基本设置

管理门户

管理门户提供思科 ISE 配置和报告的访问权限。下图显示管理门户菜单栏的主要元素。

图 1. 思科 ISE 管理门户
表 1. 思科 ISE 管理门户的组件

1

菜单下拉列表

左侧窗格中的菜单选项包括:

  • 情景可视性 (Context Visibility):情景可视性窗口显示有关终端、用户和网络访问设备 (NAD) 的信息。情景可视性信息按功能、应用、自带设备 (BYOD) 和其他类别进行分组,具体取决于您注册的许可证。情景可视性窗口使用中央数据库并从数据库表、缓存和缓冲区收集信息。因此,情景可视性 Dashlet 和列表中的内容会快速更新。情景可视性窗口由上方的 Dashlet 和底部的信息列表组成。通过修改列表中的列属性来过滤数据时,Dashlet 会刷新以显示修改的内容。

  • 操作:操作窗口包括用于查看 RADIUS、TACACS+ 和 TC-NAC 实时日志的工具、自适应网络控制 (ANC) 策略以及用于诊断和调试与思科 ISE 部署相关的问题的故障排除选项。

  • 策略 (Policy):“策略”(Policy) 窗口包含用于管理身份验证、授权、分析、安全评估和客户端调配区域中的网络安全的工具。

  • 管理 (Administration):“管理”(Administration) 窗口包含用于管理思科 ISE 节点、许可证、证书、网络设备、用户、终端和访客服务的工具。

  • 工作中心:工作中心列出了以下可扩展的子菜单。这些子菜单是思科 ISE 管理员配置思科 ISE 部署中相关功能的单一起点。

    • 网络接入

    • Guest Access

    • TrustSec

    • 自带设备

    • Profiler

    • 终端安全评估

    • 设备管理

    • PassiveID

2

右上角菜单图标

  • 显示通知的数量。将鼠标悬停在数字上,以显示列表。在示例中,许可证错误掩盖了通知。

  • 使用此图标搜索终端并按配置文件、故障、身份库、位置、设备类型等显示其分布。

  • 点击此图标可查看一个下拉列表,您可以通过该下拉列表访问当前显示页面的在线帮助,以及指向思科 ISE 社区、门户生成器等位置的链接。

  • 用户配置文件图片。对于该 ISE 服务器:

    • 运行“设置助理:访问”(Setup Assistant: Access) 向导可创建基本配置,以演示网络中的思科 ISE 特性功能。

    • 查看网络设备配置

    • 服务器信息

  • 点击此图标可查看系统活动的菜单,包括启动在线帮助和配置帐户设置。

思科 ISE 主页控制板

思科 ISE 主页控制板显示对于有效地进行监控和故障排除很重要的综合性相关统计数据。控制板元素通常显示 24 小时内的活动。下图是思科 ISE 控制板上提供的一些信息示例。仅可以在主策略管理节点 (PAN) 门户上查看思科 ISE 控制板数据。

图 2. 思科 ISE 主页控制板
思科 ISE 主页控制板

主页有五个显示思科 ISE 数据的默认控制板。其中每个控制板都有多个预定义的 Dashlet。

  • 摘要 (Summary):此控制板包含线性指标 Dashlet、饼形图 Dashlet 和列表 Dashlet。指标 Dashlet 不可配置。默认情况下,此控制面板包含状态 (Status)终端 (Endpoints)终端类别 (Endpoint Categories)网络设备 (Network Devices) 面板。

  • 终端 (Endpoints):默认情况下,此控制板包含状态 (Status)终端 (Endpoints)终端类别 (Endpoint Categories)网络设备 (Network Devices) Dashlet。

  • 访客 (Guests):此控制板包含提供有关访客用户类型、登录失败和活动位置的信息的 Dashlet。

  • 漏洞 (Vulnerability):此控制板显示漏洞服务器向思科 ISE 报告的信息。

  • 威胁 (Threat):此控制板显示从威胁服务器报告发送给思科 ISE 的信息。

配置主页控制面板

您可以点击页面右上角的齿轮图标来自定义主页控制板:

图 3. 自定义控制板
自定义思科 ISE 控制面板

下拉列表中显示以下选项:

  • 添加新控制板 (Add New Dashboard) 可以让您添加新的控制板。在显示的字段中输入值,然后点击应用 (Apply)

  • 添加 Dashlet (Add Dashlet(s)) 会显示一个对话框,其中包含可用的 Dashlet 列表。点击 Dashlet 名称旁边的添加 (Add)删除 (Remove),可从控制板添加或删除 Dashlet。

  • 导出 (Export) 会将选定的主页视图保存为 PDF。

  • 布局模板 (Layout Template) 会配置此视图中显示的列数。

  • 管理控制板 (Manage Dashboards) 包含两个选项:

    • 标记为默认控制板 (Mark As Default Dashboard):选择此选项可将当前控制板设为您选择主页时的默认视图。

    • 重置所有控制板 (Reset All Dashboards):使用此选项可以重置所有控制板,并删除所有主页控制板上的配置。

情景可视性视图

情景可视性 (Context Visibility) 窗口的结构类似于主页,不同之处在于“情景可视性”(Context Visibility) 窗口:

  • 当您过滤显示数据时,保留当前环境(浏览器窗口)

  • 可定制程度更高

  • 侧重终端数据

您可以仅从主 PAN 上查看情景可视性数据。

情景可视性 (Context Visibility) 窗口中的 Dashlet 显示有关终端和终端到 NAD 的连接信息。当前显示的信息取决于每个窗口上的 Dashlet 下数据列表中的内容。每个窗口会根据选项卡名称显示终端数据。过滤数据时,列表和 Dashlet 都将更新。您可以点击圆形图的一个或多个部分,也可以过滤表中的行,或者任意组合这些操作来过滤数据。在您选择过滤器时,效果是可以叠加的,也称为级联过滤器,可让您深入查找想要的特定数据。您也可以点击列表中的终端,获得该终端的详细视图。

情景可视性 (Context Visibility) 下有 个主视图

  • 终端 (Endpoints):根据设备类型、合规状态、身份验证类型、等过滤要查看的终端。



    我们建议在网络访问设备 (NAD) 上启用记账设置,以确保将记账开始和更新信息发送到思科 ISE。

    仅当启用记账后,思科 ISE 才能收集记账信息,如最新的 IP 地址、会话状态(已连接、已断开或已拒绝)、终端的非活动天数。这些信息显示在实时日志 (Live Logs)实时会话 (Live Session)情景可视性 (Context Visibility) 窗口中。在 NAD 上禁用记账时,实时日志 (Live Logs)实时会话 (Live Session)情景可视性 (Context Visibility) 窗口之间的记账信息可能缺失、不正确或不匹配。




    通过思科 ISE 管理门户主页上提供的可视性设置 (Visibility Setup) 工作流程,您可以为终端发现添加 IP 地址范围列表。配置此工作流程后,思科 ISE 会对终端进行身份验证,但未包含在配置的 IP 地址范围内的终端不会显示在情景可视性 (Context Visibility) > 终端 (Endpoints) 窗口和终端 (Endpoints) 列表页面(工作中心 (Work Centers) > 网络访问 (Network Access) > 身份 (Identities) > 终端 (Endpoints))。


  • 网络设备 (Network Devices):此窗口会显示已连接终端的 NAD 列表。对于任何 NAD,请单击相应的终端数量 (# of endpoints) 列中显示的终端数量。系统将显示一个窗口,其中会列出该 NAD 过滤的所有设备。



    如果已使用 SNMPv3 参数配置网络设备,则无法生成思科 ISE 监控服务提供的网络设备会话状态摘要 (Network Device Session Status Summary) 报告(操作 (Operations) > 报告 (Reports) > 目录 (Catalog) > 网络设备 (Network Device) > 会话状态摘要 (Session Status Summary))。如果网络设备使用 SNMPv1 或 SNMPv2c 参数配置,则可以成功生成此报告。


您可以在情景可视性 (Context Visibility) 窗口中创建新的选项卡,然后创建自定义列表来进行其他过滤。自定义视图不支持 Dashlet。

单击 Dashlet 中圆形图的一部分,以查看包含该 Dashlet 的已过滤数据的新窗口。在该新窗口中,您可以继续过滤显示的数据,如在视图中过滤显示的数据中所述。

有关使用情景可视性窗口来查找终端数据的详细信息,请参阅以下使用 ISE 2.1 https://www.youtube.com/watch?v=HvonGhrydfg 的思科 YouTube 视频。

Dashlet

下图是 Dashlet 的示例:

组件示例
网络设备
  1. 堆叠窗口符号“分离”,打开新窗口图标表示可在新的浏览器窗口中打开此 Dashlet。饼图将会刷新。单击 X 以删除此 Dashlet。此选项仅在主页上可用。使用屏幕右上角的齿轮符号可删除“情景可视性”(Context Visibility) 窗口中的 Dashlet。

  2. 某些 Dashlet 具有不同类别的数据。点击类别以查看该数据集的饼形图。

  3. 饼形图显示您已选择的数据。单击其中一个饼形区域将在新选项卡中打开,其中包含基于该饼形区域过滤得到的数据。

单击主页控制面板中的饼图部分,在新的浏览器窗口中打开该图表。新窗口将显示按单击的饼图部分过滤的数据。

当您在“情景可视性”(Context Visibility) 窗口中单击饼图的一部分时,显示的数据会被过滤,但情景不会发生变化。您在同一浏览器窗口中查看过滤的数据。

在视图中过滤显示的数据

当您在“情景可视性”(Context Visibility) 窗口中单击 dashlet 时,相应的数据将按您单击和显示的项目进行过滤。例如,当您单击饼图的某个部分时,系统会过滤并显示所选部分的数据。

终端配置文件

网络设备 - 设备名称

如果在终端 (Endpoints) Dashlet 中单击 mobil…vices则窗口将刷新显示并包含两个终端 (Endpoints) Dashlets、一个网络设备 Dashlet 和一个数据列表。这些 Dashlet 和列表显示移动设备的数据,如以下示例所示系统会显示包含数据的新窗口,如下图所示

移动设备的 Dashlet 和列表显示数据

您可以通过点击饼图的更多部分或者通过数据列表上的控件来继续过滤数据。

用于过滤数据的选项

  1. 齿轮图标过滤显示的列。从下拉列表中,选择要在此控制面板列表中查看的列。

  2. 默认会显示快速过滤器。在框中(标签号 3)输入字符可根据结果来过滤列表。自定义过滤器提供更精细的过滤器,如下图所示:

自定义过滤器

保存您的自定义过滤器。

创建自定义过滤器

创建并保存只有您才能访问的用户特定的自定义过滤器。其他登录思科 ISE 的用户无法查看您创建的自定义过滤器。这些自定义过滤器不会保存在思科 ISE 数据库中。您可以从登录思科 ISE 的任何计算机或浏览器访问它们。

过程


步骤 1

单击显示 (Show),然后从下拉列表中选择高级过滤器 (Advanced Filter)

步骤 2

从 Filter 菜单中指定搜索属性,如字段、运算符和值。

步骤 3

点击 + 可添加更多条件。

步骤 4

点击 Go 可显示与指定属性匹配的条目。

步骤 5

单击保存 (Save) 以保存过滤器。

步骤 6

输入名称,然后点击 Save。过滤器现在会出现在过滤器 (Filter) 下拉列表中。


使用高级过滤器按条件过滤数据

您可以使用高级过滤器根据指定的条件(例如 First Name = Mike and User Group = Employee)过滤信息。您可以指定不止一个条件。

过程


步骤 1

单击显示 (Show),然后选择高级过滤器 (Advanced Filter) 下拉列表。

步骤 2

从过滤器菜单指定搜索属性(例如字段、运算符和值)。

步骤 3

单击 + 可添加更多条件。

步骤 4

单击开始 (Go) 可查看与指定属性匹配的条目。


使用快速过滤器按字段属性过滤数据

通过快速过滤器,您可以输入列表页面中显示的任何字段属性的值,引用页面,并且仅列出与筛选条件相匹配的记录。

过程


步骤 1

单击显示 (Show),然后从下拉列表中选择快速过滤器 (Quick Filter)

步骤 2

在一个或多个属性字段中输入搜索条件,然后与指定属性相匹配的条目会自动显示。


Dashlet 视图中的终端操作

列表顶部的工具栏允许您对所选列表中的终端执行操作。并非每个列表都启用了所有操作。某些操作要取决于所启用的功能。以下列表显示了必须在思科 ISE 中启用后才能使用的两项终端操作。

  • 自适应网络控制操作

    如果启用了自适应网络控制服务,您可以选择列表中的终端,并分配或撤销网络访问。您也可以发出授权更改。

    自适应网络服务 (Adaptive Network Service) 窗口中启用思科 ISE 中的自适应网络服务或终端保护服务。在思科 ISE GUI 中,单击菜单图标 () 并选择管理 (Administration) > 系统 (System) > 设置 (Settings) > 终端保护服务 (Endpoint Protection Service) > 自适应网络控制 (Adaptive Network Control)。有关详细信息,请参阅在思科 ISE 中启用

    当您单击主页 Dashlet 上的饼形图时,显示的新窗口将包含 ANC更改授权 (Change Authorization) 选项。选中要对其执行操作的终端的复选框,然后从 ANC更改授权 (Change Authorization) 的下拉列表中选择必要的操作。

    图 4. Dashlet 视图中的终端操作
    Dashlet 视图中的终端操作
  • MDM 操作

    如果将 MDM 服务器连接到思科 ISE,则可以在所选终端上执行 MDM 操作。从 MDM 操作 (MDM Actions) 下拉列表中选择必要的操作。

思科 ISE 控制面板

思科 ISE 控制板或主页(主页 (Home) > 摘要 (Summary))是您登录思科 ISE 管理门户之后会看到的登录页面。此控制面板是一个集中管理控制台,由窗口顶部的仪表和下面的 Dashlet 组成。默认控制板为摘要 (Summary)终端 (Endpoints)客户 (Guests)漏洞 (Vulnerability)威胁 (Threat)

控制板的实时数据概要显示访问您的网络的设备和用户的状态以及系统的运行状况。



必须安装有 Adobe Flash Player,才可以正常查看 Dashlet 以及所有相应的向下钻取窗口。


您不能重命名或删除默认控制面板。
  • 分离 (Detach):在单独的窗口中查看 Dashlet。

  • 刷新 (Refresh):刷新 Dashlet。

  • 删除 (Remove):从控制板中删除 Dashlet。

思科 ISE 国际化和本地化

思科 ISE 国际化调整用户界面以适应受支持的语言。用户界面本地化采用区域特定组件和翻译文本。在 Windows、MAC OSX 和 Android 设备中,本地请求方调配向导可用于以下任何受支持的语言。

在思科 ISE 中,国际化和本地化支持专注于支持(面向最终用户的门户中的)采用 UTF-8 编码的非英语文本以及管理门户中的选择性字段。

支持的语言

思科 ISE 为以下语言和浏览器区域设置提供本地化和国际化支持。

表 2. 支持的语言和区域设置

语言

浏览器区域设置

中文(繁体)

zh-tw

中文(简体)

zh-cn

捷克语

cs-cz

荷兰语

nl-nl

英语

en

法语

fr-fr

德语

de-de

匈牙利语

hu-hu

意大利语

it-it

日语

ja-jp

韩语

ko-kr

波兰语

pl-pl

葡萄牙语(巴西)

pt-br

俄语

ru-ru

西班牙语

es-es

最终用户 Web 门户本地化

访客门户、发起人门户、我的设备门户和客户端调配门户会本地化为所有受支持的语言和区域设置。这包括文本、标签、消息、字段名称和按钮标签。如果客户端浏览器请求的区域设置未映射到思科 ISE 中的模板,则门户会使用英语模板显示内容。

通过使用管理门户,您可以针对每种语言修改用于访客门户、发起人门户和我的设备门户的字段。您还可以添加其他语言。当前,您无法自定义客户端调配门户的这些字段。

您可以通过将 HTML 页面上传到思科 ISE,进一步自定义访客门户。上传自定义页面时,您负责为部署提供相应的本地化支持。思科 ISE 通过可以用作指南的样本 HTML 页面提供本地化支持示例。思科 ISE 可以让您上传、存储和呈现自定义国际化 HTML 页面。



