Select Node

（必填）从下拉列表中选择您要导入系统证书的思科 ISE 节点。

Certificate File

（必填）单击选择文件 (Choose File)，从本地系统中选择证书文件。

Private Key File

（必需）单击选择文件 (Choose File)，从本地系统中选择私钥文件。

密码

（必填）输入密码以解密私钥文件。

Friendly Name

输入证书的友好名称。如果未指定名称，思科 ISE 会自动创建以下格式的名称：

<common name> # <issuer> # <nnnnn>，其中 <nnnnn> 是一个唯一的五位数。

Allow Wildcard Certificates

如果要导入通配符证书，请选中此复选框。通配符证书使用通配符号（在域名前带一个星号和一个句点）。通配符证书会在组织中的多个主机之间共享。

如果选中此复选框，思科 ISE 会将此证书导入到部署中的所有其他节点。

Validate Certificate Extensions

如果希望思科 ISE 验证证书扩展，请选中此复选框。如果选中此复选框，并且要导入的证书包含 CA 标志设为 true 的基本限制扩展，请确保密钥用法扩展存在。还必须设置 keyEncipherment 位和/或 keyAgreement 位。

使用情况

选择必须使用此系统证书的服务：

• 管理员 (Admin)：用于确保与部署中的管理门户和思科 ISE 节点之间安全通信的服务器证书。

  注	在主 PAN 上更改管理员角色证书的证书将在所有其他思科 ISE 节点上重新启动服务。

• EAP 身份验证 (EAP Authentication)：用于使用 EAP 协议建立 SSL 或 TLS 隧道的身份验证的服务器证书。

• RADIUS DTLS：用于 RADIUS DTLS 身份验证的服务器证书。

• pxGrid：用于确保 pxGrid 客户端和服务器之间的安全通信的客户端和服务器证书。

• ISE 消息服务 (ISE Messaging Service)：用于经思科 ISE 消息传递的系统日志 (Syslog Over Cisco ISE Messaging) 功能，此功能可以对内置 UDP 系统日志收集目标（LogCollector 和 LogCollector2）实现 MnT WAN 有效性。

• SAML：用于确保与 SAML 身份提供程序之间的安全通信的服务器证书。指定用于 SAML 的证书不可用于任何其他服务（例如管理员和 EAP 身份验证等）。

• 门户 (Portal)：用于确保与所有思科 ISE Web 门户的安全通信的服务器证书。

Select Node

（必填）从下拉列表中选择您要为其生成系统证书的节点。

Common Name (CN)

（如果您不指定 SAN，则此字段必填）默认情况下，Common Name 为您要生成自签证书的思科 ISE 节点的 FQDN。

Organizational Unit (OU)

组织单位名称。例如，Engineering。

Organization (O)

组织名称。例如，Cisco。

City (L)

（请勿缩写）城市名称。例如，圣何塞。

State (ST)

（请勿缩写）省/自治区/直辖市名称。例如，加州。

Country (C)

国家/地区名称。输入两个字母 ISO 国家/地区代码。例如，US。

Subject Alternative Name (SAN)

与该证书关联的 IP 地址、DNS 名称或统一资源标识符 (URI)。

密钥类型

要用于创建公共密钥的算法：RSA 或 ECDSA。

密钥长度

公共密钥的位大小。从 RSA 的下拉列表中选择以下选项之一：

• 512

• 1024

• 2048

• 4096

从 ECDSA 的下拉列表中选择以下选项之一：

• 256

• 384

如果您计划获得公共 CA 签名的证书或将思科 ISE 部署为符合 FIPS 的策略管理系统，请选择 2048。

Digest to Sign With

从下拉列表中选择以下散列算法之一：

• SHA-1

• SHA-256

证书策略

输入证书应符合的证书策略 OID 或 OID 列表。使用逗号或空格分隔 OID。

Expiration TTL

指定证书到期之前的天数。从下拉列表中选择值。

Friendly Name

输入证书的友好名称。如果未指定名称，思科 ISE 会自动创建以下格式的名称：<common name> # <issuer> # <nnnnn>，其中 <nnnnn> 是唯一的五位数数字。

