De services van de ISE Internal Certificate Authority begrijpen

Downloadopties

  • PDF     (695.2 KB)
    Met Adobe Reader op diverse apparaten bekijken
  • ePub     (562.9 KB)
    Bekijken in diverse apps op iPhone, iPad, Android, Sony Reader of Windows Phone
  • Mobi (Kindle)     (850.1 KB)
    Op Kindle-apparaat of via Kindle-app op meerdere apparaten bekijken
Bijgewerkt:14 april 2023
Document-id:217161

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

    Inleiding

    Dit document beschrijft de CA-service en de service Enrollment over Secure Transport (EST) die aanwezig is in de Cisco Identity Services Engine (ISE).

    Voorwaarden

    Vereisten

    Cisco raadt kennis van de volgende onderwerpen aan:

    • ISE
    • Certificaten en Public Key Infrastructure (PKI)
    • Simple Certificate Enrollment Protocol (SCEP)
    • Online Certificate Status Protocol (OCSP)

    Gebruikte componenten

    De informatie in dit document is gebaseerd op Identity Services Engine 3.0.

    De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.

    Certificate Authority (CA)-service

    Certificaten kunnen zelf ondertekend of digitaal ondertekend worden door een externe Certificaat Autoriteit (CA). De Cisco ISE Internal Certificate Authority (ISE CA) geeft digitale certificaten voor eindpunten uit en beheert deze vanaf een gecentraliseerde console, zodat werknemers hun persoonlijke apparaten kunnen gebruiken op het netwerk van het bedrijf. Een door CA ondertekend digitaal certificaat wordt beschouwd als een industriestandaard en veiliger. De primaire Policy Administration Node (PAN) is de basis-CA. De Policy Service Nodes (PSN's) zijn ondergeschikte CA's aan het primaire PAN.

    ISE CA-functionaliteit

    De ISE CA biedt deze functionaliteit:

    • Certificaatafgifte: valideert en ondertekent certificaatondertekeningsverzoeken (CSR's) voor eindpunten die verbinding maken met het netwerk.

    • Sleutelbeheer: hiermee worden sleutels en certificaten gegenereerd en veilig opgeslagen op zowel PAN- als PSN-knooppunten.

    • Certificaatopslag: slaat certificaten op die worden uitgegeven aan gebruikers en apparaten.

    • Ondersteuning voor het Online Certificate Status Protocol (OCSP): biedt een OCSP-responder om de geldigheid van certificaten te controleren.

    ISE CA-certificaten geleverd voor serviceknooppunten voor beheer en beleid

    Na de installatie wordt een Cisco ISE-node voorzien van een Root CA-certificaat en een Node CA-certificaat om certificaten voor eindpunten te beheren.

    Wanneer een implementatie is ingesteld, wordt de node die is aangewezen als de primaire beheernode (PAN) de CA-hoofdmap. De PAN heeft een Root CA-certificaat en een Node CA-certificaat dat is ondertekend door de Root CA.

    Standalone Node Internal CA Certificate Hierarchy

    Wanneer een SAN (Secondary Administration Node) is geregistreerd in het PAN, wordt een CA-certificaat gegenereerd en ondertekend door de CA-hoofdmap op het primaire beheerknooppunt.

    Elk Beleidsserviceknooppunt (PSN) dat is geregistreerd bij de PAN, wordt voorzien van een Eindpunt-CA en een OCSP-certificaat dat is ondertekend door de Node-CA van de PAN. De Policy Service Nodes (PSN's) zijn ondergeschikte CA's aan het PAN. Wanneer de ISE CA wordt gebruikt, geeft de Endpoint CA op de PSN de certificaten af aan de eindpunten die toegang hebben tot het netwerk.

    note-icon

    Opmerking: vanaf ISE 3.1 Patch 2 en ISE 3.2 FCS is de OCSP-certificaathiërarchie gewijzigd.

    Volgens RFC 6960:

      

    "Een certificaatuitgever MOET een van de volgende dingen doen:

      - de OCSP-antwoorden zelf ondertekenen, of

      - deze autoriteit uitdrukkelijk aan een andere entiteit aanwijzen"

    Het OCSP-certificaat voor de ondertekenaar van de respons MOET rechtstreeks worden afgegeven door de CA die in het verzoek is geïdentificeerd. "

    "Systeem (vertrouwt) op OCSP-antwoorden MOET een delegatiecertificaat erkennen zoals afgegeven door de CA die het desbetreffende certificaat heeft afgegeven, alleen als het delegatiecertificaat en het certificaat (is) dat is gecontroleerd op intrekking door dezelfde sleutel zijn ondertekend." 

