选择节点 (Select Node)

（必填）选择您要导入系统证书的Cisco ISE 节点。

证书文件 (Certificate File)

（必填）点击浏览 (Browse)，从本地系统中选择证书文件。

私钥文件 (Private Key File)

（必填）点击 浏览 (Browse) 选择私钥文件。

密码 (Password)

（必填）输入密码以解密私钥文件。

友好名称 (Friendly Name)

输入证书的友好名称。如果未指定名称，Cisco ISE 会自动创建以下格式的名称：<common name> # <issuer> # <nnnnn>，其中 <nnnnn> 是唯一的五位数数字。

允许通配符证书 (Allow Wildcard Certificates)

如果要导入通配符证书，请选中此复选框。通配符证书使用通配符表示法（在域名前使用一个星号和句点）并且允许在组织中的多个主机之间共享该证书。

如果选中此复选框，Cisco ISE 会将此证书导入到部署中的所有其他节点。

验证证书扩展名 (Validate Certificate Extensions)

如果希望Cisco ISE 验证证书扩展，请选中此复选框。如果选中此复选框，并且要导入的证书包含 CA 标志设为 true 的基本限制扩展，请确保密钥用法扩展存在，并且设置了 keyEncipherment 位和/或 keyAgreement 位。

使用情况 (Usage)

选择应使用此系统证书的服务：

• 管理员 (Admin)：用于确保与部署中的管理员门户和 ISE 节点之间安全通信的服务器证书

  注	在主 PAN 上更改管理员角色证书时会在所有其他节点上重新启动服务。

• EAP 身份验证 (EAP Authentication)：用于使用 EAP 协议建立 SSL/TLS 隧道的身份验证的服务器证书

• RADIUS DTLS：用于 RADIUS DTLS 身份验证的服务器证书

• pxGrid：用于确保 pxGrid 客户端和服务器之间的安全通信的客户端和服务器证书。

• ISE 消息服务 (ISE Messaging Service)：用于经思科 ISE 消息传递的系统日志 (Syslog Over Cisco ISE Messaging) 功能，此功能可以对内置 UDP 系统日志收集目标（LogCollector 和 LogCollector2）实现 MnT WAN 有效性。

• SAML：用于确保与 SAML 身份提供程序 (IdP) 之间的安全通信的服务器证书。指定用于 SAML 的证书不可用于任何其他服务（例如管理员和 EAP 身份验证等）。

• 门户 (Portal)：用于确保与所有Cisco ISE Web 门户的安全通信的服务器证书。

选择节点 (Select Node)

（必填）您要生成系统证书的节点。

公共名称 (CN) (Common Name [CN])

（如果您不指定 SAN，则此字段必填）默认情况下，Common Name 为您要生成自签证书的 ISE 节点的完全限定域名。

组织单位 (OU) (Organizational Unit [OU])

组织单位名称。例如，Engineering。

组织 (O) (Organization [O])

组织名称。例如，Cisco。

城市 (L) (City [L])

（请勿缩写）城市名称。例如，圣何塞。

省/自治区/直辖市 (ST) (State [ST])

（请勿缩写）省/自治区/直辖市名称。例如，加州。

国家/地区 (C) (Country [C])

国家/地区名称。必须输入两个字母 ISO 国家/地区代码。例如，US。

主体可选名称 (SAN) (Subject Alternative Name [SAN])

与该证书关联的 IP 地址、DNS 名称或统一资源标识符 (URI)。

密钥类型 (Key Type)

指定要用于创建公共密钥的算法：RSA 或 ECDSA。

密钥长度 (Key Length)

• 512

• 1024

• 2048

• 4096

• 256

• 384

如果您计划获得公共 CA 签名的证书或将思科 ISE 部署为符合 FIPS 的策略管理系统，请选择 2048。

签名摘要 (Digest to Sign With)

选择下列散列算法之一：SHA-1 或 SHA-256。

证书策略 (Certificate Policies)

输入证书应符合的证书策略 OID 或 OID 列表。使用逗号或空格分隔 OID。

过期 TTL (Expiration TTL)