NAC 和 MAC 代理安装程序及 WebAgent 页面未本地化。


支持 UTF-8 字符数据条目

向最终用户公开的思科 ISE 字段(通过思科客户端代理或请求方,或者发起人门户、访客门户、我的设备门户和客户端调配门户)支持所有语言的 UTF-8 字符集。UTF-8 是 Unicode 字符集的多字节字符编码,其中包括许多不同语言字符集,例如希伯来语、梵语和阿拉伯语。

字符集以 UTF-8 形式存储在管理配置数据库中,并且 UTF-8 字符集正确显示在报告和用户界面组件中。

UTF-8 凭证身份验证

网络访问身份验证支持 UTF-8 用户名和密码凭证。这包括来自访客和管理门户登录身份验证的 RADIUS、扩展身份验证协议 (EAP)、RADIUS 代理、RADIUS 令牌和 Web 身份验证。对用户名和密码的 UTF-8 支持适用于对照本地身份库及外部身份库进行的身份验证。

UTF-8 身份验证取决于用于网络登录的客户端请求方。某些 Windows 本地请求方不支持 UTF-8 凭证。



RSA 不支持 UTF-8 用户,因此,使用 RSA 的 UTF-8 身份验证不受支持。兼容思科 ISE 的 RSA 服务器也不支持 UTF-8。


UTF-8 策略和安全评估

思科 ISE 中以属性值为条件的策略规则可以包含 UTF-8 文本。规则评估支持使用 UTF-8 属性值。此外,也可以通过管理门户使用 UTF-8 值配置条件。

终端安全评估要求根据 UTF-8 字符集修改为文件、应用和服务条件。 这包括向 NAC 代理发送 UTF-8 要求。然后,NAC 代理相应地评估终端,并且在适当的情况下报告 UTF-8 值。

思科 NAC 和 MAC 代理 UTF-8 支持

思科 NAC 代理支持文本、消息以及与思科 ISE 互换的任何 UTF-8 数据的国际化。这包括在条件中使用的要求消息、要求名称,以及文件和流程名称。

以下限制适用:

  • UTF-8 支持仅适用于基于 Windows 的 NAC 代理。

  • 思科 NAC 和 MAC 代理界面目前不支持本地化。

  • WebAgent 不支持基于 UTF-8 的规则和要求。

  • 如果已配置可接受使用政策 (AUP),则根据在配置中指定的浏览器区域设置和语言集,在客户端提供策略页面。您负责提供本地化 AUP 捆绑包或网站 URL。

对发送至请求方的消息的 UTF-8 支持

RSA 提示符和消息使用 RADIUS 属性 REPLY-MESSAGE 转发到请求方,或者在 EAP 数据中。如果文本包含 UTF-8 数据,请求方将根据客户端的本地操作系统语言支持显示文本。某些 Windows 本地请求方不支持 UTF-8 凭证。

思科 ISE 提示和消息可能与请求方运行所在的客户端操作系统的区域设置不同步。您必须调整最终用户请求方区域设置与思科 ISE 支持的语言,使它们保持一致。

报告和警报 UTF-8 支持

对于思科 ISE 中支持的语言,监控和故障排除报告和警报支持相关属性使用 UTF-8 值:支持以下活动:

  • 查看实时身份验证。

  • 查看详细的报告记录页面。

  • 导出和保存报告。

  • 查看思科 ISE 控制板。

  • 查看警报信息。

  • 查看 tcpdump 数据。

门户中的 UTF-8 字符支持

思科 ISE 字段中支持的字符集 (UTF-8) 比门户和最终用户消息中的本地化支持的字符集多得多。例如,尽管支持字符集本身,但是思科 ISE 不支持从右到左书写的语言(例如希伯来语或阿拉伯语)。

下表列出管理员和最终用户门户中支持 UTF-8 字符的字段,这些字符用于数据输入和查看,带有以下限制:

  • 思科 ISE 不支持包含 UTF-8 字符的访客用户名和密码。

  • 思科 ISE 不支持证书中的 UTF-8 字符。

表 3. 管理门户 UTF-8 字符字段

管理门户要素

UTF-8 字段

Network access user configuration

  • Username

  • 名字

  • 姓氏

  • 邮件

User list

  • 所有过滤器字段。

  • “用户列表”(User List) 窗口中显示的值。

  • 左侧导航快速视图上显示的值。

User password policy

密码可以包含大写和小写字母、数字和特殊字符的任意组合(包括:“!”、@、#、$、^、&、*、( 和 )。密码字段接受任何字符,包括 UTF-8 字符,但不接受控制字符。

某些语言不支持大写或小写字母。如果用户密码策略要求用户输入含大写或小写字符的密码,并且如果用户的语言不支持这些字符,则用户无法设置密码。要让用户密码字段支持 UTF-8 字符,请在用户密码策略页面中取消选中以下复选框(管理 (Administration) > 身份管理 (Identity Management) > 设置 (Settings) > 用户身份验证设置 (User Authentication Settings) > 密码策略 (Password Policy)):

  • 小写字母字符

  • 大写字母字符

您不能使用字典字词、其反序字符或用其他字符替换的字母。

Administrator list

  • 所有过滤器字段。

  • 在管理员列表窗口中显示的值。

  • 左侧导航快速视图中显示的值。

Admin login page

  • Username

RSA

  • 消息

  • 提示符

RADIUS token

  • Authentication tab > Prompt

Posture Requirement

  • Name

  • Remediation action > Message shown to Agent User

  • 要求列表显示

Posture conditions

策略 (Policy) > 策略元素 (Policy Elements) > 条件 (Conditions) > 终端安全评估 (Posture) 窗口中的以下字段:

  • 文件条件 (File Condition) > 添加 (Add) > 文件路径 (File Path)

  • 应用条件 (Application Condition) > 添加 (Add) > 进程名称 (Process Name)

  • 服务条件 (Service Condition) > 添加 (Add) > 服务名称 (Service Name)

  • 会显示条件列表。

Guest and My Devices settings

  • “发起人”(Sponsor) > “语言模板:”(Language Template:) 所有支持的语言,所有字段。

  • “访客”(Guest) > “语言模板:”(Language Template:) 所有支持的语言,所有字段。

  • “我的设备”(My Devices) > “语言模板:”(Language Template:) 所有支持的语言,所有字段。

System settings

  • “SMTP 服务器”(SMTP Server) > “默认电子邮件地址”(Default email address)

Operations > Alarms > Rule

  • Criteria > User

  • “通知”(Notification) > “电子邮件通知用户列表”(email notification user list)

Operations > Reports

  • Operations > Live Authentications > Filter fields

  • Operations > Reports > Catalog > Report filter fields

Operations > Troubleshoot

  • General Tools > RADIUS Authentication Troubleshooting > Username

Policies

  • “身份验证”(Authentication) > 策略条件中的防病毒表达式的值

  • “身份验证”(Authorization) 或“终端安全评估”(Posture) 或“客户端调配”(Client Provisioning) > 其他条件 > 策略条件中的防病毒表达式的值

Attribute value in policy library conditions

  • “身份验证”(Authentication) > 简单条件或复合条件 > 防病毒表达式的值

  • Authentication > simple condition list display

  • Authentication > simple condition list > left navigation quick view display

  • “身份验证”(Authorization) > 简单条件或复合条件 > 防病毒表达式的值

  • Authorization > simple condition list > left navigation quick view display

  • “终端安全评估”(Posture) > 字典中的简单条件或字典中的复合条件 > 防病毒表达式的值

  • “访客”(Guest) > 简单条件或复合条件 > 防病毒表达式的值

思科 ISE 用户界面外的 UTF-8 支持

本节包含在思科 ISE 用户界面之外提供 UTF-8 支持的区域。

调试日志和 CLI 相关的 UTF-8 支持

某些调试日志中会显示属性值和安全评估条件详细信息。所有调试日志都接受 UTF-8 值。您可以下载包含原始 UTF-8 数据的调试日志,使用支持 UTF-8 的查看器便能够查看这些数据。

思科安全 ACS 迁移 UTF-8 支持

思科 ISE 允许迁移思科安全访问控制服务器 (ACS) UTF-8 配置对象和值。思科 ISE UTF-8 语言可能不支持某些 UTF-8 对象的迁移,它可能会使用管理门户或报告方法,使迁移过程中提供的某些 UTF-8 数据变得无法读取。将无法读取的 UTF-8 值(从思科安全 ACS 迁移)转换为 ASCII 文本。有关从思科安全 ACS 迁移到思科 ISE 的详细信息,请参阅适用于您的思科 ISE 版本的思科安全 ACS 到思科 ISE 迁移工具

支持导入和导出 UTF-8 值

管理和发起人门户都支持纯文本与 CSV 文件,并且支持在导入用户账号详细信息时使用 UTF-8 值。所提供的导出文件为 CSV 文件。

REST 上的 UTF-8 支持

外部具象状态传输 (REST) 通信可支持 UTF-8 值。这适用于思科 ISE 用户界面上支持 UTF-8 的可配置项,但管理员身份验证除外。REST 中的管理员身份验证要求使用 ASCII 文本凭证进行登录。

身份库授权数据的 UTF-8 支持

思科 ISE 允许 Microsoft Active Directory 和轻型目录访问协议 (LDAP) 在授权策略中使用 UTF-8 数据进行策略处理。

MAC 地址标准化

思科 ISE 支持对以下列任意格式输入的 MAC 地址进行标准化:

  • 00-11-22-33-44-55

  • 0011.2233.4455

  • 00:11:22:33:44:55

  • 001122334455

  • 001122-334455

在以下 ISE 窗口中提供完整或部分 MAC 地址:

  • Policy > Authorization

  • 策略 (Policy) > 策略元素 (Policy Elements) > 条件 (Conditions) > 授权 (Authorization)

  • Authentications > Filters (Endpoint and Identity columns)

  • 全局搜索

  • 操作 (Operations) > 报告 (Reports) > 报告过滤器 (Report Filters)

  • 操作 (Operations) > 故障排除 (Troubleshoot) > 诊断工具 (Diagnostic Tools) > 常规工具 (General Tools) > 终端调试 (Endpoint Debug)

在以下 ISE 窗口中提供完整的 MAC 地址(六个八位字节,用“:”或“-”或“.”分隔):

  • 操作 (Operations) >

  • 操作 (Operations) > 故障排除 (Troubleshoot) > 诊断工具 (Diagnostic Tools) > 常规工具 (General Tools) > RADIUS 身份验证故障排除 (RADIUS Authentication Troubleshooting)

  • 操作 (Operations) > 故障排除 (Troubleshooting) > 诊断工具 (Diagnostic Tools) > 常规工具 (General Tools) > 终端安全评估故障排除 (Posture Troubleshooting)

  • Administration > Identities > Endpoints

  • 管理 (Administration) > 系统 (System) > 部署 (Deployment)

  • 管理 (Administration) > 日志记录 (Logging) > 集合过滤器 (Collection Filters)

REST API 也支持完整 MAC 地址的标准化。

八位组的有效范围为 0 到 9、a 到 f 或 A 到 F。

思科 ISE 部署升级

通过思科 ISE,可以从管理门户执行基于 GUI 的集中式升级。升级进度和节点状态显示在思科 ISE GUI 中。有关必须执行的升级前和升级后任务的信息,请参阅要升级到的思科 ISE 版本的《思科身份服务引擎升级指南》

升级概述 (Overview) 窗口(管理 (Administration) > 系统 (System) > 升级 (Upgrade) > 概述 (Overview)列出了部署中的所有节点、这些节点上启用的角色、当前正在使用的思科 ISE 版本以及每个节点的状态(节点是处于活动状态还是非活动状态)。只有在节点处于活动 (Active) 状态时,才能开始升级。

管理员访问控制台

以下步骤说明了如何登录管理门户。

过程


步骤 1

在浏览器地址栏中输入思科 URL(例如 https://<ise hostname or ip address>/admin/)。

步骤 2

输入在思科 ISE 初始设置过程中指定和配置的用户名及区分大小写的密码。

步骤 3

点击登录 (Login) 或按 Enter

如果您登录不成功,请在登录窗口中点击登录遇到问题?(Problem logging in?) 链接并按照显示的说明操作。


管理员登录浏览器支持

思科 ISE 管理门户支持以下支持 HTTPS 的浏览器:

    在运行客户端浏览器的系统上,必须安装 Adobe Flash Player 版本 或更高版本。

    查看管理门户且实现更佳用户体验所需的最低屏幕分辨率为 1280*800 像素。

    Administrator Lockout Because of Login Attempts

    如果您为指定的管理员用户 ID 输入的密码错误次数足够多,则思科 ISE 管理门户会将您锁定在系统之外,并在服务器管理员登录报告中添加日志条目。思科 ISE 会暂停该管理员 ID 的凭证,直到您重置与管理员 ID 关联的密码为止,如《思科身份服务引擎硬件安装指南》的“执行安装后任务”一章中所述。禁用管理员帐户需要达到的失败尝试次数可以根据“用户帐户自定义属性和密码策略”一节中介绍的规定进行配置。管理员用户帐户被锁定后,系统会向关联的用户发送邮件。

    只有具有超级管理员角色的管理员(包括 Microsoft Active Directory 用户)可以配置禁用管理员访问选项。

    在思科 ISE 中配置代理设置

    如果现有网络拓扑要求您对思科 ISE 使用代理服务器来访问外部资源(例如可在其中查找客户端调配和安全评估相关资源的远程下载站点),则使用管理门户来配置代理设置。

    代理设置会影响以下思科 ISE 功能:

    • 合作伙伴移动管理

    • 终端分析器源服务更新

    • 终端安全评估更新

    • 终端安全评估代理资源下载

    • 证书吊销列表 (CRL) 下载

    思科 ISE 代理配置支持代理服务器的基本身份验证。不支持 NT LAN Manager (NTLM) 身份验证。

    过程


    步骤 1

    选择 管理 (Administration) > 系统 (System) > 设置 (Settings) > 代理 (Proxy)

    步骤 2

    输入代理 IP 地址或 DNS 可解析主机名,并在代理主机服务器:端口 (Proxy host server : port) 字段中指定代理流量与思科 ISE 之间来回传播所通过的端口。

    步骤 3

    如果需要,请选中必填密码 (Password required) 复选框。

    步骤 4

    用户名 (User Name)密码 (Password) 字段中输入用于向代理服务器进行身份验证的用户名和密码。在 Confirm Password 字段中重新输入密码。

    步骤 5

    用于这些主机和域的旁路代理 (Bypass proxy for these hosts and domain) 文本框中输入必须要绕行的主机或域的 IP 地址或地址范围。

    步骤 6

    点击保存 (Save)


    管理门户使用的端口

    管理门户使用 HTTP 80 端口和 HTTPS 443 端口,并且您无法更改这些设置。您不能将任何最终用户门户配置为使用这些端口,以便降低管理门户的风险。

    启用外部 RESTful 服务应用编程接口

    外部 RESTful 服务应用编程接口 (API) 基于 HTTPS 协议和 REST 方式并会使用端口 9060。

    外部宁静的服务API支持基本身份验证。身份验证凭证加密并是请求报头的一部分。

    您可以使用 REST 客户端(如 JAVA)、cURL Linux 命令、Python 或任何其他客户端来调用外部 RESTful 服务 API 调用。



    ERS API 支持 TLS 1.1 和 TLS 1.2。ERS API 不支持 TLS 1.0,即使已在安全设置 (Security Settings) 窗口中启用了 TLS 1.0(管理 (Administration) > 系统 (System) > 设置 (Settings) > 安全设置 (Security Settings) )。在安全设置 (Security Settings) 窗口中启用 TLS 1.0 仅与 EAP 协议相关,并且不会影响 ERS API。


    您必须向用户分配特殊权限,以便他们使用外部 RESTful 服务 API 执行操作。要使用外部 RESTful 服务 API(访客 API 除外)执行操作,必须将用户分配到 ERS 管理员 (ERS Admin)ERS 操作员 (ERS Operator) 管理员组。用户必须根据存储在思科 ISE 内部数据库中的凭证进行身份验证(内部管理用户)。

    • ERS 管理员 (ERS Admin):此用户可以创建、读取、更新和删除外部 RESTful 服务 API 请求。他们对所有外部 RESTful 服务 API(GET、POST、DELETE 和 PUT)拥有完整访问权限。

