Instalar um certificado assinado por CA de terceiros no ISE

Opções de download

  • PDF     (1.0 MB)
    Ver no Adobe Reader em vários dispositivos
  • ePub     (1.1 MB)
    Ver em vários aplicativos no iPhone, iPad, Android, Sony Reader ou Windows Phone
  • Mobi (Kindle)     (732.7 KB)
    Ver no dispositivo Kindle ou no aplicativo Kindle em vários dispositivos
Atualizado:23 de Agosto de 2021
ID do documento:200295

Linguagem imparcial

O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.

Sobre esta tradução

A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.

    Introduction

    Este documento descreve a instalação de um certificado de CA assinado por terceiros no Cisco Identity Services Engine (ISE). O processo é o mesmo independentemente da função de certificado final (autenticação EAP, Portal, Admin e pxGrid).

    Prerequisites

    Requirements

    A Cisco recomenda que você tenha conhecimento da infraestrutura básica de chave pública.

    Componentes Utilizados

    As informações neste documento são baseadas no Cisco Identity Services Engine (ISE) versão 3.0. A mesma configuração se aplica às versões 2.X

    The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Se a rede estiver ativa, certifique-se de que você entenda o impacto potencial de qualquer comando.

    Configurar

    Etapa 1. Gerar solicitação de assinatura de certificado (CSR).

    Para gerar o CSR, navegue até Administration > Certificate > Certificate Signing Requests e clique em Generate Certificate Signing Requests (Gerar solicitações de assinatura de certificado) (CSR).

    Install a third-party CA certificate in ISE - Click Generate Certificate Signing Requests (CSR)

    1. Na seção Uso, selecione a função a ser usada no menu suspenso. Se o certificado for usado para várias funções, você poderá selecionar Multiuso. Quando o certificado é gerado, as funções podem ser alteradas, se necessário.

    2. Selecione o nó para o qual o certificado será gerado.

    3. Preencha as informações conforme necessário (Unidade organizacional, Organização, Cidade, Estado e País).

    Note: No campo Nome comum (CN), o ISE preenche automaticamente o Nome de domínio totalmente qualificado (FQDN) do nó.

    Caracteres curinga:

    • Se o objetivo for gerar um certificado curinga, marque a caixa Permitir certificados curinga

    • Se o certificado for usado para autenticações EAP, o * símbolo não deve estar no campo de CN do assunto, uma vez que os suplicantes do Windows rejeitam o certificado do servidor.

    • Mesmo quando Validate Server Identity está desabilitado no requerente, o handshake SSL pode falhar quando o * está no campo CN. 

    • Em vez disso, um FQDN genérico pode ser usado no campo CN e, em seguida, o *.domain.com pode ser usado no campo Nome do DNS da SAN (nome alternativo do assunto).

    Note: Algumas autoridades de certificação (AC) podem adicionar o curinga (*) no CN do certificado automaticamente, mesmo que ele não esteja presente no CSR. Neste cenário, é necessário apresentar um pedido especial para impedir esta ação.

    Exemplo de certificado de servidor individual CSR:

    Install a third-party CA certificate in ISE - CSR example for individual server certificate

    Exemplo de CSR curinga:

    Install a third-party CA certificate in ISE - Wildcard CSR example

    Note: O endereço IP de cada nó de implantação pode ser adicionado ao campo SAN para evitar um aviso de certificado quando você acessa o servidor por meio do endereço IP.

    Quando o CSR é criado, o ISE exibe uma janela pop-up com a opção de exportá-lo. Depois de exportado, este arquivo deve ser enviado para a CA para assinatura.

    Install a third-party CA certificate in ISE - Export option to download CSR

    Etapa 2. Importar uma nova cadeia de certificados.

    A autoridade de certificação retorna o certificado do servidor assinado junto com a cadeia completa de certificados (raiz/intermediário). Depois de receber, siga as etapas aqui para importar os certificados para o servidor ISE:

    1. Para importar certificados raiz e (ou) intermediários fornecidos pela CA, navegue para Administração > Certificados > Certificados confiáveis.

    2. Clique em Importar e escolha o certificado Raiz e/ou Intermediário e escolha as caixas de seleção relevantes para o envio.
    3. Para importar o certificado do servidor, navegue para Administração > Certificados > Solicitações de assinatura de certificado.

    4. Selecione o CSR criado anteriormente e clique em Vincular certificado.

    5. Selecione o novo local do certificado e o ISE vincula o certificado à chave privada criada e armazenada no banco de dados.

    Note: Se a função de administrador tiver sido selecionada para este certificado, os serviços de servidor ISE específicos serão reiniciados.

    Caution: Se o certificado importado for para o Nó de administração principal da implantação e se a função Admin for selecionada, os serviços em todos os nós reiniciarão um após o outro. Isso é esperado e recomenda-se um tempo de inatividade para executar essa atividade.