指定证书到期之前的天数。

友好名称 (Friendly Name)

输入证书的友好名称。如果未指定名称，Cisco ISE 会自动创建以下格式的名称：<common name> # <issuer> # <nnnnn>，其中 <nnnnn> 是唯一的五位数数字。

允许通配符证书 (Allow Wildcard Certificates)

如果要生成自签名通配符证书，请选中此复选框。通配符证书使用通配符表示法（在域名前使用一个星号和句点）并且允许在组织中的多个主机之间共享该证书。

使用情况 (Usage)

选择应使用此系统证书的服务：

• 管理 (Admin)：用于确保与部署中的管理员门户和 ISE 节点之间安全通信的服务器证书。

• EAP 身份验证 (EAP Authentication)：用于使用 EAP 协议建立 SSL/TLS 隧道的身份验证的服务器证书。

• RADIUS DTLS：用于 RADIUS DTLS 身份验证的服务器证书。

• pxGrid：用于确保 pxGrid 客户端和服务器之间的安全通信的客户端和服务器证书。

• SAML：用于确保与 SAML 身份提供程序 (IdP) 之间的安全通信的服务器证书。指定用于 SAML 的证书不可用于任何其他服务（例如管理员和 EAP 身份验证等）。

• 门户 (Portal)：用于确保与所有Cisco ISE Web 门户的安全通信的服务器证书。

友好名称 (Friendly Name)

显示证书的名称。

状态 (Status)

“启用”(Enabled) 或“禁用”(Disabled)。如果选择“禁用”(Disabled)，ISE 将不使用此证书建立信任。

信任范围 (Trusted for)

显示使用此证书的服务。

颁发给 (Issued To)

证书使用者的通用名称 (CN)。

颁发者 (Issued By)

证书颁发者的通用名称 (CN)。

生效日期 (Valid From)

“开始时间”证书属性。

到期日期 (Expiration Date)

“截止时间”证书属性。

到期状态 (Expiration Status)

提供有关证书到期状态的信息。此列显示五个图标和提示消息类别：

• 绿色：距到期还有 90 天以上

• 蓝色：距到期还有 90 天或更短

• 黄色：距到期还有 60 天或更短

• 橙色：距到期还有 30 天或更短

• 红色：已到期

证书颁发者 (Certificate Issuer)

友好名称 (Friendly Name)

输入证书的友好名称。

状态 (Status)

选择“启用”(Enabled) 或“禁用”(Disabled)。如果选择“禁用”(Disabled)，ISE 将不使用此证书建立信任。

说明

输入可选的说明。

使用情况 (Usage)

信任 ISE 中的身份验证 (Trust for authentication within ISE)

如果您想要使用此证书验证服务器证书（从其他 ISE 节点或 LADP 服务器），请选中此复选框。

信任客户端身份验证和系统日志 (Trust for client authentication and Syslog)

（仅适用于选中“信任 ISE 中的身份验证”(Trust for authentication within ISE) 复选框的情况）如果您想将此证书用于以下用途，请选中此复选框：

• 对使用 EAP 协议连接至 ISE 的终端进行身份验证

• 信任系统日志服务器

信任思科服务的身份验证 (Trust for authentication of Cisco Services)

如果您希望将此证书用于信任源服务等外部Cisco服务，请选中此复选框。

证书状态验证 (Certificate Status Validation)

ISE 支持使用两种方法检查特定 CA 颁发的客户端或服务器证书的吊销状态。第一种方法是使用在线证书状态协议 (OCSP) 验证证书，其将向 CA 维护的 OCSP 服务发送请求。第二种方法是按照从 CA 下载至 ISE 的证书吊销列表 (CRL) 验证证书。可以同时启用这两种方法，在这种情况下首先使用 OCSP 方法，只有在无法确定证书状态时，才会使用 CRL 方法。

验证 OCSP 服务 (Validate Against OCSP Service)

选中此复选框以按照 OCSP 服务验证证书。您必须先创建 OCSP 服务才能选中此复选框。

如果 OCSP 返回未知状态则拒绝请求 (Reject the request if OCSP returns UNKNOWN status)

