此产品的文档集力求使用非歧视性语言。在本文档集中,非歧视性语言是指不隐含针对年龄、残障、性别、种族身份、族群身份、性取向、社会经济地位和交叉性的歧视的语言。由于产品软件的用户界面中使用的硬编码语言、基于 RFP 文档使用的语言或引用的第三方产品使用的语言,文档中可能无法确保完全使用非歧视性语言。 深入了解思科如何使用包容性语言。
思科采用人工翻译与机器翻译相结合的方式将此文档翻译成不同语言,希望全球的用户都能通过各自的语言得到支持性的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 Cisco Systems, Inc. 对于翻译的准确性不承担任何责任,并建议您总是参考英文原始文档(已提供链接)。
本文档包含SSL证书安装、续约和解决身份服务引擎上观察到的最常见证书问题的解决方案的必要步骤。 本文档提供建议的步骤和常见问题核对表,在您开始排除故障并致电思科技术支持之前,需要验证和解决这些问题。
这些解决方案直接来自思科技术支持解决的服务请求。如果您的网络处于活动状态,请确保您了解解决问题所采取步骤的潜在影响。
Cisco 建议您了解以下主题:
本文档中的信息基于以下软件版本:
本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您的网络处于活动状态,请确保您了解所有命令的潜在影响。
证书是标识个人、服务器、公司或其他实体并将该实体与公钥关联的电子文档。自签名证书由其自己的创建者签名。证书可由外部证书颁发机构(CA)自签或数字签名。CA签名的数字证书被视为行业标准,更安全。
证书用于网络,以提供安全访问。思科ISE使用证书进行节点间通信,并与外部服务器(如系统日志服务器、源服务器和所有最终用户门户(访客、发起人和个人设备门户)通信。 证书标识到终端的思科ISE节点并保护该终端和思科ISE节点之间的通信。证书用于所有HTTPS通信和可扩展身份验证协议(EAP)通信。
以下指南说明如何导入和替换证书:
https://www.cisco.com/c/en/us/td/docs/security/ise/2-7/admin_guide/workflow/html/b_basic_setup_2_7.html#ID547
https://www.cisco.com/c/en/us/support/docs/security/identity-services-engine/116977-technote-ise-cert-00.html#anc5
将新门户证书与CSR绑定时,证书绑定过程失败,错误如下:
内部错误。要求ISE管理员检查日志以了解更多详细信息
此错误的最常见原因有:
— 新证书的使用者名称与现有证书相同
— 导入使用现有证书的相同私钥的续订证书
例如,如果您希望将门户使用暂时分配给具有EAP身份验证使用的现有证书,请执行以下步骤:
步骤1.选择并编辑具有EAP身份验证用法的证书,在Usage下添加Portal角色并保存
步骤2.删除即将过期的门户证书
步骤3.上传新门户证书,但不选择任何角色(在“使用”下)并提交
步骤4.选择并编辑新门户证书,在“使用”下分配门户角色并保存
为使用多用途的同一节点创建新的CSR失败,错误为:已存在另一个具有相同友好名称的证书。友好名称必须唯一。
CSR友好名称是每个ISE节点的硬编码,因此不允许为使用多用途的同一节点创建2个CSR。使用案例在特定节点上,有一个CA签名证书用于管理和EAP身份验证使用,另一个CA签名证书用于SAML和门户使用,并且两个证书都将过期。 在这种情况下:
步骤1.生成第一个具有多用途使用的CSR
步骤2.将CA签名的证书与第一个CSR绑定,并分配管理员和EAP身份验证角色
步骤3.生成具有多用途使用的第二个CSR
步骤4.将CA签名的证书与第二个CSR绑定并分配SAML和门户角色
绑定CA签名的证书以用于门户使用引发错误:
存在一个或多个受信任证书,这些证书是门户系统证书链的一部分,或者使用具有相同使用者名称但具有不同序列号的基于证书的管理员身份验证角色进行选择。导入/更新已中止。要成功导入/更新,您需要从重复的受信任证书禁用基于购物车的管理员身份验证角色,或从系统证书更改门户角色,该系统证书在其链中包含重复的受信任证书。
步骤1.检查CA签名证书的证书链(对于门户使用),并在受信任证书存储区中,验证是否有来自证书链的重复证书。 步骤2.删除重复证书或取消选中复制证书中基于证书的管理员身份验证的信任复选框。 例如,CA签名的门户证书具有以下证书链:
验证证书链中3个CA证书(可能是过期的证书)中是否有任何重复证书,并从受信任证书库中删除重复证书。
从受信任证书存储中删除过期的默认自签名证书会导致错误:不允许禁用或删除或信任证书,因为在远程日志记录目标下的系统证书和/或安全系统日志目标中引用该证书。
如果问题仍然存在,请联系TAC。
将新的pxGrid证书与CSR绑定时,证书绑定过程失败,错误为:
pxGrid证书必须在扩展密钥使用(EKU)扩展中同时包含客户端和服务器身份验证。
确保CA签名的pxGrid证书必须同时具有TLS Web服务器身份验证(1.3.6.1.5.5.7.3.1)和TLS Web客户端身份验证(1.3.6.1.5.5.7.3.2)扩展密钥使用,因为它用于客户端和服务器身份验证(用于保护pxGrid客户端和服务器之间的通信)
参考链接:https://www.cisco.com/c/en/us/td/docs/security/ise/2-6/admin_guide/b_ise_admin_guide_26/b_ise_admin_guide_26_chapter_011010.html
从受信任证书存储中删除过期的默认自签名证书会导致错误:
无法删除信任证书,因为它正在其他位置被引用,可能来自SCEP RA配置文件或LDAP身份源
*默认自签名服务器证书
要删除证书,请删除SCEP RA配置文件或编辑LDAP身份源以不使用此证书。
如何安装通配符证书https://www.cisco.com/c/en/us/td/docs/security/ise/2-6/admin_guide/b_ise_admin_guide_26/b_ise_admin_guide_26_chapter_0111.html
管理ISE证书https://www.cisco.com/c/en/us/td/docs/security/ise/2-6/admin_guide/b_ise_admin_guide_26/b_ise_admin_guide_26_chapter_0111.html
在ISE上安装第三方CA证书https://www.cisco.com/c/en/us/support/docs/security/identity-services-engine-software/200295-Install-a-3rd-party-CA-certificate-in-IS.html