在Cisco ISE上安装、续订和排除SSL数字证书故障
简介
本文档包含SSL证书安装、续约和解决身份服务引擎上观察到的最常见证书问题的解决方案的必要步骤。 本文档提供建议的步骤和常见问题核对表,在您开始排除故障并致电思科技术支持之前,需要验证和解决这些问题。
这些解决方案直接来自思科技术支持解决的服务请求。如果您的网络处于活动状态,请确保您了解解决问题所采取步骤的潜在影响。
先决条件
要求
Cisco 建议您了解以下主题:
- 身份服务引擎GUI
使用的组件
本文档中的信息基于以下软件版本:
- 思科身份服务引擎2.7
本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您的网络处于活动状态,请确保您了解所有命令的潜在影响。
背景信息
证书是标识个人、服务器、公司或其他实体并将该实体与公钥关联的电子文档。自签名证书由其自己的创建者签名。证书可由外部证书颁发机构(CA)自签或数字签名。CA签名的数字证书被视为行业标准,更安全。
证书用于网络,以提供安全访问。思科ISE使用证书进行节点间通信,并与外部服务器(如系统日志服务器、源服务器和所有最终用户门户(访客、发起人和个人设备门户)通信。 证书标识到终端的思科ISE节点并保护该终端和思科ISE节点之间的通信。证书用于所有HTTPS通信和可扩展身份验证协议(EAP)通信。
配置
以下指南说明如何导入和替换证书:
导入系统证书
替换过期的证书
常见问题
场景1:无法替换ISE节点上即将过期的门户证书
Error
将新门户证书与CSR绑定时,证书绑定过程失败,错误如下:
内部错误。要求ISE管理员检查日志以了解更多详细信息
此错误的最常见原因有:
— 新证书的使用者名称与现有证书相同
— 导入使用现有证书的相同私钥的续订证书
解决方案
- 将门户使用情况临时分配到同一节点上的其他证书
- 删除即将过期的门户证书
- 安装新的门户证书,然后分配门户使用
例如,如果您希望将门户使用暂时分配给具有EAP身份验证使用的现有证书,请执行以下步骤:
步骤1.选择并编辑具有EAP身份验证用法的证书,在Usage下添加Portal角色并保存
步骤2.删除即将过期的门户证书
步骤3.上传新门户证书,但不选择任何角色(在“使用”下)并提交
步骤4.选择并编辑新门户证书,在“使用”下分配门户角色并保存
方案 2:无法为使用多用途的同一ISE节点生成两个CSR
Error
为使用多用途的同一节点创建新的CSR失败,错误为:
已存在另一个具有相同友好名称的证书。友好名称必须唯一。
解决方案
CSR友好名称是每个ISE节点的硬编码,因此不允许为使用多用途的同一节点创建2个CSR。使用案例在特定节点上,有一个CA签名证书用于管理和EAP身份验证使用,另一个CA签名证书用于SAML和门户使用,并且两个证书都将过期。
在这种情况下:
步骤1.生成第一个具有多用途使用的CSR
步骤2.将CA签名的证书与第一个CSR绑定,并分配管理员和EAP身份验证角色
步骤3.生成具有多用途使用的第二个CSR
步骤4.将CA签名的证书与第二个CSR绑定并分配SAML和门户角色
情形 3:无法绑定CA签名的证书以用于门户,或者无法将门户标记分配给证书并收到错误
Error
绑定CA签名的证书以用于门户使用引发错误:
存在一个或多个受信任证书,这些证书是门户系统证书链的一部分,或者使用具有相同使用者名称但具有不同序列号的基于证书的管理员身份验证角色进行选择。导入/更新已中止。要成功导入/更新,您需要从重复的受信任证书禁用基于购物车的管理员身份验证角色,或从系统证书更改门户角色,该系统证书在其链中包含重复的受信任证书。
解决方案
步骤1.检查CA签名证书的证书链(对于门户使用),并在受信任证书存储区中,验证是否有来自证书链的重复证书。
步骤2.删除重复证书或取消选中复制证书中基于证书的管理员身份验证的信任复选框。
例如,CA签名的门户证书具有以下证书链:
验证证书链中3个CA证书(可能是过期的证书)中是否有任何重复证书,并从受信任证书库中删除重复证书。
场景 4:无法从受信任证书存储中删除过期的默认自签名证书
Error
从受信任证书存储中删除过期的默认自签名证书会导致错误:
不允许禁用或删除或信任证书,因为在远程日志记录目标下的系统证书和/或安全系统日志目标中引用该证书。
解决方案
- 验证过期的默认自签名证书未与任何现有远程日志记录目标关联。这可以在Administration > System > Logging > Remote Logging Targets > Select and Edit SecureSyslogCollector(s)下验证
- 验证过期的默认自签名证书未与任何特定角色(用法)关联。这可在Administration > System > Certificates > System Certificates下验证。
如果问题仍然存在,请联系TAC。
场景 5:无法将CA签名的pxGrid证书与ISE节点上的CSR绑定
Error
将新的pxGrid证书与CSR绑定时,证书绑定过程失败,错误为:
pxGrid证书必须在扩展密钥使用(EKU)扩展中同时包含客户端和服务器身份验证。
解决方案
确保CA签名的pxGrid证书必须同时具有TLS Web服务器身份验证(1.3.6.1.5.5.7.3.1)和TLS Web客户端身份验证(1.3.6.1.5.5.7.3.2)扩展密钥使用,因为它用于客户端和服务器身份验证(用于保护pxGrid客户端和服务器之间的通信)
参考链接:https://www.cisco.com/c/en/us/td/docs/security/ise/2-6/admin_guide/b_ise_admin_guide_26/b_ise_admin_guide_26_chapter_011010.html
场景 6:由于现有LDAP或SCEP RA配置文件配置,无法从受信任证书存储中删除过期的默认自签名证书
Error
从受信任证书存储中删除过期的默认自签名证书会导致错误:
无法删除信任证书,因为它正在其他位置被引用,可能来自SCEP RA配置文件或LDAP身份源
*默认自签名服务器证书
要删除证书,请删除SCEP RA配置文件或编辑LDAP身份源以不使用此证书。
解决方案
- 导航至管理>身份管理>外部身份源> LDAP >服务器名称>连接
- 确保LDAP服务器根CA未使用“默认自签名服务器证书”
- 如果LDAP服务器未使用安全连接所需的证书,请导航至Administration > System > Certificates > Certificate Authority > External CA Settings > SCEP RA Profiles
- 确保任何SCEP RA配置文件未使用默认自签名证书
反馈