思科 ISE-PIC 中的证书匹配
设置部署中的思科 ISE-PIC节点后,节点将互相通信。系统将检查每个思科 ISE-PIC 节点的 FQDN,以确保其匹配(例如 ise1.cisco.com 和 ise2.cisco.com,如果使用通配符证书,则为 *.cisco.com)。此外,当外部机器向思科 ISE-PIC服务器提供证书时,将根据思科 ISE-PIC服务器中的证书对提供用于身份验证的外部证书进行检查(或匹配)。如果两个证书匹配,则身份验证成功。
思科 ISE-PIC 按以下方式检查匹配的主题名称:
-
思科 ISE-PIC 查看证书的主题别名扩展。如果 SAN 包含一个或多个 DNS 名称,则其中必须有一个 DNS 名称与思科 ISE 节点的 FQDN 相匹配。如果使用通配符证书,则通配符域名必须与思科 ISE 节点的 FQDN 中的域匹配。
-
如果使用者备选名称中不包含 DNS 名称、或使用者备选名称完全缺失,则证书使用者 (Subject) 字段中的公用名称或使用者 (Subject) 字段中的通配符域必须与节点的 FQDN 匹配。
-
如果未找到匹配项,则会拒绝该证书。