Dit document beschrijft de CA-service en de service Enrollment over Secure Transport (EST) die aanwezig is in de Cisco Identity Services Engine (ISE).
Voorwaarden
Vereisten
Cisco raadt kennis van de volgende onderwerpen aan:
- ISE
- Certificaten en Public Key Infrastructure (PKI)
- Simple Certificate Enrollment Protocol (SCEP)
- Online Certificate Status Protocol (OCSP)
Gebruikte componenten
De informatie in dit document is gebaseerd op Identity Services Engine 3.0.
De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.
Certificate Authority (CA)-service
Certificaten kunnen zelf ondertekend of digitaal ondertekend worden door een externe Certificaat Autoriteit (CA). De Cisco ISE Internal Certificate Authority (ISE CA) geeft digitale certificaten voor eindpunten uit en beheert deze vanaf een gecentraliseerde console, zodat werknemers hun persoonlijke apparaten kunnen gebruiken op het netwerk van het bedrijf. Een door CA ondertekend digitaal certificaat wordt beschouwd als een industriestandaard en veiliger. De primaire Policy Administration Node (PAN) is de basis-CA. De Policy Service Nodes (PSN's) zijn ondergeschikte CA's aan het primaire PAN.
ISE CA-functionaliteit
De ISE CA biedt deze functionaliteit:
-
Certificaatafgifte: valideert en ondertekent certificaatondertekeningsverzoeken (CSR's) voor eindpunten die verbinding maken met het netwerk.
-
Sleutelbeheer: hiermee worden sleutels en certificaten gegenereerd en veilig opgeslagen op zowel PAN- als PSN-knooppunten.
-
Certificaatopslag: slaat certificaten op die worden uitgegeven aan gebruikers en apparaten.
-
Ondersteuning voor het Online Certificate Status Protocol (OCSP): biedt een OCSP-responder om de geldigheid van certificaten te controleren.
ISE CA-certificaten geleverd voor serviceknooppunten voor beheer en beleid
Na de installatie wordt een Cisco ISE-node voorzien van een Root CA-certificaat en een Node CA-certificaat om certificaten voor eindpunten te beheren.
Wanneer een implementatie is ingesteld, wordt de node die is aangewezen als de primaire beheernode (PAN) de CA-hoofdmap. De PAN heeft een Root CA-certificaat en een Node CA-certificaat dat is ondertekend door de Root CA.
Wanneer een SAN (Secondary Administration Node) is geregistreerd in het PAN, wordt een CA-certificaat gegenereerd en ondertekend door de CA-hoofdmap op het primaire beheerknooppunt.
Elk Beleidsserviceknooppunt (PSN) dat is geregistreerd bij de PAN, wordt voorzien van een Eindpunt-CA en een OCSP-certificaat dat is ondertekend door de Node-CA van de PAN. De Policy Service Nodes (PSN's) zijn ondergeschikte CA's aan het PAN. Wanneer de ISE CA wordt gebruikt, geeft de Endpoint CA op de PSN de certificaten af aan de eindpunten die toegang hebben tot het netwerk.
Opmerking: vanaf ISE 3.1 Patch 2 en ISE 3.2 FCS is de OCSP-certificaathiërarchie gewijzigd.
Volgens RFC 6960:
"Een certificaatuitgever MOET een van de volgende dingen doen:
- de OCSP-antwoorden zelf ondertekenen, of
- deze autoriteit uitdrukkelijk aan een andere entiteit aanwijzen"
Het OCSP-certificaat voor de ondertekenaar van de respons MOET rechtstreeks worden afgegeven door de CA die in het verzoek is geïdentificeerd. "
"Systeem (vertrouwt) op OCSP-antwoorden MOET een delegatiecertificaat erkennen zoals afgegeven door de CA die het desbetreffende certificaat heeft afgegeven, alleen als het delegatiecertificaat en het certificaat (is) dat is gecontroleerd op intrekking door dezelfde sleutel zijn ondertekend."