如果 OCSP 无法确定证书状态，则选中此复选框以拒绝请求。在选中此复选框的情况下，如果 OCSP 服务返回未知状态值，此服务将导致 ISE 拒绝当前评估的客户端或服务器证书。

OCSP 响应器无法访问时拒绝请求 (Reject the request if OCSP Responder is unreachable)

选中此复选框供 ISE 在 OCSP 响应器无法访问时拒绝请求。

下载 CRL (Download CRL)

选中此复选框以使Cisco ISE 下载 CRL。

CRL 分类的 URL (CRL Distribution URL)

输入用于从 CA 下载 CRL 的 URL。如果在证书颁发机构证书中指定了 URL，则系统会自动填写此字段。URL 必须以“http”、“https”或“ldap”开头。

检索 (Retrieve CRL)

可以自动或定期下载 CRL。请配置下载时间间隔。

如果下载失败，请稍候 (If download failed, wait)

配置在Cisco ISE 再次尝试下载 CRL 之前等待的时间间隔。

如果 CRL 没有收到，绕过此 CRL 验证 (Bypass CRL Verification if CRL is not Received)

选中此复选框，以使系统在收到 CRL 之前接受客户端请求。如果取消选中此复选框，Cisco ISE 会拒绝使用选定 CA 签名的证书的所有客户端请求，直到收到 CRL 文件为止。

忽略 CRL 无效或已过期 (Ignore that CRL is not yet valid or expired)

如果您希望Cisco ISE 忽略开始日期和到期日期并继续使用非活动或已过期 CRL 以及根据 CRL 内容允许或拒绝 EAP-TLS 身份验证，请选中此复选框。

如果您希望Cisco ISE 在 Effective Date 字段指定的开始日期和 Next Update 字段指定的到期日期检查 CRL 文件，请取消选中此复选框。如果 CRL 尚未激活或已到期，Cisco ISE 会拒绝使用此 CA 签名的证书的所有身份验证。

证书文件 (Certificate File)

点击浏览 (Browse) 从运行浏览器的计算机选择证书文件。

友好名称 (Friendly Name)

输入证书的友好名称。如果不指定名称，Cisco ISE 会自动按照 <通用名称># <颁发者># <nnnnn> 的格式创建名称，其中 <nnnnn> 为唯一的五位数编号。

信任 ISE 中的身份验证 (Trust for authentication within ISE)

如果您希望将此证书用于验证服务器证书（从其他 ISE 节点或 LDAP 服务器），请选中此复选框。

信任客户端身份验证和系统日志 (Trust for client authentication and Syslog)

（仅在选中了“信任 ISE 中的身份验证”(Trust for authentication within ISE) 复选框时适用）如果您想将此证书用于以下用途，请选中此复选框：

• 对使用 EAP 协议连接至 ISE 的终端进行身份验证

• 信任系统日志服务器

信任思科服务的身份验证 (Trust for authentication of Cisco Services)

如果您希望将此证书用于信任源服务等外部Cisco服务，请选中此复选框。

验证证书扩展名 (Validate Certificate Extensions)

（仅适用于同时选中“信任客户端身份验证和系统日志”(Trust for client authentication and Syslog) 选项和“证书扩展上启用验证”(Enable Validation of Certificate Extensions) 选项的情况下）确保有“keyUsage”扩展并且设置了“keyCertSign”位，而且有将 CA 标志设置为 true 的基本限制扩展。

说明

输入可选的说明。

证书将用于 (Certificate(s) will be used for)

选择即将对其使用证书的服务：

思科 ISE 身份证书

• 多用途 (Multi-Use)：用于多种服务（管理员、EAP-TLS 身份验证、pxGrid 和门户）。多用途证书同时使用客户端和服务器密钥用法。签名 CA 的证书模板通常称为计算机证书模板。此模板具有以下属性：

  • Key Usage (密钥使用)：数字签名（签名）

  • Extended Key Usage (扩展密钥使用)：TLS Web 服务器身份验证 (1.3.6.1.5.5.7.3.1) 和 TLS Web 客户端身份验证 (1.3.6.1.5.5.7.3.2)

