cisco ISE 업그레이드 프로세스가 시작되기 전에 문제를 해결해야 합니다.문제를 해결하려면 Administration(관리) > System(시스템) > Certificates(인증서) > Certificate Management(인증서 관리) > Certificate Signing Requests(인증서 서명 요청)로 이동하고 ISE Root CA(ISE 루트 CA) 옵션에 대해 하나를 생성합니다.