Om te voldoen aan de eerder genoemde RFC-standaard wordt de certificaathiërarchie voor OCSP Responder Certificate gewijzigd in ISE. OCSP Responder Certificate wordt nu uitgegeven door Endpoint Sub CA van dezelfde node in plaats van Node CA in PAN.

Inschrijving voor de service Veilig transport (EST)
Het begrip public key infrastructure (PKI) bestaat al heel lang. De PKI authenticeert de identiteit van gebruikers en apparaten door middel van ondertekende publieke sleutelparen in de vorm van digitale certificaten. Enrollment over Secure Transport (EST) is een protocol om deze certificaten te verstrekken. EST-service definieert hoe certificaatregistratie kan worden uitgevoerd voor clients die gebruikmaken van certificaatbeheer via Cryptographic Message Syntax (CMC) via een beveiligd transport. EST beschrijft een eenvoudig, maar functioneel certificaatbeheerprotocol dat zich richt op Public Key Infrastructure (PKI)-klanten die clientcertificaten en bijbehorende certificaatautoriteit (CA)-certificaten moeten verwerven. Het ondersteunt ook client-gegenereerde publiek / private sleutelparen en sleutelparen die door de CA worden gegenereerd."
EST-gebruiksscenario's
Het EST-protocol kan worden gebruikt:
- Netwerkapparaten inschrijven door middel van Secure Unique Device Identity
- Voor BYOD-oplossingen
Waarom EST?
Zowel de EST- als de SCEP-protocollen hebben betrekking op de levering van certificaten. EST is de opvolger van het Simple Certificate Enrollment Protocol (SCEP). Vanwege zijn eenvoud is SCEP al vele jaren het de facto protocol in certificaatvoorziening. Het gebruik van EST boven SCEP wordt echter om deze redenen aanbevolen:
- Gebruik van TLS voor veilig transport van certificaten en berichten - In EST kan het certificaatondertekeningsverzoek (CSR) worden gekoppeld aan een aanvrager die al vertrouwd en geverifieerd is met TLS. Klanten kunnen geen certificaat krijgen voor iemand anders dan zichzelf. In SCEP wordt de CSR geverifieerd door een gedeeld geheim tussen de client en de CA. Dit leidt tot beveiligingsproblemen omdat iemand met toegang tot het gedeelde geheim certificaten kan genereren voor andere entiteiten dan zichzelf.
- Ondersteuning voor de inschrijving van ECC-ondertekende certificaten - EST biedt cryptografische flexibiliteit. Het ondersteunt elliptische kromme cryptografie (ECC). SCEP ondersteunt geen ECC en is afhankelijk van RSA-codering. ECC biedt meer veiligheid en betere prestaties dan andere cryptografische algoritmen zoals RSA, zelfs terwijl het een veel kleinere sleutelgrootte gebruikt.
- EST is gebouwd om automatische herinschrijving van certificaten te ondersteunen.
TLS bewezen beveiliging en continue verbetering helpen ervoor te zorgen dat EST-transacties veilig zijn in termen van cryptografische bescherming. De nauwe integratie van SCEP met RSA om gegevens te beschermen, leidt tot beveiligingsproblemen naarmate de technologie vordert.
EST in ISE
Voor de implementatie van dit protocol zijn een client- en een servermodule nodig:
- EST-client - ingebed in de normale ISE-tomcat.
- EST Server - geïmplementeerd op een open-source webserver genaamd NGINX. Dit werkt als een apart proces en het luistert naar poort 8084.
Certificaatgebaseerde client- en serververificatie wordt ondersteund door EST. De endpoint-CA geeft het certificaat af voor de EST-client en de EST-server. De EST-client- en servercertificaten en hun respectieve sleutels worden opgeslagen in de NSS-DB van ISCA.