• 管理 (Admin) - 用于服务器身份验证（以确保与管理员门户之间的安全通信，以及部署中 ISE 节点之间的安全通信）。签名 CA 的证书模板通常称为 Web 服务器证书模板。此模板具有以下属性：

  • Key Usage (密钥使用)：数字签名（签名）

  • 扩展密钥使用 (Extended Key Usage)：TLS Web 服务器身份验证 (1.3.6.1.5.5.7.3.1)

• EAP 身份验证 (EAP Authentication)：用于服务器身份验证。签名 CA 的证书模板通常称为计算机证书模板。此模板具有以下属性：

  • Key Usage (密钥使用)：数字签名（签名）

  • 扩展密钥使用 (Extended Key Usage)：TLS Web 服务器身份验证 (1.3.6.1.5.5.7.3.1)

  注	EAP-TLS 客户端证书需要使用数字签名密钥。

• RADIUS DTLS：用于 RADIUS DTLS 服务器身份验证。此模板具有以下属性：

  • Key Usage (密钥使用)：数字签名（签名）

  • 扩展密钥使用 (Extended Key Usage)：TLS Web 服务器身份验证 (1.3.6.1.5.5.7.3.1)

• ISE 消息服务 (ISE Messaging Service)：用于“经Cisco ISE 消息传递的系统日志” 功能，此功能可以对内置 UDP 系统日志收集目标（LogCollector 和 LogCollector2）实现 MnT WAN 有效性。

  • Key Usage (密钥使用)：数字签名（签名）

  • 扩展密钥使用 (Extended Key Usage)：TLS Web 服务器身份验证 (1.3.6.1.5.5.7.3.1)

• 门户 (Portal)：用于服务器身份验证（以确保与所有 ISE Web 门户之间的安全通信）。签名 CA 的证书模板通常称为计算机证书模板。此模板具有以下属性：

  • Key Usage (密钥使用)：数字签名（签名）

  • 扩展密钥使用 (Extended Key Usage)：TLS Web 服务器身份验证 (1.3.6.1.5.5.7.3.1)

• pxGrid - 同时用于客户端和服务器身份验证（以确保 pxGrid 客户端与服务器之间的安全通信）。签名 CA 的证书模板通常称为计算机证书模板。此模板具有以下属性：

  • Key Usage (密钥使用)：数字签名（签名）

  • Extended Key Usage (扩展密钥使用)：TLS Web 服务器身份验证 (1.3.6.1.5.5.7.3.1) 和 TLS Web 客户端身份验证 (1.3.6.1.5.5.7.3.2)

• SAML：用于确保与 SAML 身份提供程序 (IdP) 之间的安全通信的服务器证书。指定用于 SAML 的证书不可用于任何其他服务（例如管理员和 EAP 身份验证等）。

  • Key Usage (密钥使用)：数字签名（签名）

  • 扩展密钥使用 (Extended Key Usage)：TLS Web 服务器身份验证 (1.3.6.1.5.5.7.3.1)

source=local ; type=fatal ; message="unsupported certificate" 

思科 ISE 证书颁发机构颁发的证书

• ISE 根 CA (ISE Root CA) -（仅适用于内部 CA 服务）用于重新生成整个内部 CA 证书链，包括主 PAN 上的根 CA 和 PSN 上的辅助 CA。

• ISE 中间 CA (ISE Intermediate CA)：（仅适用于当 ISE 用作外部 PKI 的中间 CA 时的内部 CA 服务）用于在主 PAN 上生成中间 CA 证书，在 PSN 上生成从属 CA 证书。签名 CA 的证书模板通常称为辅助证书颁发机构。此模板具有以下属性：

  • 基本约束 (Basic Constraints)：关键、是证书颁发机构

  • 密钥使用 (Key Usage)：证书签名、数字签名

  • 扩展密钥使用 (Extended Key Usage)：OCSP 签名 (1.3.6.1.5.5.7.3.9)