Allow Wildcard Certificates

如果要生成自签名通配符证书，请选中此复选框。通配符证书使用通配符表示法（在域名前使用一个星号和句点）并且允许在组织中的多个主机之间共享该证书。

使用情况

选择必须使用此系统证书的服务：

• 管理员 (Admin)：用于确保与部署中的管理门户和思科 ISE 节点之间安全通信的服务器证书。

• EAP 身份验证 (EAP Authentication)：用于使用 EAP 协议建立 SSL 或 TLS 隧道的身份验证的服务器证书。

• RADIUS DTLS：用于 RADIUS DTLS 身份验证的服务器证书。

• pxGrid：用于确保 pxGrid 客户端和服务器之间的安全通信的客户端和服务器证书。

• SAML：用于确保与 SAML 身份提供程序之间的安全通信的服务器证书。指定用于 SAML 的证书不可用于任何其他服务（例如管理员和 EAP 身份验证等）。

• 门户 (Portal)：用于确保与所有思科 ISE Web 门户的安全通信的服务器证书。

Friendly Name

显示证书的名称。

状态

此列会显示已启用 (Enabled) 或已禁用 (Disabled)。如果证书被禁用，则思科 ISE 将不使用此证书建立信任。

Trusted for

显示以下一项或多项使用此证书的服务。

• 基础设施

• 思科服务

• 终端

Issued To

显示证书持有者的通用名称。

颁发者

显示证书颁发机构的通用名称。

Valid From

显示证书的颁发日期和时间。该值也称为“不早于”(Not Before) 证书属性。

到期日期

显示证书到期的日期和时间。该值也称为“不迟于”(Not After) 证书属性。

Expiration Status

提供有关证书到期状态的信息。此列会显示五个图标和提示消息类别：

• 绿色：距到期还有 90 天以上

• 蓝色：距到期还有 90 天或更短

• 黄色：距到期还有 60 天或更短

• 橙色：距到期还有 30 天或更短

• 红色：已到期

Certificate Issuer

Friendly Name

输入证书的友好名称。此字段是可选字段。如果不输入友好名称，则系统会以以下格式生成默认名称：

common-name#issuer#nnnnn

状态

从下拉列表中选择启用 (Enabled) 或禁用 (Disabled)。如果证书被禁用，则思科 ISE 将不使用此证书建立信任。

说明

（可选）输入说明。

Usage

Trust for authentication within ISE

如果您想要使用此证书验证服务器证书（从其他思科 ISE 节点或 LADP 服务器），请选中此复选框。

Trust for client authentication and Syslog

（仅在选中了信任 ISE 中的身份验证”(Trust for authentication within ISE) 复选框时适用）如果您想将此证书用于以下用途，请选中此复选框：

• 对使用 EAP 协议连接至思科 ISE 的终端进行身份验证。

• 信任系统日志服务器。

Trust for authentication of Cisco Services

如果您希望将此证书用于信任源服务等外部思科服务，请选中此复选框。

Certificate Status Validation

思科 ISE 支持使用两种方法检查特定 CA 颁发的客户端或服务器证书的吊销状态。第一种方法是使用在线证书状态协议 (OCSP) 验证证书，其将向 CA 维护的 OCSP 服务发送请求。第二种方法是按照从 CA 下载至思科 ISE 的 CRL 验证证书。可以同时启用这两种方法，在这种情况下首先使用 OCSP 方法，只有在无法确定证书状态时，才会使用 CRL 方法。

Validate Against OCSP Service

选中此复选框以按照 OCSP 服务验证证书。您必须先创建 OCSP 服务才能选中此复选框。

Reject the request if OCSP returns UNKNOWN status

如果 OCSP 服务无法确定证书状态，则选中此复选框以拒绝请求。在选中此复选框的情况下，如果 OCSP 服务返回未知状态值，此服务将导致思科 ISE 拒绝当前评估的客户端或服务器证书。

OCSP 响应器无法访问时拒绝请求 (Reject the request if OCSP Responder is unreachable)

选中此复选框供思科 ISE 在 OCSP 响应器无法访问时拒绝请求。

Download CRL

选中此复选框以使思科 ISE 下载 CRL。

CRL Distribution URL

输入用于从 CA 下载 CRL 的 URL。如果在证书颁发机构证书中指定了 URL，则系统会自动填写此字段。URL 必须以“http”、“https”或“ldap”开头。

Retrieve CRL

可以自动或定期下载 CRL。请配置下载时间间隔。

If download failed, wait

配置在思科 ISE 再次尝试下载 CRL 之前等待的时间间隔。

Bypass CRL Verification if CRL is not Received

选中此复选框，以使系统在收到 CRL 之前接受客户端请求。如果取消选中此复选框，思科 ISE 会拒绝使用选定 CA 签名的证书的所有客户端请求，直到收到 CRL 文件为止。

Ignore that CRL is not yet valid or expired

如果您希望思科 ISE 忽略开始日期和到期日期并继续使用非活动或已过期 CRL 以及根据 CRL 内容允许或拒绝 EAP-TLS 身份验证，请选中此复选框。

如果您希望思科 ISE 在 Effective Date 字段指定的开始日期和 Next Update 字段指定的到期日期检查 CRL 文件，请取消选中此复选框。如果 CRL 尚未激活或已到期，思科 ISE 会拒绝使用此 CA 签名的证书的所有身份验证。