    • ERS 操作员 (ERS Operator):此用户具有只读访问权限(仅限 GET 请求)。

    默认情况下,外部 RESTful 服务 API 已被禁用。如果您在启用外部 RESTful 服务 API 调用之前调用这些 API,将会收到错误响应。启用思科 ISE REST API 功能,让为思科 ISE REST API 开发的应用能够访问思科 ISE。Cisco REST API使用HTTPS端口9060,默认情况下会关闭。如果未在思科 ISE 管理服务器上启用思科 ISE REST API 服务,客户端应用程序从所有访客 REST API 请求的服务器将收到超时错误。

    过程


    步骤 1

    选择 管理 (Administration) > 系统 (System) > 设置 (Settings) > ERS 设置 (ERS Settings)

    步骤 2

    单击为读/写启用 ERS (Enable ERS for Read/Write) 单选按钮,以便在主管理节点 (PAN) 上启用外部 RESTful 服务。

    步骤 3

    如果您的部署中有任何辅助节点,单击为所有其他节点启用 ERS 进行读取 (Enable ERS for Read for All Other Nodes) 单选按钮。

    所有类型的外部 RESTful 服务请求均仅对主思科 ISE 节点有效。辅助节点可以访问(GET请求)。

    步骤 4

    单击保存


    所有其它操作进行审核,并记录登录系统日志。外部 RESTful 服务 API 具有调试日志记录类别,您可以从思科 ISE GUI 的调试日志记录窗口启用此类别。

    当您在思科 ISE 中禁用外部 RESTful 服务时,端口 9060 保持开放,但不允许通过该端口进行通信。

    外部 RESTful 服务软件开发套件

    使用外部 RESTful 服务 (ERS) 软件开发套件 (SDK) 构建您自己的工具。您可以通过 URL https://<ISE-ADMIN-NODE>:9060/ers/sdk 访问外部 RESTful 服务 SDK。只有具有 ERS 管理员角色的用户才能访问外部 RESTful 服务 SDK。

    SDK 包括以下组件:

    • 快速参考 API 文档。

    • 所有可用 API 操作的完整列表。

    • 架构文件可下载。

    • 可下载的 Java 示例应用。

    • cURL 脚本格式的使用案例。

    • Python 脚本格式的使用案例。

    • 使用 Chrome Postman 的说明。

    指定系统时间和网络时间协议服务器设置

    思科 ISE 允许最多配置三个 NTP 服务器。使用 NTP 服务器维护正确时间和同步不同时区的时间。您还可以指定思科 ISE 是否必须只使用经过身份验证的 NTP 服务器,并为此目的输入一个或更多身份验证密钥。

    我们建议将所有思科 ISE 节点均设置为协调世界时 (UTC) 时区,特别是在您的思科 ISE 节点都安装于分布式部署中的情况下。此程序可确保来自您的部署中各个节点的报告和日志的时间戳始终同步。

    开始之前

    您必须分配到了超级管理员角色或系统管理员角色。

    如果部署中同时有主节点和辅助节点,则必须登录每个节点的用户界面并配置系统时间和网络时间协议 (NTP) 服务器设置。

    过程


    步骤 1

    选择 管理 (Administration) > 系统 (System) > 设置 (Settings) > 系统时间 (System Time)

    步骤 2

    NTP 服务器配置 区域中,输入 NTP 服务器的唯一 IP 地址(IPv4 或 IPv6 或完全限定域名 (FQDN) 值)。

    步骤 3

    选中 仅允许已通过身份验证的 NTP 服务器 (Only allow authenticated NTP servers) 复选框,以便限制思科 ISE 仅使用经过身份验证的 NTP 服务器保留系统和网络时间。

    步骤 4

    (可选)要使用专用密钥对 NTP 服务器进行身份验证,并且您指定的服务器中有任意服务器要求通过身份验证密钥进行身份验证,请点击 NTP 身份验证密钥 选项卡并指定一个或更多身份验证密钥。执行以下步骤:

    1. 点击添加 (Add)

    2. 密钥 ID (Key ID)密钥值 (Key Value) 字段中输入必要的值。通过选中或取消选中可信任密钥 (Trusted Key) 复选框来指定是否信任所述密钥,然后点击确定 (OK)密钥 ID (Key ID) 字段支持 1 至 65535 之间的数值,密钥值 (Key Value) 字段支持最多 15 个字母数字字符。

    3. 点击确定 (OK)

    4. 返回NTP 服务器配置 (NTP Server Configuration) 选项卡。

    步骤 5

    点击保存 (Save)


    更改系统时区

    设置后,您便无法从管理门户编辑时区。要更改时区设置,请在思科 ISE CLI 中输入以下命令:

    clock timezone timezone

    有关 clock timezone 命令的详细信息,请参阅《思科身份服务引擎 CLI 参考指南》。



    思科 在时区名称和输出缩写中使用可移植操作系统接口 (POSIX) 式符号。因此,格林威治西部时区中有一个正号,东部时区中有一个负号。例如 TZ='Etc/GMT+4' 对应于标准时间 (UT) 后 4 小时。



    小心


    安装后,在思科 设备上更改时区时,思科 服务会在该特定节点上重新启动。我们建议您在维护窗口内执行此类更改。此外,务必将单个思科 部署中的所有节点都配置为同一时区。如果思科 节点位于不同地理位置或时区中,则应在所有思科 节点上使用全球时区,例如 UTC。


    配置 SMTP 服务器以支持通知

    配置简单邮件传输协议 (SMTP) 服务器,以执行以下操作:发送警报的电子邮件通知,使发起人向访客发送包含登录凭证和密码重置说明的电子邮件通知,使访客在自行成功注册后自动接收登录凭证以及访客帐户到期前要采取的操作

    发送电子邮件的 ISE 节点

    以下列表显示了分布式 ISE 环境中哪些节点会发送电子邮件。

    电子邮件用途

    发送电子邮件的节点

    访客过期

    主 PAN

    警报

    活动 MnT

    来自访客和发起人门户的发起人和访客通知

    PSN

    密码过期

    主 PAN

    过程


    步骤 1

    选择管理 (Administration) > 系统 (System) > 设置 (Settings) > SMTP 服务器 (SMTP Server)

    步骤 2

    选择 设置 (Settings) > SMTP 服务器 (SMTP Server)

    步骤 3

    SMTP 服务器 (SMTP Server) 字段中输入出站 SMTP 服务器的主机名。必须可从思科 服务器访问该 SMTP 主机服务器。该字段长度不得超过 60 个字符。

    步骤 4

    选择以下选项之一:

    • 使用发起人的电子邮件地址 (Use email address from Sponsor) 可从发起人的电子邮件地址发送访客通知电子邮件,并选择启用通知 (Enable Notifications)

    • 使用默认电子邮件地址指定用于发送所有访客通知的特定电子邮件地址,并在默认电子邮件地址 (Default email address) 字段中输入该地址。

    步骤 5

    点击保存 (Save)


    警报通知的收件人可以是已启用在电子邮件中包括系统警报 (Include system alarms in emails) 选项的任何内部管理员用户。发送警报通知的发件人的邮件地址硬编码为 ise@<hostname>。

    FIPS 模式支持

    思科 ISE 1.3 版本不支持 FIPS 模式。

    使用 Diffie-Hellman 算法保护 SSH 密钥交换

    将思科 配置为仅允许 Diffie-Hellman-Group14-SHA1 SSH 密钥交换。在思科 CLI 配置模式下输入以下命令:

    service sshd key-exchange-algorithm diffie-hellman-group14-sha1

    以下为输出示例:

    ise/admin#conf t

    ise/admin (config)#service sshd key-exchange-algorithm diffie-hellman-group14-sha1

    将思科 ISE 配置为发送安全系统日志

    开始之前

    要将思科 ISE 配置为仅在思科 ISE 节点之间和向监控节点发送受 TLS 保护的安全系统日志,请执行以下任务:

    • 确保部署中的所有思科 ISE 节点都配置具有相应的服务器证书。 要想让设置符合 FIPS 140,则证书密钥的密钥大小必须为 2048 位或更大。

    • 在管理门户中启用 FIPS 模式。

    • 确保默认网络访问身份验证策略不允许任何版本的 SSL 协议。使用 FIPS 模式下的 TLS 协议以及 FIPS 批准的算法。

    • 确保您部署的所有节点都注册到主 PAN。此外,确保部署中至少有一个节点已启用监控角色,从而用作安全系统日志接收器(TLS 服务器)。

    • 检查支持的系统日志 RFC 标准。请参阅思科 ISE 版本对应的《思科身份服务引擎网络组件兼容性》指南。

    过程


    步骤 1

    配置安全系统日志远程日志记录目标。

    步骤 2

    启用日志记录类别,以将可审核事件发送到安全系统日志远程日志记录目标。

    步骤 3

    禁用 TCP 系统日志和 UDP 系统日志收集器。只应启用受 TLS 保护的系统日志收集器。


    配置安全系统日志远程记录目标

    思科 ISE 系统日志由日志收集器收集和存储,用于各种用途。要配置安全系统日志目标,请选择已启用监控角色的思科 ISE 节点作为日志收集器。

    过程


    步骤 1

    登录思科 ISE 管理门户。

    步骤 2

    选择 管理 (Administration) > 系统 (System) > 日志记录 (Logging) > 远程日志记录目标 (Remote Logging Targets)

    步骤 3

    点击 Add

    步骤 4

    输入安全系统日志服务器的名称。

    步骤 5

    目标类型 (Target Type) 下拉列表中选择安全系统日志 (Secure Syslog)

    步骤 6

    状态 (Status) 下拉列表中选择已启用 (Enabled)

    步骤 7

    主机/IP 地址 (Host/IP Address) 字段中输入部署中思科 ISE 监控节点的主机名或 IP 地址。

    步骤 8

    端口 (Port) 字段中,输入 6514 作为端口号。安全系统日志接收器在 TCP 端口 6514 上进行侦听。

    步骤 9

    设备代码 (Facility Code) 下拉列表中选择系统日志设备代码。默认值为 LOCAL6

    步骤 10

    选中以下复选框以启用相应配置:

    1. 包括此目标的警报 (Include Alarms For This Target)

    2. 符合 RFC 3164 (Comply to RFC 3164)

    3. 启用服务器身份检查 (Enable Server Identity Check)

    步骤 11

    选中服务器关闭时缓冲消息 (Buffer Messages When Server is Down) 复选框。如果选中此选项,思科 ISE 会存储日志,如果安全系统日志接收器不可达,思科 ISE 则会定期查看安全系统日志接收器,并在安全系统接收器出现时转发日志。

    1. 缓冲区大小 (MB) (Buffer Size (MB)) 字段中输入缓冲区大小。

    2. 要让思科 ISE 定期检查安全系统日志接收器,请在重新连接时间(秒)(Reconnect Time [Sec]) 字段中输入重新连接超时值。超时值以秒为单位进行配置。

    步骤 12

    选择 CA 证书 (Select CA Certificate) 下拉列表中选择思科 ISE 必须呈现给安全系统日志服务器的 CA 证书。

    步骤 13

    在配置安全系统日志时,确保不要选中忽略服务器证书验证 (Ignore Server Certificate validation) 复选框。

    步骤 14

    点击提交 (Submit)


    远程日志记录目标设置

    下表介绍远程日志记录目标 (Remote Logging Targets) 窗口中的字段,您可以使用此窗口创建外部位置(系统日志服务器)来存储日志记录消息。此页面的导航路径为管理 (Administration) > 系统 (System) > 日志记录 (Logging) > 远程日志记录目标 (Remote Logging Targets)单击添加 (Add)

    表 4. 远程日志记录目标设置

    字段名称

    使用指南

    Name

    为新的系统日志目标输入名称。

    Target Type

    从下拉列表中选择目标类型。默认值为 UDP 系统日志 (UDP Syslog)

    Description

    输入新目标的简短说明。

    IP 地址

    输入将存储日志的目标计算机的 IP 地址或主机名。

    端口

    输入目标计算机的端口号。

    Facility Code

    从下拉列表中选择必须用于记录的系统日志设备代码。有效选项为 Local0 至 Local7。

    Maximum Length

    输入远程日志目标消息的最大长度。有效值为 200 至 1024 字节。

    包括此目标的警报 (Include Alarms For This Target)

    选中此复选框时,警报消息也会发送到远程服务器。

    符合 RFC 3164 (Comply to RFC 3164)

    选中此复选框时,即使使用了反斜线 (\),发送到远程服务器的系统日志消息中的分隔符 (, ; { } \ \) 也不会转义。

    Buffer Message When Server Down

    当您从目标类型 (Target Type) 下拉列表中选择 TCP 系统日志 (TCP Syslog)安全系统日志 (Secure Syslog) 时,系统会显示此复选框。如果希望思科 ISE 在 TCP 系统日志目标或安全系统日志目标不可用时缓冲系统日志消息,请选中此复选框。思科 ISE 会在与目标的连接恢复时重新尝试将消息发送到目标。连接恢复后,将按从最旧到最新的顺序发送消息。缓冲消息会始终在新消息之前发送。如果缓冲区已满,则会丢弃旧消息。

    Buffer Size (MB)

    设置每个目标的缓冲区大小。默认情况下设置为 100 MB。更改缓冲区大小会清除缓冲区,并且特定目标的所有现有缓冲消息都会丢失。

    Reconnect Timeout (Sec)

    输入时间(以秒为单位),以便配置在服务器关闭的情况下,TCP 和安全系统日志在被丢弃之前将会保留多长时间。

    Select CA Certificate

    当您从目标类型 (Target Type) 下拉列表中选择 安全系统日志 (Secure Syslog) 时,系统会显示此下拉列表。从下拉列表中选择一个客户端证书。

    Ignore Server Certificate Validation

    当您从目标类型 (Target Type) 下拉列表中选择 安全系统日志 (Secure Syslog) 时,系统会显示此复选框。选中此复选框,以便让思科 ISE 忽略服务器证书身份验证并接受任何系统日志服务器。 默认情况下,除非在禁用此复选框时系统处于 FIPS 模式,否则此选项设置为关闭。

    启用日志记录类别以将可审核事件发送至安全系统日志目标

    为思科 ISE 启用日志记录类别,才能将可审核的事件发送到安全系统日志目标。

    过程


    步骤 1

    选择 管理 (Administration) > 系统 (System) > 日志记录 (Logging) > 日志记录类别 (Logging Categories)

    步骤 2

    点击管理和操作审核 (Administrative and Operational Audit) 日志记录类别旁的单选按钮,然后点击编辑 (Edit)

    步骤 3

    日志严重性级别 (Log Severity Level) 下拉列表中选择 WARN

    步骤 4

    目标 (Targets) 区域中,将之前创建的安全系统日志远程记录目标移动到选定 (Selected) 区域。

    步骤 5

    点击保存

    步骤 6

    重复此任务以启用下列日志记录类别。这两个日志记录类别都将 INFO 作为默认日志严重性级别,并且您无法对其进行编辑。

    • AAA 审核 (AAA Audit)

    • 终端安全评估和客户端调配审核


    配置日志记录类别

    下表介绍了可用于配置日志记录类别的字段。设置日志严重性级别,然后为日志记录类别的日志选择日志记录目标。此窗口的导航路径为管理 (Administration) > 系统 (System) > 日志记录 (Logging) > 日志记录类别 (Logging Categories)

    单击想要查看的日志记录类别旁边的单选按钮,单击编辑 (Edit)。下表对日志记录类别的编辑窗口中显示的字段进行了说明。

    表 5. 日志记录类别设置

    字段名称

    使用指南

    Name

    显示日志记录类别的名称。

    Log Severity Level

    对于某些日志记录类别,默认情况下会设置此值,并且您无法对其进行编辑。对于某些日志记录类别,您可以从下拉列表中选择以下严重性级别之一:

    • 严重 (FATAL):紧急级别。此级别意味着您无法使用思科 ISE,并且必须立即采取必要的操作。

    • 错误 (ERROR):此级别表示严重错误情况。

    • 警告 (WARN):此级别表示正常但值得注意的情况。这是会为很多日志记录类别设置的默认级别。

    • 信息 (Info):此级别表示供参考的消息。

    • 调试 (DEBUG):此级别表示诊断错误消息。

    Local Logging

    选中此复选框可为本地节点上的类别启用日志记录事件。

    目标

    该区域允许您使用左侧和右侧图标在可用 (Available)所选 (Selected) 区域之间转移目标,从而更改类别的目标。

    可用 (Available) 区域包含本地(预定义)和外部(用户定义)的现有日志记录目标。

    选定 (Selected) 区域最初为空,然后会显示为该类别选择的目标。

    禁用 TCP 系统日志和 UDP 系统日志收集器

    为确保思科 ISE 只在节点间发送安全系统日志,必须禁用 TCP 和 UDP 系统日志收集器,并且只启用安全系统日志收集器。

    过程


    步骤 1

    选择 管理 (Administration) > 系统 (System) > 日志记录 (Logging) > 远程日志记录目标 (Remote Logging Targets)