• 更新 ISE OCSP 响应方证书 (Renew ISE OCSP Responder Certificates)：（仅适用于内部 CA 服务）用于更新整个部署的 ISE OCSP 响应方证书（不是证书签名请求）。出于安全原因，建议您每六个月更新一次 ISE OCSP 响应方证书。

允许通配符证书 (Allow Wildcard Certificates)

选中此复选框以在 CN 中和/或证书的 SAN 字段的 DNS 名称中使用通配符 (*)。如果选中此复选框，系统会自动选择部署中的所有节点。必须在最左侧的标签位置使用星号 (*) 通配符。如果使用通配符证书，我们建议您对域名空间进行分区以提高安全性。例如，可以将域空间分区为 *.amer.example.com，而不是 *.example.com。如果不对域进行分区，可能会导致安全问题。

为这些节点生成 CSR (Generate CSRs for these Nodes)

选中要为其生成证书的节点旁边的复选框。要为部署中的选定节点生成 CSR，必须取消 Allow Wildcard Certificates 选项。

公共名称 (CN) (Common Name [CN])

默认情况下，公用名是您正为其生成 CSR 的 ISE 节点的 FQDN。$FQDN$ 表示 ISE 节点的 FQDN。当为部署中的多个节点生成 CSR 时，CSR 中的 Common Name 字段会替换为各个 ISE 节点的 FQDN。

组织单位 (OU) (Organizational Unit [OU])

组织单位名称。例如，Engineering。

组织 (O) (Organization [O])

组织名称。例如，Cisco。

城市 (L) (City [L])

（请勿缩写）城市名称。例如，圣何塞。

省/自治区/直辖市 (ST) (State [ST])

（请勿缩写）省/自治区/直辖市名称。例如，加州。

国家/地区 (C) (Country [C])

国家/地区名称。必须输入两个字母 ISO 国家/地区代码。例如，US。

主体可选名称 (SAN) (Subject Alternative Name [SAN])

“IP 地址”(IP address)、“DNS 名称”(DNS name)、“统一资源标识符”(Uniform Resource Identifier, URI) 或与证书关联的“目录名称”(Directory Name)。

• DNS 名称 (DNS name)：如果选择“DNS 名称”(DNS name)，请输入 ISE 节点的完全限定域名。如果已启用 Allow Wildcard Certificates 选项，请指定通配符符号（域名前的星号和句号）。例如：*.amer.example.com。

• IP 地址 (IP address)：将与证书关联的 ISE 节点的 IP 地址。

• 统一资源标识符 (Uniform Resource Identifier)：您希望与证书关联的 URI。

• 目录名称 (Directory Name)：根据 RFC 2253 定义的可区分名称 (DN) 的字符串表示。使用逗号 (,) 隔开多个 DN。对于“dnQualifier”RDN，避免使用逗号而是使用反斜杠“\”作为分隔符。例如，CN=AAA,dnQualifier=O=Example\,DC=COM,C=IL

密钥类型 (Key Type)

指定要用于创建公共密钥的算法：RSA 或 ECDSA。

密钥长度 (Key Length)

指定公共密钥的位大小。

以下选项可用于 RSA：

• 512

• 1024

• 2048

• 4096

以下选项可用于 ECDSA：

• 256

• 384

如果计划获取公共的 CA 签名证书，请选择 2048 或更大长度。

签名摘要 (Digest to Sign With)

选择下列散列算法之一：SHA-1 或 SHA-256。

证书策略 (Certificate Policies)

输入证书应符合的证书策略 OID 或 OID 列表。使用逗号或空格分隔 OID。

证书检查设置

“对照自动撤销的 CRL 检查正在进行的会话”(Check ongoing sessions against automatically retrieved CRL)

如果您希望Cisco ISE 对照自动下载的 CRL 检查正在进行的会话，选中此复选框。

CRL/OCSP 定期检查证书

首先检查

指定一天中的某个时间作为 CRL 或 OCSP 每天应当开始检查的时间。输入00:00 和 23:59 小时之间的数值

检查每

指定Cisco ISE 需要等待的时间间隔（按小时计），在此间隔之后再次对 CRL 或 OCSP 服务器进行检查。