Certificate File

点击浏览 (Browse) 从运行浏览器的计算机选择证书文件。

Friendly Name

输入证书的友好名称。如果您不指定名称，思科 ISE 会自动按照 <通用名称># <颁发者># <nnnnn> 的格式创建名称，其中 <nnnnn> 为唯一的五位数编号。

Trust for authentication within ISE

如果您希望将此证书用于验证服务器证书（从其他 ISE 节点或 LDAP 服务器），请选中此复选框。

Trust for client authentication and Syslog

（仅在选中了“信任 ISE 中的身份验证”(Trust for authentication within ISE) 复选框时适用）如果您想将此证书用于以下用途，请选中此复选框：

• 对使用 EAP 协议连接至 ISE 的终端进行身份验证

• 信任系统日志服务器

Trust for authentication of Cisco Services

如果您希望将此证书用于信任源服务等外部思科服务，请选中此复选框。

验证证书扩展名

（仅适用于同时选中 Trust for client authentication 选项和 Enable Validation of Certificate Extensions 选项的情况下）确保有“keyUsage”扩展并且设置了“keyCertSign”位，而且有将 CA 标志设置为 true 的基本限制扩展。

Description

输入可选的说明。

Certificate(s) will be used for

选择即将对其使用证书的服务：

思科 ISE 身份证书

• 多用途 (Multi-Use)：用于多种服务（管理员、EAP-TLS 身份验证、pxGrid 和门户）。多用途证书同时使用客户端和服务器密钥用法。签名 CA 的证书模板通常称为计算机证书模板。此模板具有以下属性：

  • Key Usage (密钥使用)：数字签名（签名）

  • Extended Key Usage (扩展密钥使用)：TLS Web 服务器身份验证 (1.3.6.1.5.5.7.3.1) 和 TLS Web 客户端身份验证 (1.3.6.1.5.5.7.3.2)

• 管理 (Admin) - 用于服务器身份验证（以确保与管理员门户之间的安全通信，以及部署中 ISE 节点之间的安全通信）。签名 CA 的证书模板通常称为 Web 服务器证书模板。此模板具有以下属性：

  • Key Usage (密钥使用)：数字签名（签名）

  • 扩展密钥使用 (Extended Key Usage)：TLS Web 服务器身份验证 (1.3.6.1.5.5.7.3.1)

• EAP 身份验证 (EAP Authentication)：用于服务器身份验证。签名 CA 的证书模板通常称为计算机证书模板。此模板具有以下属性：

  • Key Usage (密钥使用)：数字签名（签名）

  • 扩展密钥使用 (Extended Key Usage)：TLS Web 服务器身份验证 (1.3.6.1.5.5.7.3.1)

  注	EAP-TLS 客户端证书需要使用数字签名密钥。

• RADIUS DTLS：用于 RADIUS DTLS 服务器身份验证。此模板具有以下属性：

  • Key Usage (密钥使用)：数字签名（签名）

  • 扩展密钥使用 (Extended Key Usage)：TLS Web 服务器身份验证 (1.3.6.1.5.5.7.3.1)

• 门户 (Portal)：用于服务器身份验证（以确保与所有 ISE Web 门户之间的安全通信）。签名 CA 的证书模板通常称为计算机证书模板。此模板具有以下属性：

  • Key Usage (密钥使用)：数字签名（签名）

  • 扩展密钥使用 (Extended Key Usage)：TLS Web 服务器身份验证 (1.3.6.1.5.5.7.3.1)

• pxGrid - 同时用于客户端和服务器身份验证（以确保 pxGrid 客户端与服务器之间的安全通信）。签名 CA 的证书模板通常称为计算机证书模板。此模板具有以下属性：

  • Key Usage (密钥使用)：数字签名（签名）

  • Extended Key Usage (扩展密钥使用)：TLS Web 服务器身份验证 (1.3.6.1.5.5.7.3.1) 和 TLS Web 客户端身份验证 (1.3.6.1.5.5.7.3.2)

• SAML：用于确保与 SAML 身份提供程序 (IdP) 之间的安全通信的服务器证书。指定用于 SAML 的证书不可用于任何其他服务（例如管理员和 EAP 身份验证等）。

  • Key Usage (密钥使用)：数字签名（签名）

  • 扩展密钥使用 (Extended Key Usage)：TLS Web 服务器身份验证 (1.3.6.1.5.5.7.3.1)

source=local ; type=fatal ; message="unsupported certificate"