Soorten verzoeken in ISE EST
Wanneer de EST-server verschijnt, ontvangt deze de laatste kopie van alle CA-certificaten van de CA-server en slaat deze op. Vervolgens kan de EST-client een CA-certificaatverzoek indienen om de hele keten van deze EST-server te krijgen. Voordat het een eenvoudig inschrijvingsverzoek doet, moet de EST-client eerst het CA-certificaatverzoek afgeven.
CA-certificaataanvraag (op basis van RFC 7030)
- De EST-client vraagt een kopie van de huidige CA-certificaten.
- HTTPS GET-bericht met een bewerkingspadwaarde van
/cacerts
.
- Deze bewerking wordt uitgevoerd vóór andere EST-verzoeken.
- Elke 5 minuten wordt er een aanvraag gedaan om een kopie te krijgen van de meest actuele CA certificaten.
- Voor de EST-server is geen clientverificatie vereist.
Het tweede verzoek is een eenvoudig inschrijvingsverzoek en het heeft authenticatie nodig tussen de EST-client en de EST-server. Dit gebeurt telkens wanneer een eindpunt verbinding maakt met ISE en een certificaataanvraag doet.
Eenvoudig inschrijvingsverzoek (gebaseerd op RFC 7030)
- De EST-client vraagt een certificaat aan bij de EST-server.
- HTTPS POST-bericht met de waarde van het
/simpleenroll
bewerkingspad.
- De EST-client sluit het PKCS#10-verzoek in in deze oproep die naar ISE wordt verzonden.
- De EST-server moet de client verifiëren.
EST- en CA-servicestatus
CA- en EST-services kunnen alleen worden uitgevoerd op een node van de Policy Service waarop sessieservices zijn ingeschakeld. Om sessieservices op een node in te schakelen, navigeert u naarAdministration > System > Deployment
. Selecteer de hostnaam van de server waarop de sessieservices moeten worden ingeschakeld en klik opEdit
. Schakel het Enable Session Services
selectievakje onder Persona voor beleidsservice in.
Status weergegeven op GUI
EST-servicestatus is gekoppeld aan de ISE CA-servicestatus op ISE. Als de CA-service is ingeschakeld, is de EST-service ingeschakeld en als de CA-service is uitgeschakeld, is ook de EST-service uitgeschakeld.
Status weergegeven op CLI
Alarmen op dashboard
Het alarm wordt weergegeven op het ISE-dashboard als EST- en CA-services niet werken.
Impact als CA- en EST-services niet worden uitgevoerd
Problemen oplossen
Als de BYOD-stroom met het EST-protocol niet goed werkt, controleert u de volgende voorwaarden:
-
Certificaatservices Endpoint Sub CA-certificaatketen is voltooid. Om te controleren of de certificaatketen volledig is:
-
Navigeer naarAdministration > System > Certificates > Certificate Authority > Certificate Authority Certificates
.
-
Schakel het selectievakje naast het certificaat in en klik op Bekijken om een bepaald certificaat te controleren.
-
Zorg ervoor dat de CA- en EST-services actief zijn. Als de services niet actief zijn, navigeert u naarAdministration > System > Certificates > Certificate Authority > Internal CA Settings
om de CA-service in te schakelen.
-
Als er een upgrade is uitgevoerd, vervangt u de certificaatketen ISE Root CA na de upgrade. Om dit te doen:
-
KiesAdministration > System > Certificates > Certificate Management > Certificate Signing Requests
.
-
Klik op de knop .Generate Certificate Signing Requests (CSR)
-
SelecteerISE Root CA
in deCertificate(s) will be used for
vervolgkeuzelijst
-
Klik op de knop .Replace ISE Root CA Certificate Chain
- Nuttige debug die kan worden ingeschakeld om de logs te controleren zijn onder andere
est
,provisioning
,ca-service
, enca-service-cert
. Zieise-psc.log
,catalina.out
, encaservice.log
,
error.log
bestanden.
Gerelateerde informatie