    步骤 2

    点击 TCP 或 UDP 系统日志收集器旁的单选按钮。

    步骤 3

    点击 Edit

    步骤 4

    状态 (Status) 下拉列表中选择禁用 (Disabled)

    步骤 5

    点击 Save

    步骤 6

    重复此过程,直到您禁用所有 TCP 或 UDP 系统日志收集器。


    离线维护

    如果维护时间段小于一小时,请让思科 ISE 节点离线并执行维护任务。当节点重新联机时,PAN 节点会自动同步维护期间发生的所有更改。如果更改未自动同步,可以手动将其与 PAN 同步。

    如果维护时间段超过一小时,请在维护时注销节点,然后在将节点添加回部署时重新注册。

    我们建议将维护安排在活动较少的时间段。



    1. 如果队列包含超过 1, 000,000 条消息或思科 ISE 节点离线超过 6 小时,则可能会出现数据复制问题。

    2. 如果在主 MnT 节点上执行维护,我们建议在执行维护活动之前对 MnT 节点进行操作备份。


    在思科 ISE 中更改主机名

    在思科 ISE 中,只能通过 CLI 更改主机名。有关详细信息,请参阅您的版本对应的《思科身份服务引擎 CLI 参考指南》。

    更改主机名之前要记住的注意事项:

    • 如果主机名发生更改,所有思科 ISE 服务都将在独立节点级别自动重启。

    • 如果此节点使用 CA 签名证书,则必须使用正确的主机名重新导入。

    • 如果此节点将加入新的 Active Directory 域,则必须在更改主机名之前离开当前的 Active Directory 域。如果此节点已加入现有 Active Directory 域,则强烈建议您重新加入所有当前加入的加入点,以避免当前和以前的主机名与加入的计算机帐户名称不匹配。

    • 如果使用的是内部 CA 签名证书,则必须重新生成 ISE 根 CA 证书。

    • 更改主机名将导致使用旧主机名的任何证书无效。因此,现在将生成使用新主机名的新自签名证书,以用于 HTTPS 或 EAP。



    上述所有注意事项也适用于域名的任何更改。


    思科 ISE 中的证书管理

    证书是标识个人、服务器、公司或其他实体并将实体与公共密钥关联的电子文档。自签证书由其证书创建者签名。证书可以自签或由外部 CA 进行数字签名。CA 签名的数字证书被视为行业标准而且比自签证书更安全。

    证书用于在网络中提供安全访问。证书会标识连接终端的思科 ISE 节点并且保护该终端和思科 ISE 节点之间的通信。

    思科 ISE 将证书用于:

    • 思科 ISE 节点之间的通信。

    • 思科 ISE 与外部服务器(例如系统日志和源服务器)之间的通信。

    • 思科 ISE 与最终用户门户(例如访客、发起人和 BYOD 门户)之间的通信。

    通过思科 ISE 管理门户管理您的部署中的所有节点证书。

    在思科 ISE 中配置证书以启用安全访问

    思科 ISE 依赖公共密钥基础设施 (PKI) 提供与终端和管理员之间的安全通信,以及多节点部署内思科 ISE 节点之间的安全通信。PKI 依赖 X.509 数字证书传输用于消息加密和解密的公钥,并验证代表用户和设备的其他证书的真实性。通过思科 ISE 管理门户,您可以管理两类 X.509 证书:

    • 系统证书:这些证书是识别思科 ISE 节点到客户端应用的服务器证书。每个思科 ISE 节点都有自己的系统证书,每个证书及相应的私钥均存储在该节点上。



      思科 ISE 无法导入多个具有相同私钥的证书。如果在不更改私钥的情况下续订并导入证书,则现有证书将替换为导入的证书。


    • 受信任证书:这些 CA 证书用于为从用户和设备接收的公共密钥建立信任。受信任证书库还包含由简单证书注册协议 (SCEP) 分发的证书,可将移动设备注册到企业网络中。受信任的证书在主 PAN 上管理,并且系统会自动将这些证书复制到思科 ISE 部署中的所有其他节点。

    在分布式部署中,您只能将证书导入到 PAN 的证书信任列表 (CTL) 中。证书会被复制到辅助节点。

    为了确保思科 ISE 中的证书身份验证功能不会受到证书驱动的验证功能中细微差别的影响,请为网络中部署的所有思科 ISE 节点使用小写主机名。

    证书使用

    在将证书导入到思科 ISE 中时,请指定证书的用途。选择 管理 (Administration) > 系统 (System) > 证书 (Certificates) > 系统证书 (System Certificates),然后单击导入 (Import)

    选择以下一个或多个用途:

    • 管理 (Admin):用于节点间通信,以及对管理门户进行身份验证。

    • EAP 身份验证 (EAP Authentication):用于基于 TLS 的 EAP 身份验证。

    • 门户 (Portal):用于与所有思科 ISE 最终用户门户进行通信。

    • SAML:用于验证是否从正确的身份提供程序收到了 SAML 响应。

    • pxGrid:用于与 pxGrid 控制器进行通信。

    关联每个节点中的不同证书,以便与管理门户(管理用途)、pxGrid 控制器(pxGrid 用途)进行通信,以及进行基于 TLS 的 EAP 身份验证(EAP 身份验证用途)。但针对其中的每种用途,您只能关联每个节点中的一个证书。

    您必须始终为导入思科 ISE 的每个证书使用新的私钥。跨证书重复使用私钥时,由于 Red Hat NSS 数据库限制,可能会发生应用初始化错误。

    将新证书导入 Red Hat NSS 数据库时,具有相同私钥的任何现有证书都将被覆盖。如果管理员证书的私钥被覆盖,则思科 ISE 应用初始化会受到影响。

    由于部署中有多个 PSN 可以支持 Web 门户请求,所以思科 ISE 需要使用唯一标识符来标识必须用于门户通信的证书。当您添加或导出指定用于门户用途的证书时,请定义证书组标签并将其与您的部署中各个节点上的对应证书关联。将此证书组标签与对应的最终用户门户关联(访客、发起人和个人设备门户)。此证书组标签是一种唯一标识符,帮助思科 ISE 标识与这每一个门户通信时必须使用的证书。您只能从每个节点为每个门户指定一个证书。



    对于以下密码,EAP-TLS 客户端证书应具有 KeyUsage=密钥协议和 ExtendedKeyUsage=客户端身份验证:

    • ECDHE-ECDSA-AES128-GCM-SHA256

    • ECDHE-ECDSA-AES256-GCM-SHA384

    • ECDHE-ECDSA-AES128-SHA256

    • ECDHE-ECDSA-AES256-SHA384

    对于以下密码,EAP-TLS 客户端证书应具有 KeyUsage=密钥加密和 ExtendedKeyUsage=客户端身份验证:

    • AES256-SHA256

    • AES128-SHA256

    • AES256-SHA

    • AES128-SHA

    • DHE-RSA-AES128-SHA

    • DHE-RSA-AES256-SHA

    • DHE-RSA-AES128-SHA256

    • DHE-RSA-AES256-SHA256

    • ECDHE-RSA-AES256-GCM-SHA384

    • ECDHE-RSA-AES128-GCM-SHA256

    • ECDHE-RSA-AES256-SHA384

    • ECDHE-RSA-AES128-SHA256

    • ECDHE-RSA-AES256-SHA

    • ECDHE-RSA-AES128-SHA

    • EDH-RSA-DES-CBC3-SHA

    • DES-CBC3-SHA

    • RC4-SHA

    • RC4-MD5

    要绕过此要求,请选择管理 (Administration) > 系统 (System) > 设置 (Settings) > 安全设置 (Security Settings),然后选中接受证书而不验证用途 (Accept Certificates without Validating Purpose) 复选框。


    思科 ISE 中的证书匹配

    设置部署中的思科 ISE 节点后,节点将互相通信。系统将检查每个思科 ISE 节点的 FQDN,以确保其匹配(例如 ise1.cisco.com 和 ise2.cisco.com,如果使用通配符证书,则为 *.cisco.com)。此外,当外部机器向思科 ISE 服务器提供证书时,将根据思科 ISE 服务器中的证书对提供用于身份验证的外部证书进行检查(或匹配)。如果两个证书匹配,则身份验证成功。

    对于思科 ,匹配操作将在 节点之间(如果有两个)或思科 与 pxGrid 之间执行。

    思科 ISE 按以下方式检查匹配的主题名称:

    1. 思科 ISE 查看证书的主题别名扩展。如果 SAN 包含一个或多个 DNS 名称,则其中必须有一个 DNS 名称与思科 ISE 节点的 FQDN 相匹配。如果使用通配符证书,则通配符域名必须与思科 ISE 节点的 FQDN 中的域匹配。

    2. 如果使用者备选名称中不包含 DNS 名称、或使用者备选名称完全缺失,则证书使用者 (Subject) 字段中的公用名称或使用者 (Subject) 字段中的通配符域必须与节点的 FQDN 匹配。

    3. 如果未找到匹配项,则会拒绝该证书。



      导入到思科 ISE 的 X.509 证书必须为隐私增强邮件 (PEM) 格式或可辩别编码规则格式。可以根据特定限制,导入包含证书链的文件(也就是系统证书以及签名的受信任证书的序列)。


    X.509 证书的有效性

    X.509 证书从特定日期开始有效。当系统证书到期时,取决于证书的思科 ISE 功能会受到影响。当距离到期日还有 90 天时,思科 ISE 会通知您系统证书即将到期。系统以多种方式显示此通知:

    • 彩色到期状态图标会出现在系统证书 (System Certificates) 窗口中。导航路径为 管理 (Administration) > 系统 (System) > 证书管理 (Certificate Management) > 系统证书 (System Certificates)

    • 到期消息显示在思科 ISE 系统诊断报告中。导航路径为操作 (Operations) > 报告 (Reports) > 报告 (Reports) > 诊断 (Diagnostics) > 系统诊断 (System Diagnostic)

    • 在距离到期日 90 天、60 天和 30 天时生成到期警报。而在最后 30 天内,每天都会生成一次到期警报。

    如果即将到期的证书为自签证书,您可以编辑证书,延长到期日。对于证书颁发机构签名的证书,必须留出足够的时间,从证书颁发机构获取替换证书。

    在思科 ISE 中启用公共密钥基础设施

    PKI 是一种加密技术,用于实现安全通信和验证使用数字签名的用户的身份。

    过程


    步骤 1

    在部署中的以下每个节点上配置系统证书:

    • 支持 TLS 的身份验证协议,例如 EAP-TLS。

    • 管理门户身份验证。

    • 允许浏览器和 REST 客户端访问思科 ISE Web 门户。

    • 允许访问 pxGrid 控制器。

    默认情况下,思科 ISE 节点预先安装了用于 EAP 身份验证,以及用于访问管理门户、最终用户门户和 pxGrid 控制器的自签证书。在典型的企业环境中,此自签证书由受信任 CA 签名的服务器证书代替。

    步骤 2

    用与用户建立信任的 CA 签名证书以及向思科 ISE 出示的设备证书填充受信任证书库。

    要使用包含一个根 CA 证书以及一个或更多中间 CA 证书的证书链来验证用户或设备证书的真实性,请执行以下操作:

    • 为根 CA 启用相关的信任选项。

      在思科 ISE GUI 中,选择管理 (Administration) > 系统 (System) >证书 (Certificates) > 证书管理 (Certificate Management) > 受信任证书 (Trusted Certificates)。在此窗口中,选中根 CA 证书的复选框,然后单击编辑 (Edit)。在使用情况 (Usage) 区域中,选中信任范围 (Trusted For) 区域中的必要的复选框。

    • 如果不想为根 CA 启用信任选项,请将整个 CA 签名证书链导入受信任证书存储区。

    对于节点间通信,您必须使用验证思科 ISE 部署中每个节点的管理员系统证书的信任证书来填充受信任证书库。要使用默认自签证书进行节点间通信,请从每个思科 ISE 节点的“系统证书”(System Certificates) 窗口导出该证书并将其导入受信任证书库。如果您用 CA 签名的证书代替自签证书,只需用相应的根 CA 和中间 CA 证书填充受信任证书库。在完成此步骤之前,您无法在思科 ISE 部署中注册节点。

    如果您想获得公共签名证书,或者要在 FIPS 模式下运行思科 ISE 部署,您必须确保所有系统和受信任证书都兼容 FIPS。这意味着每个证书都必须具有 2048 个字节的最小密钥长度并且使用 SHA-1 或 SHA-256 加密。

     

    在您从独立思科 ISE 节点或 PAN 获取备份后,如果您更改您的部署中一个或更多节点上的证书配置,您必须再获得一个备份以恢复数据。否则,如果您尝试使用较旧的备份恢复数据,节点之间的通信可能会发生故障。


    通配符证书

    通配符证书使用通配符表示法(在域名前使用一个星号和句点),并且该证书可以在组织中的多个主机之间共享。例如,Certificate Subject 中的 CN 值可以是一个通用主机名(例如 aaa.ise.local),SAN 字段会包含相同的通用主机名和通配符表示法(例如 DNS.1=aaa.ise.local 和 DNS.2=*.ise.local)。

    如果将某个通配符证书配置为使用 *.ise.local,可以使用同一证书来保护 DNS 名称以“.ise.local”结尾的任何其他主机,例如:。

    • aaa.ise.local

    • psn.ise.local

    • mydevices.ise.local

    • sponsor.ise.local

    通配符证书用与普通证书一样的方式保护通信安全,并且使用相同的验证方法处理请求。

    下图是用于保护 Web 站点的一个通配符证书的示例。

    图 5. 通配符证书示例
    通配符证书示例

    思科 ISE 中的通配符证书支持

    思科 ISE 支持通配符证书。在较低版本中,思科 ISE 会验证为 HTTPS 启用的任何证书以确保通用名称字段与主机的 FQDN 完全一致。如果字段不一致,则证书无法用于 HTTPS 通信。

    在较低版本中,思科 ISE 使用该公用名称值来替换 url-redirect A-V 对字符串中的变量。此公用名称值还曾用于所有集中式 Web 身份验证、自行激活、安全评估重定向等。

    思科 ISE 使用 ISE 节点的主机名作为公用名称。

    适用于 HTTPS 和扩展身份验证协议通信的通配符证书

    您可以在思科 ISE 中将通配符服务器证书用于使用 SSL 或 TLS 隧道的管理(基于 Web 的服务)和 EAP 协议。在使用通配符证书时,您不需要为每个思科 ISE 节点生成一个唯一证书。此外,不再需要使用多个 FQDN 值填充 SAN 字段以防止证书警告。在 SAN 字段中使用星号 (*),以便在部署中的多个节点上共享单个证书,同时防止证书名称不匹配警告。但是,使用通配符证书的安全性要比向每个思科 ISE 节点分配唯一服务器证书的安全性低。

    在向访客门户分配公共通配符证书并随根 CA 证书一起导入子 CA 时,直到思科 ISE 服务重新启动后才会发送证书链。



    如果使用通配符证书,我们建议您对域名空间进行分区以提高安全性。例如,可以将域空间分区为 *.amer.example.com,而不是 *.example.com。如果不对域进行分区,就可能导致严重的安全问题。


    通配符证书在域名前使用星号 (*) 和一个句点。例如,证书的使用者名称的公共名称值是一般主机名称(例如 aaa.ise.local),SAN 字段可以使用通配符,例如 *.ise.local。思科 ISE 支持使用通配符证书,其中通配符 (*) 是所显示标识符最左侧的字符。例如,*.example.com 或 *.ind.example.com。思科 ISE 不支持所显示的标识符中连通配符一起显示其他字符的证书。例如,abc*.example.com 或 a*b.example.com 或 *abc.example.com。

    URL 重定向中的完全限定域名

    授权配置文件重定向用于集中 Web 身份验证、设备注册 Web 身份验证、本地请求方调配、移动设备管理、客户端调配与安全评估服务。当思科 ISE 构建授权配置文件重定向时,生成的 cisco-av-pair 包含类似于以下内容的字符串:

    url-redirect=https://ip:port/guestportal/gateway?sessionId=SessionIdValue&action=cwa