    Om te voldoen aan de eerder genoemde RFC-standaard wordt de certificaathiërarchie voor OCSP Responder Certificate gewijzigd in ISE. OCSP Responder Certificate wordt nu uitgegeven door Endpoint Sub CA van dezelfde node in plaats van Node CA in PAN.

    Distributed Deployment Internal CA Certificate HierarchyDistributed Deployment Internal CA Certificate Hierarchy                               

    Inschrijving voor de service Veilig transport (EST)

    Het begrip public key infrastructure (PKI) bestaat al heel lang. De PKI authenticeert de identiteit van gebruikers en apparaten door middel van ondertekende publieke sleutelparen in de vorm van digitale certificaten. Enrollment over Secure Transport (EST) is een protocol om deze certificaten te verstrekken. EST-service definieert hoe certificaatregistratie kan worden uitgevoerd voor clients die gebruikmaken van certificaatbeheer via Cryptographic Message Syntax (CMC) via een beveiligd transport. EST beschrijft een eenvoudig, maar functioneel certificaatbeheerprotocol dat zich richt op Public Key Infrastructure (PKI)-klanten die clientcertificaten en bijbehorende certificaatautoriteit (CA)-certificaten moeten verwerven. Het ondersteunt ook client-gegenereerde publiek / private sleutelparen en sleutelparen die door de CA worden gegenereerd."

    EST-gebruiksscenario's

    Het EST-protocol kan worden gebruikt:

    • Netwerkapparaten inschrijven door middel van Secure Unique Device Identity
    • Voor BYOD-oplossingen

    Waarom EST?

    Zowel de EST- als de SCEP-protocollen hebben betrekking op de levering van certificaten. EST is de opvolger van het Simple Certificate Enrollment Protocol (SCEP). Vanwege zijn eenvoud is SCEP al vele jaren het de facto protocol in certificaatvoorziening. Het gebruik van EST boven SCEP wordt echter om deze redenen aanbevolen:

    • Gebruik van TLS voor veilig transport van certificaten en berichten - In EST kan het certificaatondertekeningsverzoek (CSR) worden gekoppeld aan een aanvrager die al vertrouwd en geverifieerd is met TLS. Klanten kunnen geen certificaat krijgen voor iemand anders dan zichzelf. In SCEP wordt de CSR geverifieerd door een gedeeld geheim tussen de client en de CA. Dit leidt tot beveiligingsproblemen omdat iemand met toegang tot het gedeelde geheim certificaten kan genereren voor andere entiteiten dan zichzelf.
    • Ondersteuning voor de inschrijving van ECC-ondertekende certificaten - EST biedt cryptografische flexibiliteit. Het ondersteunt elliptische kromme cryptografie (ECC). SCEP ondersteunt geen ECC en is afhankelijk van RSA-codering. ECC biedt meer veiligheid en betere prestaties dan andere cryptografische algoritmen zoals RSA, zelfs terwijl het een veel kleinere sleutelgrootte gebruikt.
    • EST is gebouwd om automatische herinschrijving van certificaten te ondersteunen.

    TLS bewezen beveiliging en continue verbetering helpen ervoor te zorgen dat EST-transacties veilig zijn in termen van cryptografische bescherming. De nauwe integratie van SCEP met RSA om gegevens te beschermen, leidt tot beveiligingsproblemen naarmate de technologie vordert.

    EST in ISE

    Voor de implementatie van dit protocol zijn een client- en een servermodule nodig:

    • EST-client - ingebed in de normale ISE-tomcat.
    • EST Server - geïmplementeerd op een open-source webserver genaamd NGINX. Dit werkt als een apart proces en het luistert naar poort 8084.

    Certificaatgebaseerde client- en serververificatie wordt ondersteund door EST. De endpoint-CA geeft het certificaat af voor de EST-client en de EST-server. De EST-client- en servercertificaten en hun respectieve sleutels worden opgeslagen in de NSS-DB van ISCA.

    EST Flow                  EST Flow

    Soorten verzoeken in ISE EST

    Wanneer de EST-server verschijnt, ontvangt deze de laatste kopie van alle CA-certificaten van de CA-server en slaat deze op. Vervolgens kan de EST-client een CA-certificaatverzoek indienen om de hele keten van deze EST-server te krijgen. Voordat het een eenvoudig inschrijvingsverzoek doet, moet de EST-client eerst het CA-certificaatverzoek afgeven.

    CA-certificaataanvraag (op basis van RFC 7030)

    1. De EST-client vraagt een kopie van de huidige CA-certificaten.
    2. HTTPS GET-bericht met een bewerkingspadwaarde van /cacerts.
    3. Deze bewerking wordt uitgevoerd vóór andere EST-verzoeken.
    4. Elke 5 minuten wordt er een aanvraag gedaan om een kopie te krijgen van de meest actuele CA certificaten.
    5. Voor de EST-server is geen clientverificatie vereist.

