Cisco ISE-PIC에서 인증서 매칭
구축에서 Cisco ISE-PIC 노드를 설정할 때 이 두 노드는 서로 통신합니다. 시스템은 각 ISE-PIC 노드의 FQDN이 일치하는지 확인합니다(예: ise1.cisco.com 및 ise2.cisco.com 또는 와일드 카드 인증서를 사용하는 경우 *.cisco.com). 또한 외부 시스템이 ISE-PIC 서버에 인증서를 제공하면 인증을 위해 제공되는 외부 인증서가 ISE-PIC 서버의 인증서와 비교하여 확인됩니다. 두 인증서가 일치하면 인증이 성공합니다.
Cisco ISE-PIC에서는 다음과 같이 일치하는 주체 이름을 확인합니다.
-
Cisco ISE-PIC에서 인증서의 SAN(Subject Alternative Name) 확장을 확인합니다. SAN에 하나 이상의 DNS 이름이 있는 경우 DNS 이름 중 하나를 Cisco ISE 노드의 FQDN과 일치시켜야 합니다. 와일드카드 인증서를 사용하는 경우 와일드카드 도메인 이름을 Cisco ISE 노드 FQDN의 도메인과 일치시켜야 합니다.
-
SAN에 DNS 이름이 없거나 SAN이 완전히 누락된 경우, 인증서의 Subject(주체) 필드에 있는 CN(Common Name) 또는 인증서의 Subject(주체) 필드에 있는 와일드카드 도메인을 노드의 FQDN과 일치시켜야 합니다.
-
일치 항목이 발견되지 않으면 인증서가 거부됩니다.