    处理此请求时,思科 ISE 会用实际值代替此字符串中的某些关键字。例如,思科 ISE 会将 SessionIdValue 替换为该请求的实际会话 ID。对于 eth0 接口,思科 ISE 将 URL 中的 IP 替换为思科 ISE 节点的 FQDN。对于非 eth0 接口,思科 ISE 使用 URL 中的 IP 地址。您可以为接口 eth1 至 eth3 分配主机别名(名称),然后在 URL 重定向期间,思科 ISE 可以用其代替 IP 地址。

    要实现此操作,可以在配置模式下从 ISE CLI ISE /admin(config)# 提示符处使用 ip host 命令:

    ip host IP_address host-alias FQDN-string

    其中 IP_address 是网络接口的 IP 地址(eth1 或 eth2 或 eth3),host-alias 是您分配给网络接口的名称。FQDN-string 是网络接口的完全限定域名。使用此命令,您可以向网络接口分配 host-aliasFQDN-string,或同时分配两者。

    这是使用 ip host 命令的一个示例:ip host a.b.c.d sales sales.amerxyz.com

    向非 eth0 接口分配主机别名之后,您必须在思科 ISE 上使用 application start ise 命令重新启动应用服务。

    使用此命令的 no 形式可删除主机别名与网络接口的关联。

    no ip host IP_address host-alias FQDN-string

    使用 show running-config 命令可查看主机别名定义。

    如果您提供 FQDN-string,思科 ISE 会使用 FQDN 替换 URL 中的 IP 地址。如果您仅提供主机别名,思科 ISE 会将主机别名与所配置的 IP 域名组合以形成完整的 FQDN,并用 FQDN 替换 URL 中的 IP 地址。如果您不将网络接口映射至主机别名,则思科 ISE 会使用 URL 中的网络接口的 IP 地址。

    当您将非 eth0 接口用于客户端调配或本地请求方或访客流程时,请确保在 PSN 证书的 SAN 字段中正确配置非 eth0 接口的 IP 地址或主机别名。

    使用通配符证书的优势

    • 节省成本:由第三方 CA 签名的证书非常昂贵,尤其是随着服务器数量的增加。在思科 ISE 部署中,可以在多个节点上使用通配符证书。

    • 操作效率:通配符证书允许所有 PSN 为 EAP 和 Web 服务共用同一证书。除了能显著节约成本之外,由于可以只创建证书一次,然后就可以将其应用于所有 PSN,所以还能简化证书管理。

    • 降低身份验证错误:通配符证书可以解决 Apple iOS 设备常见的证书问题,即客户端将受信任证书存储于配置文件中,而不遵循信任签名 root 的 iOS Keychain。当 iOS 客户端首次与 PSN 通信时,它不会明确信任 PSN 证书,即使受信任 CA 已为该证书签名。使用通配符证书,所有 PSN 上证书都将一样,所以用户只须接受一次该证书,接下来对不同 PSN 的身份验证就会继续进行,而不会报错或出现提示。

    • 简化请求者配置:例如,启用 PEAP-MSCHAPv2 和受信任服务器证书的 Microsoft Windows 请求者要求您指定要信任的各个服务器证书,否则当客户端使用不同的 PSN 进行连接时,系统会提示用户是否信任各个 PSN 证书。使用通配符证书,可以信任一个统一的服务器证书,而不需从每个 PSN 逐一信任各个证书。

    • 通配符证书可以减少提示,增强无缝连接,从而提高用户体验。

    使用通配符证书的缺点

    以下是与使用通配符证书相关的一些安全问题:
    • 失去可审核性和不可否认性。

    • 提高了专用密钥的泄露风险。

    • 不常见或管理员不了解。

    通常认为通配符证书没有每个 ISE 节点均使用唯一的服务器证书那么安全。但是,成本和运营因素比安全风险更重要。

    思科自适应安全设备等安全设备也支持通配符证书。

    部署通配符证书时,一定要谨慎。例如,如果您使用 *.company.local 创建一个证书,而某个攻击者能够发现其专用密钥,则该攻击者就可以监听 company.local 域中的任意服务器。因此,最好给域空间分区以避免这类威胁。

    要解决可能出现的这个问题和限制使用范围,也可以使用通配符证书保护您的组织的具体子域。在您想要指定通配符的通用名称子域部分添加一个星号 (*)。

    例如,如果您为 *.ise.company.local 配置通配符证书,则可以将该证书用于保护 DNS 名称以“.ise.company.local”结尾的任意主机,例如:

    • psn.ise.company.local

    • mydevices.ise.company.local

    • sponsor.ise.company.local

    通配符证书兼容性

    通常在创建通配符证书时,会将通配符列为证书使用者的通用名称。思科 ISE 支持这种类型的结构。但并不是所有的终端请求者都支持在证书使用者中使用通配符字符。

    通过测试的所有 Microsoft 本地请求者(包括现在已经停产的 Windows Mobile)不支持在证书使用者中使用通配符字符。

    您可以使用另一个请求者,例如网络访问管理器,它可能允许在“主题”(Subject) 字段中使用通配符字符。

    您还可以使用特殊通配符证书(例如设计为与不兼容设备配合使用的 DigiCert 的 Wildcard Plus),方法是在证书的 Subject Alternative Name 中包含特定子域。

    尽管 Microsoft 请求者限制似乎禁止使用通配符证书,但仍有其他方法创建通配符证书,允许它与通过测试的所有设备配合使用,从而实现安全访问,包括 Microsoft 本地请求者。

    为此,您必须在“主题备用名称”(Subject Alterative Name) 字段中使用通配符字符,而不是在“主题”(Subject) 中使用通配符字符。“主题备用名称”(Subject Alternative Name) 字段保留专为检查域名而设计的扩展名(DNS 名称)。有关详细信息,请参阅 RFC 6125 和 2128。

    系统证书

    思科 ISE 系统证书是向部署中的其他节点和客户端应用标识思科 ISE 节点身份的服务器证书。系统证书的用途如下:

    • 用于思科 ISE 部署中的节点间通信。选中这些证书的使用情况 (Usage) 区域中的管理 (Admin) 复选框。

    • 由浏览器和连接到思科 ISE Web 门户的 REST 客户端使用。选中这些证书的使用情况 (Usage) 区域中的门户 (Portal) 复选框。

    • 用于与 PEAP 和 EAP-FAST 组成外部 TLS 隧道。选中使用情况 (Usage) 区域中的 EAP 身份验证 (EAP Authentication) 复选框,以使用 EAP-TLS、PEAP 和 EAP-FAST 进行相互身份验证。

    • 用于与 pxGrid 控制器通信。选中这些证书的使用情况 (Usage) 区域中的 pxGrid 复选框。

    在思科 ISE 部署中的每个节点上安装有效的系统证书。默认情况下,系统会在安装过程中在思科 ISE 节点上创建自签名的证书,并且将此证书指定用于 EAP、管理员、门户和 pxGrid(此证书的密钥长度为 1024,有效期为一年)。



    • 当导出要导入其他节点的通配符系统证书(用于节点间通信)时,请确保导出证书和专用密钥,并指定加密密码。在导入过程中,将需要证书、专用密钥和加密密码。


    有关对应于您的版本的支持密钥和密码信息,请参阅适当版本的《思科身份识别服务引擎网络组件兼容性》指南。

    为了提高安全性,建议您使用 CA 签名的证书替换自签证书。要获取 CA 签名的证书,您必须:

    1. 创建证书签名请求并将其提交给证书颁发机构

    2. 将根证书导入受信任证书库

    3. 将 CA 签名的证书绑定到证书签名请求

    查看系统证书

    系统证书 (System Certificate) 窗口列出添加至思科 ISE 的所有系统证书。

    开始之前

    要执行以下任务,您必须是超级管理员或系统管理员。

    过程

    步骤 1

    选择 管理 (Administration) > 系统 (System) > 证书 (Certificates) > 系统证书 (System Certificates)

    步骤 2

    系统证书 (System Certificates) 窗口中会显示以下列:

    • 友好名称 (Friendly Name):证书的名称。

    • 使用情况 (Usage):使用此证书的服务。

    • 门户组标记 (Group Tag):仅适用于指定用于门户用途的证书。此字段指定必须将哪个证书用于门户。

    • 颁发给 (Issued To):证书使用者的通用名称。

    • 颁发者 (Issued By):证书颁发者的通用名称。

    • 生效日期 (Valid From):创建证书的日期,也称为开始时间证书属性。

    • 到期日期 (Expiration Date):证书的到期日期,也称为“截止时间”证书属性。以下图标显示在到期日期旁边:

      • 绿色图标:距到期还有 90 天以上。

      • 蓝色图标:距到期还有 90 天或更短。

      • 黄色图标:距到期还有 60 天或更短。

      • 橙色图标:距到期还有 30 天或更短。

      • 红色图标:已到期。


    导入系统证书

    您可以从管理门户为任意思科 ISE 节点导入系统证书。



    在主 PAN 节点上更改管理员角色证书的证书将在所有其他节点上重新启动服务。主 PAN 重启完成后,系统会每次重新启动一个节点。


    开始之前
    • 确保您在运行客户端浏览器的系统上拥有系统证书和专用密钥文件。

    • 如果您导入的系统证书由外部 CA 签名,则将相关根 CA 或中间 CA 证书导入受信任证书存储区管理 (Administration) > 系统 (System) > 证书 (Certificates) > 受信任的证书 (Trusted Certificates)

    • 如果导入的系统证书中包含 CA 标志设置为 true 的基本约束扩展,请确保有密钥用法扩展并且设置了 keyEncipherment 位或 keyAgreement 位。

    • 要执行以下任务,您必须是超级管理员或系统管理员。

    过程

    步骤 1

    选择管理 (Administration) > 系统 (System) > 证书 (Certificates) > 系统证书 (System Certificates)

    步骤 2

    点击导入 (Import)

    将显示导入服务器证书 (Import Server Certificate) 窗口。

    步骤 3

    输入您要导入的证书的值。

    步骤 4

    点击提交 (Submit)


    系统证书导入设置

    表 6. 系统证书导入设置
    字段名称 说明

    Select Node

    (必填)从下拉列表中选择您要导入系统证书的思科 ISE 节点。

    Certificate File

    (必填)单击浏览 (Browse),从本地系统中选择证书文件。

    Private Key File

    (必需)单击浏览 (Browse),从本地系统中选择私钥文件。

    密码

    (必填)输入密码以解密私钥文件。

    友好名称 (Friendly Name)

    输入证书的友好名称。如果未指定名称,思科 ISE 会自动创建以下格式的名称:

    <common name> # <issuer> # <nnnnn>,其中 <nnnnn> 是一个唯一的五位数。

    Allow Wildcard Certificates

    如果要导入通配符证书,请选中此复选框。通配符证书使用通配符号(在域名前带一个星号和一个句点)。通配符证书会在组织中的多个主机之间共享。

    如果选中此复选框,思科 ISE 会将此证书导入到部署中的所有其他节点。

    如果希望思科 ISE 验证证书扩展,请选中此复选框。如果选中此复选框,并且要导入的证书包含 CA 标志设为 true 的基本限制扩展,请确保密钥用法扩展存在。还必须设置 keyEncipherment 位和/或 keyAgreement 位。

    使用情况

    选择必须使用此系统证书的服务:

    • 管理员 (Admin):用于确保与部署中的管理门户和思科 ISE 节点之间安全通信的服务器证书。

       

      在主 PAN 上更改管理员角色证书的证书将在所有其他思科 ISE 节点上重新启动服务。

    • EAP 身份验证 (EAP Authentication):用于使用 EAP 协议建立 SSL 或 TLS 隧道的身份验证的服务器证书。

    • pxGrid:用于确保 pxGrid 客户端和服务器之间的安全通信的客户端和服务器证书。

    • :用于经思科 ISE 消息传递的系统日志 (Syslog Over Cisco ISE Messaging) 功能,此功能可以对内置 UDP 系统日志收集目标(LogCollector 和 LogCollector2)实现 MnT WAN 有效性。

    • 门户 (Portal):用于确保与所有思科 ISE Web 门户的安全通信的服务器证书。



    如果证书是由其他第三方工具而不是思科 ISE 生成的,则无法将证书或其私钥导入思科 ISE。


    生成自签证书

    通过生成自签证书添加新的本地证书。思科建议仅采用自签证书,以满足内部测试和评估需求。如果计划在生产环境中部署思科 ISE,尽可能使用 CA 签名证书,确保生产网络中更统一地接受。



    如果您使用自签名证书并且必须更改思科 ISE 节点的主机名,请登录思科 ISE 节点的管理门户,删除采用旧主机名的自签证书,然后生成新的自签证书。否则,思科 ISE 会继续使用采用旧主机名的自签证书。


    开始之前

    要执行以下任务,您必须是超级管理员或系统管理员。

    自签证书设置

    表 7. 自签证书设置
    字段名称 使用指南

    Select Node

    (必填)从下拉列表中选择您要为其生成系统证书的节点。

    Common Name (CN)

    (如果您不指定 SAN,则此字段必填)默认情况下,Common Name 为您要生成自签证书的思科 ISE 节点的 FQDN。

    组织单位 (OU) (Organizational Unit [OU])

    组织单位名称。例如,Engineering。

    Organization (O)

    组织名称。例如,Cisco。

    City (L)

    (请勿缩写)城市名称。例如,圣何塞。

    省/自治区/直辖市 (ST) (State [ST])

    (请勿缩写)省/自治区/直辖市名称。例如,加州。

    国家/地区 (C) (Country [C])

    国家/地区名称。输入两个字母 ISO 国家/地区代码。例如,US。

    主体可选名称 (SAN) (Subject Alternative Name [SAN])

    与该证书关联的 。

    密钥长度

    公共密钥的位大小。从 RSA 的下拉列表中选择以下选项之一:

    • 512

    • 1024

    • 2048

    • 4096

    从 ECDSA 的下拉列表中选择以下选项之一:

    • 256

    • 384

    如果您计划获得公共 CA 签名的证书,请选择 2048。

    Digest to Sign With

    从下拉列表中选择以下散列算法之一:

    • SHA-1

    • SHA-256

    Expiration TTL

    指定证书到期之前的天数。从下拉列表中选择值。

    友好名称 (Friendly Name)

    输入证书的友好名称。如果未指定名称,思科 ISE 会自动创建以下格式的名称:<common name> # <issuer> # <nnnnn>,其中 <nnnnn> 是唯一的五位数数字。

    使用情况

    选择必须使用此系统证书的服务:

    • 管理员 (Admin):用于确保与部署中的管理门户和思科 ISE 节点之间安全通信的服务器证书。

    • EAP 身份验证 (EAP Authentication):用于使用 EAP 协议建立 SSL 或 TLS 隧道的身份验证的服务器证书。

    • pxGrid:用于确保 pxGrid 客户端和服务器之间的安全通信的客户端和服务器证书。

    • 门户 (Portal):用于确保与所有思科 ISE Web 门户的安全通信的服务器证书。

    编辑系统证书

    使用此窗口来编辑系统证书,续订自签证书。

    开始之前

    要执行以下任务,您必须是超级管理员或系统管理员。

    过程

    步骤 1

    选择管理 (Administration) > 系统 (System) > 证书 (Certificates) > 系统证书 (System Certificates)

    步骤 2

    选中要编辑的证书旁边的复选框,然后单击编辑 (Edit)

    步骤 3

    要续约自签证书,请选中复选框,然后输入以天、周、月或年为单位的到期生存时间 (TTL)。从下拉列表中选择所需的值。

    步骤 4

    单击保存 (Save)

    如果选中管理 (Admin) 复选框,则思科 ISE 节点上的应用服务器将重新启动。此外,如果思科 ISE 节点是部署中的 PAN,则部署中所有其他节点上的应用服务器也将重新启动。主 PAN 重启完成后,系统会每次重新启动一个节点。

    有关故障排除的信息,请参阅使用 Google Chrome 65 启动 BYOD 门户使用 Mozilla Firefox 64 配置无线 BYOD 设置


    使用 Google Chrome 65 启动 BYOD 门户

    在使用 Chrome 65 及更高版本启动思科 ISE 时,可能会导致 BYOD 门户或访客门户无法在浏览器中启动,即使 URL 已成功重定向也是如此。这是因 Google 引入的新安全功能所致,此功能要求所有证书具有主题备用名称 (Subject Alternative Name) 字段。对于思科 ISE 2.4 及更高版本,必须填充主题备用名称 (Subject Alternative Name) 字段。