    Het tweede verzoek is een eenvoudig inschrijvingsverzoek en het heeft authenticatie nodig tussen de EST-client en de EST-server. Dit gebeurt telkens wanneer een eindpunt verbinding maakt met ISE en een certificaataanvraag doet.

    Eenvoudig inschrijvingsverzoek (gebaseerd op RFC 7030)

    1. De EST-client vraagt een certificaat aan bij de EST-server.
    2. HTTPS POST-bericht met de waarde van het/simpleenrollbewerkingspad. 
    3. De EST-client sluit het PKCS#10-verzoek in in deze oproep die naar ISE wordt verzonden.
    4. De EST-server moet de client verifiëren.

    EST- en CA-servicestatus

    CA- en EST-services kunnen alleen worden uitgevoerd op een node van de Policy Service waarop sessieservices zijn ingeschakeld. Om sessieservices op een node in te schakelen, navigeert u naarAdministration > System > Deployment. Selecteer de hostnaam van de server waarop de sessieservices moeten worden ingeschakeld en klik opEdit. Schakel het Enable Session Services  selectievakje onder Persona voor beleidsservice in.

    CA and EST Service running on PSN Node

    Status weergegeven op GUI

    EST-servicestatus is gekoppeld aan de ISE CA-servicestatus op ISE. Als de CA-service is ingeschakeld, is de EST-service ingeschakeld en als de CA-service is uitgeschakeld, is ook de EST-service uitgeschakeld.

    Verifying Certificate Authority Starters

    Status weergegeven op CLI

    Verifying CA and EST Services on CLI CA and EST Services not Running on Admin Node CA and EST Service Running on PSN Node

    Alarmen op dashboard

    Het alarm wordt weergegeven op het ISE-dashboard als EST- en CA-services niet werken.

    Alarm Related to CA and EST Services

    Impact als CA- en EST-services niet worden uitgevoerd

    • Het oproepen van EST Client/cacertskan mislukken wanneer EST Server niet beschikbaar is. Het/cacertsoproepfalen kan ook optreden als de CA-keten van het ESTCA-ketencertificaat onvolledig is.

    • Inschrijvingsverzoeken voor ECC-gebaseerd eindpuntcertificaat mislukken.

    • BYOD-stroom breekt als een van de vorige twee storingen optreedt.
    • Er kunnen foutmeldingen voor de wachtrijlink worden gegenereerd.

    Problemen oplossen

    Als de BYOD-stroom met het EST-protocol niet goed werkt, controleert u de volgende voorwaarden:

    • Certificaatservices Endpoint Sub CA-certificaatketen is voltooid. Om te controleren of de certificaatketen volledig is:

      1. Navigeer naarAdministration > System > Certificates > Certificate Authority > Certificate Authority Certificates.

      2. Schakel het selectievakje naast het certificaat in en klik op Bekijken om een bepaald certificaat te controleren.

    • Zorg ervoor dat de CA- en EST-services actief zijn. Als de services niet actief zijn, navigeert u naarAdministration > System > Certificates > Certificate Authority > Internal CA Settingsom de CA-service in te schakelen.

    • Als er een upgrade is uitgevoerd, vervangt u de certificaatketen ISE Root CA na de upgrade. Om dit te doen:

      1. KiesAdministration > System > Certificates > Certificate Management > Certificate Signing Requests.

      2. Klik op de knop .Generate Certificate Signing Requests (CSR)

      3. SelecteerISE Root CAin deCertificate(s) will be used forvervolgkeuzelijst

      4. Klik op de knop .Replace ISE Root CA Certificate Chain

    • Nuttige debug die kan worden ingeschakeld om de logs te controleren zijn onder andereest,provisioning,ca-service, enca-service-cert. Zieise-psc.log,catalina.out, encaservice.log , error.logbestanden.

    Gerelateerde informatie

    Revisiegeschiedenis

    Revisie Publicatiedatum Opmerkingen
    3.0
    14-Apr-2023
    Bijgewerkt formaat, correcties. Hercertificering.
    2.0
    10-Apr-2023
    Wijzigingen aangebracht zodat het document voldoet aan RFC-standaard 6960. Toegevoegd respectieve diagrammen en vermeld RFC in deze herziening.
    1.0
    21-May-2021
    Eerste vrijgave
    TAC Authored

    Bijgedragen door Cisco-engineers

    • Rini Santra
      Cisco Solutions Architect
    • Poonam Garg
      Cisco TAC Engineer

    Was dit document nuttig?

    FeedbackFeedback

    Contact Cisco