    Verificar

    Se a função de administrador tiver sido selecionada durante a importação do certificado, você poderá verificar se o novo certificado está em vigor carregando a página admin no navegador.  O navegador deve confiar no novo certificado de administrador desde que a cadeia tenha sido criada corretamente e se a cadeia de certificados for confiável pelo navegador.

    Install a third-party CA certificate in ISE - Verify certification path

    Para verificação adicional, selecione o símbolo de bloqueio no navegador e, no caminho do certificado, verifique se a cadeia completa está presente e é confiável para a máquina. Este não é um indicador direto de que a cadeia completa foi passada corretamente pelo servidor, mas sim um indicador do navegador capaz de confiar no certificado do servidor com base em seu armazenamento confiável local.

    Troubleshoot

    O requerente não confia no certificado de servidor local do ISE durante uma autenticação dot1x

    Verifique se o ISE está passando a cadeia de certificados completa durante o processo de handshake SSL.

    Ao usar métodos EAP que exigem um certificado de servidor (por exemplo, PEAP) e Validar identidade do servidor está selecionada, o requerente valida a cadeia de certificados utilizando os certificados que tem no seu arquivo de confiança local como parte do processo de autenticação. Como parte do processo de handshake SSL, o ISE apresenta seu certificado e também quaisquer certificados raiz e (ou) intermediários presentes em sua cadeia. O requerente não poderá validar a identidade do servidor se a cadeia estiver incompleta. Para verificar se a cadeia de certificados foi passada de volta ao seu cliente, você pode executar as seguintes etapas:

    1. Para obter uma captura do ISE (TCPDump) durante a autenticação, navegue para Operations > Diagostic Tools > General Tools > TCP Dump.

    2. Baixe/abra a captura e aplique o filtro ssl.handshake.certificate no Wireshark e encontre um desafio de acesso.

    3. Depois de selecionada, navegue para Expandir Protocolo Radius > Pares de Valor de Atributo > Último segmento de Mensagem EAP > Protocolo de Autenticação Extensível > Camada de Soquetes Segura > Certificado > Certificados.

     Cadeia de certificados na captura.

    Install a third-party CA certificate in ISE - Troubleshoot - Certificate chain in the capture

    Se a cadeia estiver incompleta, navegue até ISE Administration > Certificados > Certificados confiáveis e verifique se os certificados raiz e (ou) intermediário estão presentes. Se a cadeia de certificados for passada com êxito, a própria cadeia deve ser verificada como válida utilizando o método descrito aqui. 

    Abra cada certificado (servidor, intermediário e raiz) e verifique a cadeia de confiança combinando o Identificador de chave de assunto (SKI) de cada certificado com o Identificador de chave de autoridade (AKI) do próximo certificado na cadeia.

    Exemplo de uma cadeia de certificados. 

    Install a third-party CA certificate in ISE - Troubleshoot - Certificate chain example

    A cadeia de certificados do ISE está correta, mas o endpoint rejeita o certificado de servidor do ISE durante a autenticação

    Se o ISE estiver apresentando sua cadeia completa de certificados durante o handshake SSL e o requerente ainda estiver rejeitando a cadeia de certificados; a próxima etapa é verificar se os certificados Raiz e Intermediário estão no Local Trust Store do cliente.

    Para verificar isso em um dispositivo Windows, navegue até mmc.exe File > Add-Remove Snap-in. Na coluna snap-ins disponíveis, selecione Certificados e clique em Adicionar. Selecione Minha conta de usuário ou conta do computador dependendo do tipo de autenticação em uso (Usuário ou Máquina) e clique em OK.

    Na visualização do console, selecione Autoridades de Certificação de Raiz Confiáveis e Autoridades de Certificação Intermediárias para verificar a presença de certificado Raiz e Intermediário no repositório de confiança local.

    Install a third-party CA certificate in ISE - Troubleshoot - Verify Root and Intermediate certificates are present

    Uma maneira fácil de verificar se este é um problema de Verificação de identidade do servidor, desmarque Validar certificado do servidor na configuração do perfil do requerente e teste-o novamente.

    Install a third-party CA certificate in ISE - Troubleshoot - Uncheck Validate Server Certificate option

    Informações Relacionadas

    Histórico de revisões

    Revisão Data de publicação Comentários
    1.0
    23-Aug-2021
    Versão inicial
    TAC Authored

    Colaborado por engenheiros da Cisco

    • Antonio Torres
      Cisco TAC Engineer
    • Abhishek Tomar
      Cisco TAC Engineer

    Este documento lhe foi útil?

    FeedbackFeedback

    Contate a Cisco

    Este documento se refere a estes produtos