    要使用 Chrome 65 及更高版本启动 BYOD 门户,请执行以下步骤:

    过程

    步骤 1

    通过填充“主题备用名称”(Subject Alternative Name) 字段,从思科 ISE GUI 生成新的自签证书。必须填充 DNS 和 IP 地址。

    步骤 2

    思科 ISE 服务将重新启动。

    步骤 3

    在 Chrome 浏览器中重定向门户。

    步骤 4

    在浏览器中,查看证书 (View Certificate > 详细信息 (Details) > 通过选择 base-64 编码来复制证书

    步骤 5

    将证书安装到受信任路径。

    步骤 6

    关闭 Chrome 浏览器,然后尝试重定向门户。


    使用 Mozilla Firefox 64 配置无线 BYOD 设置

    在为操作系统 Win RS4 或 RS5 中的浏览器 Firefox 64 及更高版本配置无线 BYOD 设置时,可能无法添加证书例外。如果是全新安装 Firefox 64 及更高版本,此行为是预计行为,如果是从先前版本升级到 Firefox 64 及更高版本,则不会出现此行为。通过以下步骤,可以在此情况下添加证书例外:

    过程

    步骤 1

    针对 BYOD 流程单或双 PEAP 或 TLS 进行配置。

    步骤 2

    通过 Windows ALL 选项配置 CP 策略。

    步骤 3

    在最终客户端 Windows RS4 或 Windows RS5 中连接 Dot1.x 或 MAB SSID。

    步骤 4

    在 FF64 浏览器中键入任意 URL 以重定向至访客或 BYOD 门户。

    步骤 5

    单击添加例外 (Add Exception) > 无法添加证书 (Unable to add certificate),然后继续执行流程。

    对此的解决方法是,手动为 Firefox 64 添加证书。在 Firefox 64 浏览器中,选择选项 (Options) > 隐私和设置 (Privacy & Settings) > 查看证书 (View Certificates) > 服务器 (Servers) > 添加例外 (Add Exception)


    导出系统证书

    您可以导出系统证书或某个证书及其关联的专用密钥。如果您导出证书及其私钥以进行备份,如有必要,您以后也可以重新导入此证书与私钥。

    开始之前

    要执行以下任务,您必须是超级管理员或系统管理员。

    过程

    步骤 1

    管理 (Administration) > 系统 (System) > 证书 (Certificates) > 系统证书 (System Certificates)

    步骤 2

    选中要导出的证书旁边的复选框,然后点击导出 (Export)

    步骤 3

    选择是仅导出证书,还是导出证书及其关联的私钥。

    提示

     

    由于可能会暴露专用密钥值,我们不建议导出与证书关联的专用密钥。如果您必须导出专用密钥(例如,导出要导入其他思科 ISE 节点以用于节点间通信的通配符系统证书时),请指定专用密钥加密密码。在将此证书导入另一思科 ISE 节点时,必须指定此密码以解密专用密钥。

    步骤 4

    如果您已选择导出私钥,请输入此密码。此密码至少必须包含 8 个字符。

    步骤 5

    点击 Export 以将证书保存至运行客户端浏览器的文件系统。

    如果仅导出证书,证书将以 PEM 的格式进行存储。如果同时导出证书和专用密钥,则证书会导出为 .zip 文件,其中包含 PEM 格式的证书和已加密的专用密钥文件。


    受信任证书库

    受信任证书库包括用于信任和简单证书注册协议 (SCEP) 的 X.509 证书。

    导入到思科 ISE 的 X.509 证书必须为 PEM 格式或可辩别编码规则格式。可以根据特定限制,导入包含证书链的文件,也就是系统证书以及签名的受信任证书的序列。

    受信任证书库中的证书在主 PAN 上进行管理,并且复制至思科 ISE 部署中的每个节点。思科 ISE 支持通配符证书。

    思科 ISE 将受信任证书用于以下用途:

    • 验证由终端和访问ISE-PIC管理门户的思科 ISE 管理员(使用基于证书的管理员身份验证)用于身份验证的客户端证书。

    • 确保部署中思科 ISE 节点之间的安全通信。受信任证书库必须包含与部署中每个节点上的系统证书建立信任所需的 CA 证书链。

      • 如果将自签证书用于系统证书,则各个节点的自签证书必须放在 PAN 的受信任证书库中。

      • 如果将自签证书用于系统证书,则 CA 根证书以及信任链中的任何中间证书都必须放在 PAN 的受信任证书库中。

    • 实现安全的 LDAP 身份验证,在定义将通过 SSL 访问的 LDAP 身份源时,必须从证书存储区选择证书。

    • 向准备使用个人设备门户在网络中进行注册的个人设备进行分配。思科 ISE 在 PSN 上实施 SCEP 以支持个人设备注册。注册设备使用 SCEP 协议从 PSN 请求客户端证书。PSN 包含充当中间证书的注册机构 (RA)。RA 会接收并验证来自注册设备的请求,然后将请求转发给颁发客户端证书的外部 CA 或内部思科 ISE CA。CA 将证书发送回 RA,RA 再将其返回至设备。

      思科 ISE 使用的每个SCEP CA 都通过 SCEP RA 配置文件定义。当创建 SCEP RA 配置文件时,系统将以下两个证书自动添加到受信任证书库:

      • CA 证书(自签证书)

      • RA 证书(证书请求代理证书),由 CA 签名。

      SCEP 协议要求 RA 将这两个证书提供给注册设备。通过将这两个证书放入受信任证书库,系统将其复制至所有 PSN 节点,以供这些节点上的 RA 使用。



      删除 SCEP RA 配置文件时,关联的 CA 链也会从受信任证书库中删除。不过,如果安全系统日志、LDAP、系统或信任证书参考了相同证书,则仅删除 SCEP 配置文件。


    受信任证书库中的证书

    受信任证书库中包含受信任的证书:生产证书、根证书、终端 CA、终端 RA 和其他受信任的证书。根证书(思科根 CA)给生产(思科 CA 生产)证书签名。默认情况下禁用这些证书。如果您在部署中将思科 IP 电话作为终端,请启用根和制造证书,从而对用于电话的思科签名的客户端证书进行身份验证。

    受信任证书列表

    表 8. 受信任证书窗口列

    字段名称

    使用指南

    Friendly Name

    显示证书的名称。

    状态

    此列会显示已启用 (Enabled)已禁用 (Disabled)。如果证书被禁用,则思科 ISE 将不使用此证书建立信任。

    Trusted for

    显示以下一项或多项使用此证书的服务。

    • 基础设施

    • 思科服务

    • 终端

    Issued To

    显示证书持有者的通用名称。

    颁发者

    显示证书颁发机构的通用名称。

    Valid From

    显示证书的颁发日期和时间。该值也称为“不早于”(Not Before) 证书属性。

    到期日期

    显示证书到期的日期和时间。该值也称为“不迟于”(Not After) 证书属性。

    Expiration Status

    提供有关证书到期状态的信息。此列会显示五个图标和提示消息类别:

    • 绿色:距到期还有 90 天以上

    • 蓝色:距到期还有 90 天或更短

    • 黄色:距到期还有 60 天或更短

    • 橙色:距到期还有 30 天或更短

    • 红色:已到期

    受信任证书命名限制

    CTL 中的受信任证书可以包含名称限制扩展。此扩展为证书链中后续证书的所有主题名称和主题替代名称的值定义命名空间。思科 ISE 不会检查根证书中指定的限制。

    思科 ISE 支持以下名称限制:

    • 目录名称

      目录名称限制应该是主题或主题备用名称字段中的目录名称前缀。例如:

      • 正确的主题前缀:

        CA 证书名称限制:Permitted: O=Cisco

        客户端证书主题:O=Cisco,CN=Salomon

      • 不正确的主题前缀:

        CA 证书名称限制:Permitted: O=Cisco

        客户端证书主题:CN=Salomon,O=Cisco

    • DNS

    • 电子邮箱

    • URI(URI 限制必须以一个 URI 前缀开头,例如 http://、https://、ftp:// 或 ldap://)。

    思科 ISE 不支持以下名称限制:

    • IP 地址

    • OtherName

    当受信任证书包含不支持的限制并且验证的证书不包含相应字段时,思科 ISE 会拒绝此证书,因为它无法验证不支持的限制。

    以下是受信任证书中名称限制的一个示例:

    
    X509v3 Name Constraints: critical
                    Permitted:
                      othername:<unsupported>
                      email:.abcde.at
                      email:.abcde.be
                      email:.abcde.bg
                      email:.abcde.by
                      DNS:.dir
                      DirName: DC = dir, DC = emea
                      DirName: C = AT, ST = EMEA, L = AT, O = ABCDE Group, OU = Domestic
                      DirName: C = BG, ST = EMEA, L = BG, O = ABCDE Group, OU = Domestic
                      DirName: C = BE, ST = EMEA, L = BN, O = ABCDE Group, OU = Domestic
                      DirName: C = CH, ST = EMEA, L = CH, O = ABCDE Group, OU = Service Z100
                      URI:.dir
                      IP:172.23.0.171/255.255.255.255
                    Excluded:
                      DNS:.dir
                      URI:.dir
    

    以下是与以上定义匹配的一个可接受客户端证书主题:

    
               Subject: DC=dir, DC=emea, OU=+DE, OU=OU-Administration, OU=Users, OU=X1, 			CN=cwinwell
    

    查看受信任的证书

    受信任证书 (Trusted Certificates) 窗口列出所有已添加到思科 ISE 的受信任证书。 要查看受信任的证书,您必须成为超级管理员或系统管理员。

    开始之前

    要执行以下任务,您必须是超级管理员或系统管理员。

    过程

    步骤 1

    要查看所有证书,选择管理 (Administration) > 系统 (System) > 证书 (Certificates) > 受信任证书 (Trusted Certificates)。系统将显示受信任证书窗口,其中列出了所有受信任的证书。

    步骤 2

    选中受信任证书的复选框,然后单击编辑 (Edit)查看 (View)导出 (Export)删除 (Delete) 以执行所需任务。


    更改受信任证书库中的证书状态

    必须启用证书状态,思科 ISE 才能使用此证书建立信任。将证书导入受信任证书库时,将自动启用此证书。

    在受信任的证书库中添加证书

    您可以通过受信任的证书 (Trusted Certificate) 存储器窗口将 CA 证书添加到思科 ISE

    开始之前
    • 要执行以下任务,您必须是超级管理员或系统管理员。

    • 您要添加的证书必须位于运行您的浏览器的计算机文件系统上。证书必须是 PEM 或 DER 格式。

    • 要将证书用于管理员或 EAP 身份验证,请在证书中定义基本限制并将 CA 标志设置为 true。

    编辑受信任证书

    在将证书添加到受信任证书库之后,可以通过使用编辑 (Edit) 选项进行进一步编辑。

    开始之前

    要执行以下任务,您必须是超级管理员或系统管理员。

    过程

    步骤 1

    管理 (Administration) > 系统 (System) > 证书 (Certificates) > 受信任证书 (Trusted Certificates)

    步骤 2

    选中要编辑的证书旁边的复选框,然后点击编辑 (Edit)

    步骤 3

    (可选)在友好名称 (Friendly Name) 字段中,输入证书名称。如果没有指定友好的名称,系统会按以下格式生成一个默认名称:

    common-name#issuer#nnnnn

    步骤 4

    通过在受信任 (Trusted For) 区域选中必要的复选框来定义证书的用途。

    步骤 5

    (可选)在说明 (Description) 字段中输入证书的说明。

    步骤 6

    点击保存 (Save)


    受信任证书设置

    表 9. 受信任证书编辑设置

    字段名称

    使用指南

    证书颁发者 (Certificate Issuer)

    友好名称 (Friendly Name)

    输入证书的友好名称。此字段是可选字段。如果不输入友好名称,则系统会以以下格式生成默认名称:

    common-name#issuer#nnnnn

    状态 (Status)

    从下拉列表中选择启用 (Enabled)禁用 (Disabled)。如果证书被禁用,则思科 ISE 将不使用此证书建立信任。

    Description

    (可选)输入说明。

    使用情况 (Usage)

    信任 ISE 中的身份验证 (Trust for authentication within ISE)

    如果您想要使用此证书验证服务器证书(从其他思科 ISE 节点或 LADP 服务器),请选中此复选框。

    信任客户端身份验证和系统日志 (Trust for client authentication and Syslog)

    (仅在选中了信任 ISE 中的身份验证”(Trust for authentication within ISE) 复选框时适用)如果您想将此证书用于以下用途,请选中此复选框:

    • 对使用 EAP 协议连接至思科 ISE 的终端进行身份验证。

    • 信任系统日志服务器。

    信任基于证书的管理员身份验证

    仅当选择信任客户端身份验证和系统日志 (Trust for client authentication and Syslog) 时,才能选中此复选框。

    选中此复选框可启用基于证书的身份验证用于管理员访问。将所需的证书链导入受信任证书存储区。

    信任思科服务的身份验证 (Trust for authentication of Cisco Services)

    如果您希望将此证书用于信任源服务等外部思科服务,请选中此复选框。

    证书状态验证 (Certificate Status Validation)

    思科 ISE 支持使用两种方法检查特定 CA 颁发的客户端或服务器证书的吊销状态。第一种方法是使用在线证书状态协议 (OCSP) 验证证书,其将向 CA 维护的 OCSP 服务发送请求。第二种方法是按照从 CA 下载至思科 ISE 的 CRL 验证证书。可以同时启用这两种方法,在这种情况下首先使用 OCSP 方法,只有在无法确定证书状态时,才会使用 CRL 方法。

    验证 OCSP 服务 (Validate Against OCSP Service)

    选中此复选框以按照 OCSP 服务验证证书。您必须先创建 OCSP 服务才能选中此复选框。

    如果 OCSP 返回未知状态则拒绝请求 (Reject the request if OCSP returns UNKNOWN status)

    如果 OCSP 服务无法确定证书状态,则选中此复选框以拒绝请求。在选中此复选框的情况下,如果 OCSP 服务返回未知状态值,此服务将导致思科 ISE 拒绝当前评估的客户端或服务器证书。

    下载 CRL (Download CRL)

    选中此复选框以使思科 ISE 下载 CRL。

    CRL 分类的 URL (CRL Distribution URL)

    输入用于从 CA 下载 CRL 的 URL。如果在证书颁发机构证书中指定了 URL,则系统会自动填写此字段。URL 必须以“http”、“https”或“ldap”开头。

    检索 (Retrieve CRL)

    可以自动或定期下载 CRL。请配置下载时间间隔。

    如果下载失败,请稍候 (If download failed, wait)

    配置在思科 ISE 再次尝试下载 CRL 之前等待的时间间隔。

    如果 CRL 没有收到,绕过此 CRL 验证 (Bypass CRL Verification if CRL is not Received)

    选中此复选框,以使系统在收到 CRL 之前接受客户端请求。如果取消选中此复选框,思科 ISE 会拒绝使用选定 CA 签名的证书的所有客户端请求,直到收到 CRL 文件为止。

    忽略 CRL 无效或已过期 (Ignore that CRL is not yet valid or expired)

    如果您希望思科 ISE 忽略开始日期和到期日期并继续使用非活动或已过期 CRL 以及根据 CRL 内容允许或拒绝 EAP-TLS 身份验证,请选中此复选框。

    如果您希望思科 ISE 在 Effective Date 字段指定的开始日期和 Next Update 字段指定的到期日期检查 CRL 文件,请取消选中此复选框。如果 CRL 尚未激活或已到期,思科 ISE 会拒绝使用此 CA 签名的证书的所有身份验证。

    从受信任证书库导出证书

    开始之前

    要执行以下任务,您必须是超级管理员或系统管理员。



    如果从内部 CA 导出证书,并计划使用导出的证书来从备份恢复,则必须使用 CLI 命令 application configure ise。请参阅导出思科 ISE CA 证书和密钥


    过程

    步骤 1

    选择 管理 (Administration) > 系统 (System) > 证书 (Certificates) > 受信任的证书 (Trusted Certificates)