思科 ISE 证书颁发机构颁发的证书

• ISE 根 CA (ISE Root CA) -（仅适用于内部 CA 服务）用于重新生成整个内部 CA 证书链，包括主 PAN 上的根 CA 和 PSN 上的辅助 CA。

• ISE 中间 CA (ISE Intermediate CA)：（仅适用于当 ISE 用作外部 PKI 的中间 CA 时的内部 CA 服务）用于在主 PAN 上生成中间 CA 证书，在 PSN 上生成从属 CA 证书。签名 CA 的证书模板通常称为辅助证书颁发机构。此模板具有以下属性：

  • 基本约束 (Basic Constraints)：关键、是证书颁发机构

  • 密钥使用 (Key Usage)：证书签名、数字签名

  • 扩展密钥使用 (Extended Key Usage)：OCSP 签名 (1.3.6.1.5.5.7.3.9)

• 更新 ISE OCSP 响应方证书 (Renew ISE OCSP Responder Certificates)：（仅适用于内部 CA 服务）用于更新整个部署的 ISE OCSP 响应方证书（不是证书签名请求）。出于安全原因，建议您每六个月更新一次 ISE OCSP 响应方证书。

Allow Wildcard Certificates

选中此复选框以在 CN 中和/或证书的 SAN 字段的 DNS 名称中使用通配符 (*)。如果选中此复选框，系统会自动选择部署中的所有节点。必须在最左侧的标签位置使用星号 (*) 通配符。如果使用通配符证书，我们建议您对域名空间进行分区以提高安全性。例如，可以将域空间分区为 *.amer.example.com，而不是 *.example.com。如果不对域进行分区，可能会导致安全问题。

Generate CSRs for these Nodes

选中要为其生成证书的节点旁边的复选框。要为部署中的选定节点生成 CSR，必须取消 Allow Wildcard Certificates 选项。

Common Name (CN)

默认情况下，公用名是您正为其生成证书签名请求的 ISE 节点的 FQDN。$FQDN$ 表示 ISE 节点的 FQDN。当为部署中的多个节点生成证书签名请求时，证书签名请求中的 Common Name 字段会替换为各个 ISE 节点的 FQDN。

Organizational Unit (OU)

组织单位名称。例如，Engineering。

Organization (O)

组织名称。例如，Cisco。

City (L)

（请勿缩写）城市名称。例如，圣何塞。

State (ST)

（请勿缩写）省/自治区/直辖市名称。例如，加州。

Country (C)

国家/地区名称。必须输入两个字母 ISO 国家/地区代码。例如，US。

Subject Alternative Name (SAN)

“IP 地址”(IP address)、“DNS 名称”(DNS name)、“统一资源标识符”(Uniform Resource Identifier, URI) 或与证书关联的“目录名称”(Directory Name)。

• DNS 名称 (DNS name)：如果选择“DNS 名称”(DNS name)，请输入 ISE 节点的完全限定域名。如果已启用 Allow Wildcard Certificates 选项，请指定通配符符号（域名前的星号和句号）。例如：*.amer.example.com。

• IP 地址 (IP address)：将与证书关联的 ISE 节点的 IP 地址。

• 统一资源标识符 (Uniform Resource Identifier)：您希望与证书关联的 URI。

• 目录名称 (Directory Name)：根据 RFC 2253 定义的可区分名称 (DN) 的字符串表示。使用逗号 (,) 隔开多个 DN。对于“dnQualifier”RDN，避免使用逗号而是使用反斜杠“\”作为分隔符。例如，CN=AAA,dnQualifier=O=Example\,DC=COM,C=IL

密钥类型

指定要用于创建公共密钥的算法：RSA 或 ECDSA。

密钥长度

指定公共密钥的位大小。

以下选项可用于 RSA：

• 512

• 1024

• 2048

• 4096

以下选项可用于 ECDSA：

• 256

• 384

如果计划获取公共的 CA 签名证书或将思科 ISE 部署为符合 FIPS 标准的策略管理系统，请选择 2048 或更大长度。

Digest to Sign With

选择下列散列算法之一：SHA-1 或 SHA-256。

证书策略

输入证书应符合的证书策略 OID 或 OID 列表。使用逗号或空格分隔 OID。

证书检查设置

“对照自动撤销的 CRL 检查正在进行的会话”(Check ongoing sessions against automatically retrieved CRL)

如果您希望思科 ISE 对照自动下载的 CRL 检查正在进行的会话，选中此复选框。

CRL/OCSP 定期检查证书

首先检查

指定一天中的某个时间作为 CRL 或 OCSP 每天应当开始检查的时间。输入00:00 和 23:59 小时之间的数值

检查每

指定思科 ISE 需要等待的时间间隔（按小时计），在此间隔之后再次对 CRL 或 OCSP 服务器进行检查。