    步骤 2

    选中要导出的证书旁边的复选框,然后点击导出 (Export)。一次只能导出一个证书。

    步骤 3

    将 PEM 文件保存到运行客户端浏览器的文件系统。


    将根证书导入受信任证书库

    导入根 CA 和中间 CA 证书时,指定要为其使用受信任 CA 证书的服务。

    导入外部根 CA 证书时,请在以下任务的步骤 5 中启用“信任基于证书的管理员身份验证”选项。

    开始之前

    您必须具有来自已对证书签名请求进行签名并返回数字签名 CA 证书的 CA 的根证书和其他中间证书。

    过程

    步骤 1

    选择 管理 (Administration) > 系统 (System) > 证书 (Certificates) > 受信任的证书 (Trusted Certificates)

    步骤 2

    点击导入 (Import)

    步骤 3

    将新证书导入证书存储区 (Import a new Certificate into the Certificate Store) 窗口中,点击选择文件 (Choose File) 以选择您的 CA 签名和返回的根 CA 证书。

    步骤 4

    友好名称 (Friendly Name) 中输入友好的名称。

    如果没有输入友好名称,思科 ISE 将使用 common-name#issuer#nnnnn 格式的名称填充此字段, 其中 nnnnn 是唯一编号。您也可以稍后再编辑证书以更改友好名称

    步骤 5

    选中要为其使用此受信任证书的服务旁边的复选框。

    步骤 6

    (可选)在说明 (Description) 字段中,输入此证书的说明。

    步骤 7

    点击提交 (Submit)


    下一步做什么

    将中间 CA 证书导入到受信任证书库(如果适用)。

    受信任证书导入设置

    表 10. 受信任证书导入设置

    字段名称

    说明

    点击浏览 (Browse) 从运行浏览器的计算机选择证书文件。

    友好名称 (Friendly Name)

    输入证书的友好名称。如果您不指定名称,思科 ISE 会自动按照 <通用名称># <颁发者># <nnnnn> 的格式创建名称,其中 <nnnnn> 为唯一的五位数编号。

    信任 ISE 中的身份验证 (Trust for authentication within ISE)

    如果您希望将此证书用于验证服务器证书(从其他 ISE 节点或 LDAP 服务器),请选中此复选框。

    信任客户端身份验证和系统日志 (Trust for client authentication and Syslog)

    (仅在选中了“信任 ISE 中的身份验证”(Trust for authentication within ISE) 复选框时适用)如果您想将此证书用于以下用途,请选中此复选框:

    • 对使用 EAP 协议连接至 ISE 的终端进行身份验证

    • 信任系统日志服务器

    信任思科服务的身份验证 (Trust for authentication of Cisco Services)

    如果您希望将此证书用于信任源服务等外部思科服务,请选中此复选框。

    (仅适用于同时选中“信任客户端身份验证和系统日志”(Trust for client authentication and Syslog) 选项和“证书扩展上启用验证”(Enable Validation of Certificate Extensions) 选项的情况下)确保有“keyUsage”扩展并且设置了“keyCertSign”位,而且有将 CA 标志设置为 true 的基本限制扩展。

    说明 (Description)

    输入可选的说明。

    证书链导入

    您可以从单个文件导入多个证书,这个文件中包含从证书库接收的证书链。文件中的所有证书都必须为 PEM 格式,并且这些证书必须按照以下顺序排列:

    • 文件中的最后一个证书必须是 CA 颁发的客户端证书或服务器证书。

    • 前面的所有证书必须是根 CA 证书和所颁发证书的签名链中的所有中间 CA 证书。

    导入证书链的过程分为两个步骤:

    1. 在思科 ISE 管理门户中将证书链文件导入受信任证书库。此操作会将除最后一个证书之外的所有证书从文件导入受信任证书库。

    2. 使用绑定 CA 签名的证书操作导入证书链文件。此操作会将文件中的最后一个证书导入作为本地证书。

    为思科 ISE 节点间通信安装受信任证书

    当您设置部署时,在注册辅助节点之前,您必须使用适当 CA 证书填充 PAN 的 CTL,这些证书用于验证辅助节点的管理员证书。对于不同的场景,填充 PAN 的 CTL 的程序也不同。

    • 如果辅助节点使用 CA 签名的证书与思科 ISE 管理门户通信,则您必须将辅助节点的 CA 签名证书、相关的中间证书(如果有)和根 CA 证书(属于签署辅助节点证书的 CA)导入到 PAN 的 CTL。

    • 如果辅助节点使用自签证书与思科 ISE 管理门户通信,则您可以将辅助节点的自签证书导入到 PAN 的 CTL。



      • 如果您更改了已注册辅助节点的管理员证书,则您必须获取适当 CA 证书(可用于验证辅助节点的管理员证书)并将其导入到 PAN 的 CTL。

      • 当自带设备用户从一个位置移动到另一个位置时,如果您使用自签证书确保部署中客户端与 PSN 之间的安全通信,EAP-TLS 用户身份验证会失败。对于这种必须在某些 PSN 之间实现的身份验证请求,您必须通过外签 CA 证书或使用外部 CA 签名的通配符证书确保客户端与 PSN 之间的通信。


    确保由外部 CA 颁发的证书已经定义了基本约束且 CA 标记设置为 true。要为节点间通信安装 CA 签名证书:

    过程

    步骤 1

    创建证书签名请求并将其提交给证书颁发机构

    步骤 2

    将根证书导入受信任证书库

    步骤 3

    将 CA 签名的证书绑定到证书签名请求


    思科 ISE 中的默认受信任证书

    思科 ISE 中受信任证书存储库(管理 (Administration) > 系统 (System) > 证书 (Certificates) > 受信任证书 (Trusted Certificates))包含默认可用的一些证书。这些证书会自动导入到库中,以满足安全要求。但是,并非必须使用所有这些证书。除非下表中另有说明,否则您可以使用您选择的证书,而不是已提供的证书。

    表 11. 默认受信任的证书

    受信任证书名称

    序列号

    证书的用途

    含证书的思科 ISE 版本

    Baltimore CyberTrust Root CA

    02 00 00 B9

    在某些地区,此证书可用作 cisco.com 使用的 CA 链中的根 CA 证书。https://s3.amazonaws.com 上托管的 ISE 2.4 终端安全评估/CP 更新 XML 文件中也使用该证书。

    版本 2.4 及更高版本。

    DST Root CA X3 Certificate Authority

    44 AF B0 80 D6 A3 27 BA 89 30 39 86 2E F8 40 6B

    此证书可用作 cisco.com 使用的 CA 链的根 CA 证书。

    版本 2.4 及更高版本。

    Thawte Primary Root CA

    34 4E D5 57 20 D5 ED EC 49 F4 2F CE 37 DB 2B 6D

    此证书可用作 cisco.com 和 perfigo.com 使用的 CA 链的根 CA 证书。

    版本 2.4 及更高版本。

    VeriSign Class 3 Public Primary Certification Authority

    18 DA D1 9E 26 7D E8 BB 4A 21 58 CD CC 6B 3B 4A

    此证书用作 VeriSign Class 3 Secure Server CA-G3 的根 CA 证书。

    在思科 ISE 中配置 Profiler Feed Service 时,必须使用此证书。

    版本 2.4 及更高版本。

    VeriSign Class 3 Secure Server CA - G3

    6E CC 7A A5 A7 03 20 09 B8 CE BC F4 E9 52 D4 91

    这是一个中级 CA 证书,于 2020 年 2 月 7 日到期。您不需要更新此证书。

    您可以按照以下任务删除证书。

    版本 2.4 及更高版本。

    Cisco CA Manufacturing

    6A 69 67 B3 00 00 00 00 00 03

    连接到思科 ISE 的某些思科设备可能使用此证书。默认情况下禁用此证书。

    版本 2.4 和 2.6。

    Cisco Manufacturing CA SHA2

    02

    此证书可在管理员身份验证、终端身份验证和部署基础设施流的 CA 链中使用。

    版本 2.4 及更高版本。

    Cisco Root CA 2048

    5F F8 7B 28 2B 54 DC 8D 42 A3 15 B5 68 C9 AD FF

    连接到思科 ISE 的某些思科设备可使用此证书。默认情况下禁用此证书。

    版本 2.4 及更高版本。

    Cisco Root CA M2

    01

    此证书可在管理员身份验证、终端身份验证和部署基础设施流的 CA 链中使用。

    版本 2.4 及更高版本。

    DigiCert Root CA

    02 AC 5C 26 6A 0B 40 9B 8F 0B 79 F2 AE 46 25 77

    必须在使用 Facebook 的访客登录流中使用此证书。

    版本 2.4 及更高版本。

    DigiCert SHA2 High Assurance Server CA

    04 E1 E7 A4 DC 5C F2 F3 6D C0 2B 42 B8 5D 15 9F

    必须在使用 Facebook 的访客登录流中使用此证书。

    版本 2.4 及更高版本。

    HydrantID SSL ICA G2

    75 17 16 77 83 D0 43 7E B5 56 C3 57 94 6E 45 63 B8 EB D3 AC

    思科服务的受信任证书。

    版本 2.4 和 2.6。

    QuoVadis Root CA 2

    05 09

    您必须在分析器、终端安全评估和客户端调配流中使用此证书。

    版本 2.4 及更高版本。

    Cisco ECC Root CA

    01

    此证书是思科 ISE 中使用的思科信任根存储库捆绑包的一部分。

    版本 2.6。

    Cisco Licensing Root CA

    01

    此证书是思科 ISE 中使用的思科信任根存储库捆绑包的一部分。

    版本 2.6 及更高版本。

    Cisco Root CA 2099

    01 9A 33 58 78 CE 16 C1 C1

    此证书是思科 ISE 中使用的思科信任根存储库捆绑包的一部分。

    版本 2.6 及更高版本。

    Cisco Root CA M1

    2E D2 0E 73 47 D3 33 83 4B 4F DD 0D D7 B6 96 7E

    此证书是思科 ISE 中使用的思科信任根存储库捆绑包的一部分。

    版本 2.6 及更高版本。

    Cisco RXC-R2

    01

    此证书是思科 ISE 中使用的思科信任根存储库捆绑包的一部分。

    版本 2.6 及更高版本。

    DigiCert Global Root CA

    08 3B E0 56 90 42 46 B1 A1 75 6A C9 59 91 C7 4A

    此证书是思科 ISE 中使用的思科信任根存储库捆绑包的一部分。

    版本 2.6 及更高版本。

    Cisco ECC Root CA 2099

    03

    此证书是思科 ISE 中使用的思科信任根存储库捆绑包的一部分。

    版本 2.6 及更高版本。

    从思科 ISE 删除默认受信任证书

    • 导出要删除的证书并保存,以便在需要时再次导入。

      选中要导出的证书对应的复选框,然后单击上方菜单栏上的导出 (Export)。密钥链会下载到您的系统。

    • 删除证书。选中要删除的证书对应的复选框,然后单击上方菜单栏上的删除 (Delete)。如果任何 CA 链、安全系统日志或安全 LDAP 在使用该证书,则不允许删除它。

    • 进行必要的配置更改,从 CA 链、安全系统日志和证书所属的系统日志中移除证书。然后删除证书。

    • 在删除证书后,检查相关服务(请参阅证书用途)是否如期运行。

    证书签名请求

    对于 CA,要签发签名证书,您必须创建证书签名请求 (CSR) 并将其提交给 CA。

    证书签名请求 窗口会提供您已创建的证书签名请求的列表。选择 管理 > 系统 > 证书 > 证书签名请求。要从 CA 获得签名,您必须导出证书签名请求,然后将证书发送至 CA。CA 给证书签名,然后返回证书。

    您可以从思科 ISE 管理门户集中管理证书。您可以为您的部署中的所有节点创建证书签名请求并导出它们。然后,您应该将这些证书签名请求提交给 CA,从 CA 获取签名的证书,将 CA 返回的 root 和中间 CA 证书导入受信任证书库,并且将 CA 签名的证书与证书签名请求绑定。

    创建证书签名请求并将其提交给证书颁发机构

    可以生成证书签名请求,为部署中的节点获取 CA 签名的证书。可以为部署中的特定节点或所有节点生成证书签名请求。

    过程

    步骤 1

    选择 管理 (Administration) > 系统 (System) > 证书 (Certificates) > 证书签名请求 (Certificate Signing Requests)

    步骤 2

    点击生成证书签名请求 (CSR) (Generate Certificate-Signing Requests [CSR]) 以生成证书签名请求。

    步骤 3

    输入用于生成证书签名请求的值。有关显示的窗口中每个字段的信息,请参阅受信任证书设置

    步骤 4

    (可选)选中要下载的签名请求的复选框,然后点击导出 (Export) 以下载请求。

    步骤 5

    复制从“-----BEGIN CERTIFICATE REQUEST-----”到“-----END CERTIFICATE REQUEST-----”的所有文本。 ”并将请求的内容粘贴到所选 CA 的证书请求中。

    步骤 6

    下载签名证书。

    某些 CA 可能会将签名的证书通过邮件发送给您。签名的证书采用 ZIP 文件形式,其中包含必须添加到思科 ISE 受信任证书存储区的 CA 新颁发证书和公共签名证书。数字签名的 CA 证书、根 CA 证书和其他中间 CA 证书(如果适用)可被下载到运行客户端浏览器的本地系统中。


    将 CA 签名的证书绑定到证书签名请求

    在 CA 返回数字签名的证书之后,您必须将其绑定到证书签名请求。您可以从思科 ISE 管理门户为部署中的所有节点执行绑定操作。

    开始之前
    • 您必须具有数字签名的证书,以及由 CA 发送的相关根和中间 CA 证书。

    • 将相关的根和中间 CA 证书导入受信任证书库(管理 (Administration) > 系统 (System) > 证书 (Certificates) > 受信任证书 (Trusted Certificates))。

    过程

    步骤 1

    选择 管理 (Administration) > 系统 (System) > 证书 (Certificates) > 证书签名请求 (Certificate Signing Requests)

    步骤 2

    选中您必须与 CA 签名证书绑定的证书签名请求旁边的复选框。

    步骤 3

    点击绑定 (Bind)

    步骤 4

    在显示的绑定 CA 签名证书 (Bind CA Signed Certificate) 窗口中,点击浏览 (Browse) 以选择 CA 签名证书。

    步骤 5

    友好名称 (Friendly Name) 字段中输入值。

    步骤 6

    如果您希望思科 ISE 验证证书扩展,请选中验证证书扩展 (Validate Certificate Extensions) 复选框。

    如果您启用 验证证书扩展 选项,且您导入的证书包含 CA 标志设置为 Ture 的基本约束扩展,则请确保存在密钥用法扩展,且已设置 keyEncipherment 位或 akeyAgreement 位。

     

    思科 ISE 要求 EAP-TLS 客户端证书具有数字签名密钥用法扩展。

    步骤 7

    (可选)选中要为其将此证书用于使用情况 (Usage) 区域的服务。

    如果您在生成证书签名请求时已启用使用情况 (Usage) 选项,则此信息会自动填充。

    在主 PAN 上更改 管理员 用途的证书会在所有其他节点上重新启动服务。在主 PAN 重启后,系统会每次重新启动一个节点。

    步骤 8

    点击提交 (Submit) 以便将证书签名请求绑定到 CA 签名的证书。

    如果此证书已标记为用于思科 ISE 节点间通信,则思科 ISE 节点上的应用服务器会重新启动。

    要在部署中的其他节点上绑定证书签名请求与 CA 签名的证书,请重复此流程。


    下一步做什么
    将根证书导入受信任证书库

    导出证书签名请求

    开始之前

    要执行以下任务,您必须是超级管理员或系统管理员。

    过程

    步骤 1

    选择 管理 (Administration) > 系统 (System) > 证书 (Certificates) > 证书签名请求 (Certificate Signing Requests)

    步骤 2

    选中想要导出的证书旁边的复选框,点击导出 (Export)

    步骤 3

    点击确定 (OK),将文件保存到正在运行客户端浏览器的文件系统中。

    步骤 4

    证书签名请求可下载到本地文件系统中。


    证书签名请求设置

    通过思科 ISE,只需一个请求即可从管理门户为部署中的所有节点生成证书签名请求。此外,还可以选择为部署中的单个节点或多个两个节点生成证书签名请求。如果选择为单个节点生成证书签名请求,则 ISE 会自动在证书使用者的 CN 字段中替换特定节点的完全限定域名 (FQDN)。如果在 CN 字段中输入的域名不是节点的 FQDN,思科 ISE 将拒绝使用该证书进行身份验证。如果选择在证书的“主体可选名称 (SAN)”(Subject Alternative Name (SAN)) 字段中包含某个条目,则除了其他 SAN 属性之外,还必须输入 ISE 节点的 FQDN。如有必要,您还可以在 SAN 字段中添加其他 FQDN。如果选择为部署中的所有节点生成证书签名请求,请选中“允许通配符证书”(Allow Wildcard Certificates) 复选框,然后在 SAN 字段(“DNS 名称”(DNS name))中输入通配符 FQDN 符号,例如,*.amer.example.com。如果计划对 EAP 身份验证使用证书,请不要在 CN= 字段中输入通配符值。

    通过使用通配符证书,不再需要为每个思科 ISE 节点生成一个唯一证书。此外,不再需要使用多个 FQDN 值填充 SAN 字段以防止证书警告。通过在 SAN 字段中使用星号 (*),可以在部署中的多个两个节点上共享单个证书,有助于防止证书名称不匹配警告。但是,使用通配符证书的安全性要比向每个思科 ISE 节点分配唯一服务器证书的安全性低。

    表 12. 证书签名请求设置
    字段 使用指南

    证书将用于 (Certificate(s) will be used for)

    选择即将对其使用证书的服务:

    思科 ISE 身份证书

    • 管理 (Admin) - 用于服务器身份验证(以确保与管理员门户之间的安全通信,以及部署中 ISE 节点之间的安全通信)。签名 CA 的证书模板通常称为 Web 服务器证书模板。此模板具有以下属性:

      • 密钥用法 (Key Usage):数字签名(签名)

      • 扩展密钥用法 (Extended Key Usage):TLS Web 服务器身份验证 (1.3.6.1.5.5.7.3.1)

    • EAP 身份验证 (EAP Authentication):用于服务器身份验证。签名 CA 的证书模板通常称为计算机证书模板。此模板具有以下属性:

      • 密钥用法 (Key Usage):数字签名(签名)

      • 扩展密钥用法 (Extended Key Usage):TLS Web 服务器身份验证 (1.3.6.1.5.5.7.3.1)

       

      EAP-TLS 客户端证书需要使用数字签名密钥。

    • 门户 (Portal):用于服务器身份验证(以确保与所有 ISE Web 门户之间的安全通信)。签名 CA 的证书模板通常称为计算机证书模板。此模板具有以下属性:

      • 密钥用法 (Key Usage):数字签名(签名)

      • 扩展密钥用法 (Extended Key Usage):TLS Web 服务器身份验证 (1.3.6.1.5.5.7.3.1)

    • pxGrid - 同时用于客户端和服务器身份验证(以确保 pxGrid 客户端与服务器之间的安全通信)。签名 CA 的证书模板通常称为计算机证书模板。此模板具有以下属性:

      • 密钥用法 (Key Usage):数字签名(签名)

      • 扩展密钥用法 (Extended Key Usage):TLS Web 服务器身份验证 (1.3.6.1.5.5.7.3.1) 和 TLS Web 客户端身份验证 (1.3.6.1.5.5.7.3.2)

     
    建议您不要将包含值 2.5.29.37.0 的证书用于“扩展密钥用法”(Extended Key Usage) 属性中的任意用途对象标识符。如果将包含值 2.5.29.37.0 的证书用于“扩展密钥用法”(Extended Key Usage) 属性中的任意用途对象标识符,系统会将此证书视为无效,并显示以下错误消息:
    source=local ; type=fatal ; message="unsupported certificate"

    思科 ISE 证书颁发机构颁发的证书

    • ISE 根 CA (ISE Root CA) -(仅适用于内部 CA 服务)用于重新生成整个内部 CA 证书链,包括主 PAN 上的根 CA 和 PSN 上的辅助 CA。

    • ISE 中间 CA (ISE Intermediate CA):(仅适用于当 ISE 用作外部 PKI 的中间 CA 时的内部 CA 服务)用于在主 PAN 上生成中间 CA 证书,在 PSN 上生成从属 CA 证书。签名 CA 的证书模板通常称为辅助证书颁发机构。此模板具有以下属性:

      • 基本约束 (Basic Constraints):关键、是证书颁发机构

      • 密钥用法 (Key Usage):证书签名、数字签名

      • 扩展密钥用法 (Extended Key Usage):OCSP 签名 (1.3.6.1.5.5.7.3.9)

    • 更新 ISE OCSP 响应方证书 (Renew ISE OCSP Responder Certificates):(仅适用于内部 CA 服务)用于更新整个部署的 ISE OCSP 响应方证书(不是证书签名请求)。出于安全原因,建议您每六个月更新一次 ISE OCSP 响应方证书。

    允许通配符证书 (Allow Wildcard Certificates)

    选中此复选框以在 CN 中和/或证书的 SAN 字段的 DNS 名称中使用通配符 (*)。如果选中此复选框,系统会自动选择部署中的所有节点。必须在最左侧的标签位置使用星号 (*) 通配符。如果使用通配符证书,我们建议您对域名空间进行分区以提高安全性。例如,可以将域空间分区为 *.amer.example.com,而不是 *.example.com。如果不对域进行分区,可能会导致安全问题。

    为这些节点生成 CSR (Generate CSRs for these Nodes)

    选中要为其生成证书的节点旁边的复选框。要为部署中的选定节点生成 CSR,必须取消 Allow Wildcard Certificates 选项。

    公共名称 (CN) (Common Name [CN])

    默认情况下,公用名是您正为其生成证书签名请求的 ISE 节点的 FQDN。$FQDN$ 表示 ISE 节点的 FQDN。当为部署中的多个节点生成证书签名请求时,证书签名请求中的 Common Name 字段会替换为各个 ISE 节点的 FQDN。

    组织单位 (OU) (Organizational Unit [OU])

    组织单位名称。例如,Engineering。

    组织 (O) (Organization [O])

    组织名称。例如,Cisco。

    城市 (L) (City [L])

    (请勿缩写)城市名称。例如,圣何塞。

    省/自治区/直辖市 (ST) (State [ST])

    (请勿缩写)省/自治区/直辖市名称。例如,加州。

    国家/地区 (C) (Country [C])

    国家/地区名称。必须输入两个字母 ISO 国家/地区代码。例如,US。

    主体可选名称 (SAN) (Subject Alternative Name [SAN])

    • DNS 名称 (DNS name):如果选择“DNS 名称”(DNS name),请输入 ISE 节点的完全限定域名。如果已启用 Allow Wildcard Certificates 选项,请指定通配符符号(域名前的星号和句号)。例如:*.amer.example.com。

    • IP 地址 (IP address):将与证书关联的 ISE 节点的 IP 地址。

    密钥长度 (Key Length)

    如果计划获取公共的 CA 签名证书或将思科 ISE 部署为符合 FIPS 标准的策略管理系统,请选择 2048 或更大长度。

    签名摘要 (Digest to Sign With)

    选择下列散列算法之一:SHA-1 或 SHA-256。

    设置供门户使用的证书

    由于部署中有多个 PSN 可以支持 Web 门户请求,所以思科 ISE 需要使用唯一标识符来标识必须用于门户通信的证书。当您添加或导出指定用于门户用途的证书时,请定义证书组标签并将其与您的部署中各个节点上的对应证书关联。将此证书组标签与对应的最终用户门户关联(访客、发起人和个人设备门户)。此证书组标签是一种唯一标识符,帮助思科 ISE 标识与这每一个门户通信时必须使用的证书。您只能从每个节点为每个门户指定一个证书。



    思科 ISE 在 TCP 端口 8443(或者您为使用门户而配置的端口)上提供门户证书。


    过程


    步骤 1

    创建证书签名请求并将其提交给证书颁发机构

    您必须选择您已定义的证书组标签或为门户创建一个新证书组标签。例如 mydevicesportal。

    步骤 2

    将根证书导入受信任证书库

    步骤 3

    将 CA 签名的证书绑定到证书签名请求


    用户和终端证书续订

    默认情况下,思科 ISE 拒绝来自证书已过期设备的请求。但是,您可以更改此默认行为并配置 ISE 以满足这些请求并提示用户更新证书。

    如果选择允许用户更新证书,思科建议您配置一个授权策略规则,检查在进一步处理请求之前证书是否已续签。处理来自证书过期设备的请求可能导致潜在的安全威胁。因此,必须配置正确的授权配置文件和规则来确保贵公司的安全不受影响。

    在证书到期前或到期后,有些设备支持证书续订。但是在 Windows 设备上,您只能在证书到期前续订证书。Apple iOS、Mac OSX 和 Android 设备支持在证书到期前或到期后,进行证书续订。

    策略条件中用于证书续订的字典属性

    思科 ISE 证书字典包含在策略条件中用于允许用户续订证书的以下属性:

    • Days to Expiry:此属性规定证书有效的天数。您可以使用此属性创建可用于授权策略的条件。此属性可采用 0 至 15 之间的值。值 0 表示证书已过期。值 1 表示证书不到 1 天就要到期。

    • Is Expired:此布尔属性表示证书是否已到期。如果想要只允许在证书接近到期时而不是在证书已到期之后续订证书,请在授权策略条件中使用此属性。

    证书续订的授权策略条件

    您可以使用授权策略中的 CertRenewalRequired 简单条件(默认情况下可用)以确保在思科 ISE 进一步处理请求之前更新证书(已到期或即将到期)。

    用于续订证书的 CWA 重定向

    如果用户证书在证书到期前已被吊销,则思科 ISE 会检查 CA 发布的 CRL 并拒绝身份验证请求。如果被撤消的证书已过期,则 CA 不得在其 CRL 中发布此证书。在此场景中,思科 ISE 可更新被撤消的证书。要避免此问题,在更新证书之前,请确保请求重新定向到集中式 Web 身份验证 (CWA) 以进行完整的身份验证。必须创建授权配置文件才能重定向用户以进行 CWA。

    更新允许的协议配置

    过程

    步骤 1

    选择策略 (Policy) > 策略元素 (Policy Elements) > 结果 (Results) > 身份验证 (Authentication) > 允许的协议 (Allowed Protocols) > 默认网络访问 (Default Network Access)

    步骤 2

    选中 EAP-TLS 协议以及 PEAP 和 EAP-FAST 协议的 EAP-TLS 内部方法下的 Allow Authentication of expired certificates to allow certificate renewal in Authorization Policy 复选框。

    使用 EAP-TLS 协议的请求将通过 NSP 流。

    对于 PEAP 和 EAP-FAST 协议,您必须手动安装和配置思科 AnyConnect 以便思科 ISE 处理请求。

    步骤 3

    点击提交 (Submit)


    下一步做什么

    为 CWA 重定向创建授权策略配置文件

    为 CWA 重定向创建授权策略配置文件

    开始之前

    确保您已在 WLC 上配置受限访问 ACL。

    过程

    步骤 1

    选择策略 (Policy ) > 策略元素 (Policy Elements) > 结果 (Results) > 授权 (Authorization) > 授权配置文件 (Authorization Profiles)

    步骤 2

    点击添加 (Add)

    步骤 3

    为授权配置文件输入名称。例如 CertRenewal_CWA。

    步骤 4

    在“常见任务”(Common Tasks) 区域,选中 Web 重定向(CWA、DRW、MDM、NSP、CPP)(Web Redirection (CWA, DRW, MDM, NSP, CPP)) 复选框。

    步骤 5

    从下拉列表和受限访问 ACL 选择集中式 Web 身份验证 (Centralized Web Auth)

    步骤 6

    选中显示证书续订消息 (Display Certificates Renewal Message) 复选框。

    URL-redirect 属性值改变并且包含证书有效的天数。

    步骤 7

    点击提交 (Submit)


    下一步做什么

    创建授权策略规则以更新证书

    创建授权策略规则以更新证书

    开始之前

    确保您已创建集中式 Web 身份验证重定向的授权配置文件。

    管理 (Administration) > 系统 (System) > 设置 (Settings) > 策略设置 (Policy Settings) 上启用策略集。

    过程

    步骤 1

    选择策略 (Policy) > 策略集 (Policy Sets)

    步骤 2

    点击创建于…之上 (Create Above)

    步骤 3

    输入新规则的名称。

    步骤 4

    选择以下简单条件和结果:

    如果 CertRenewalRequired 等于 True,则为权限选择先前创建的授权配置文件 (CertRenewal_CWA)。

    步骤 5

    单击保存


    下一步做什么

    当使用其证书已到期的设备访问公司网络时,请点击续订 (Renew) 重新配置设备。

    在访客门户中启用 BYOD 设置

    要使用户能够更新个人设备证书,必须在所选访客门户中启用 BYOD 设置。

    过程

    步骤 1

    1. 选择所选 CWA 门户并点击编辑 (Edit)

    步骤 2

    从 BYOD 设置中,选中允许员工在网络上使用个人设备 (Allow employees to use personal devices on the network) 复选框。

    步骤 3

    点击保存 (Save)


    Apple iOS 设备的证书续订失败

    当您使用 ISE 在 Apple iOS 设备上续订终端证书时,您可能会遇到“Profiled Failed to Install”错误消息。如果在相同策略服务节点 (PSN) 或另一个 PSN 上,与处理续订所使用的证书不同的管理员 HTTPS 证书已签名要过期或已过期的网络配置文件,则系统会显示此错误消息。

    作为一个解决方案,请为部署中的所有 PSN 上的管理员 HTTPS 使用多域 SSL 证书(通常称为统一通信证书 [UCC])或通配符证书。

    从 .pfx 文件提取证书和私钥

    思科 ISE 不允许导入 .pfx 格式的证书。因此,如果要导入的证书为 .pfx 格式,则必须在导入之前将其转换为 .pem 或 .key 文件格式。

    开始之前

    确保在包含 SSL 证书的服务器中安装了 OpenSSL。

    过程


    步骤 1

    从 OpenSSL\bin 文件夹启动 OpenSSL。

    步骤 2

    打开命令提示符并转到包含 .pfx 文件的文件夹。

    步骤 3

    运行以下命令以 .pem 格式提取私钥: openssl pkcs12 -in certname.pfx -nocerts -out key.pem -nodes

    系统将提示您键入导入密码。键入创建 .pfx 文件时用于保护密钥对的密码。系统将再次提示您提供新密码以保护正在创建的 .pem 文件。将密钥文件的密码存储在安全的位置,以避免滥用。

    步骤 4

    运行以下命令以 .pem 格式提取证书:openssl pkcs12 -in certname.pfx -nokeys -out cert.pem

    步骤 5

    运行以下命令以解密私钥:openssl rsa -in key.pem -out server.key

    键入您在上一步中创建的用于保护私钥文件的密码。

    .pem 文件以及已解密和加密的 .key 文件位于您启动 OpenSSL 的路径中。


    思科 ISE CA 服务

    证书可以自签或由外部证书颁发机构 (CA) 进行数字签名。思科 ISE 内部证书颁发机构 (ISE CA) 从集中控制台为终端颁发和管理数字证书,以允许员工在公司网络上使用其个人设备。CA 签名的数字证书被视为行业标准而且更安全。ISE CA 提供以下功能:

    • 颁发证书:为连接您的网络的终端验证和签发证书签名请求 (CSR)。

    • 密钥管理:在 PAN 和 PSN 节点上生成并安全地存储密钥和证书。

    • 存储证书:存储向用户和设备颁发的证书。

    • 支持在线证书状态协议 (OCSP):提供 OCSP 响应器以检查证书的有效性。

    当 CA 服务在主管理节点上禁用时,CA 服务仍被视为在辅助管理节点的 CLI 上运行。理想情况下,CA 服务应被视为禁用。此为已知的思科 ISE 问题。

    简单证书注册协议配置文件

    为了帮助为用户可在网络上注册的各类移动设备启用证书调配功能,思科 ISE 允许您配置一个或多个简单证书注册协议 (SCEP) 证书颁发机构 (CA) 配置文件(称为思科 ISE 外部 CA 设置),从而使思科 ISE 指向多个 CA 位置。允许多个配置文件的优点在于,可帮助确保高可用性并在您指定的 CA 位置执行负载均衡。如果对特定的 SCEP CA 请求连续三次未获得应答,则思科 ISE 会声明该特定服务器不可用,并会自动移至下一个具有已知最低负载和最少响应次数的 CA,然后即会开始进行定期轮询直至服务器恢复联机。

    关于如何设置 Microsoft SCEP 服务器与思科 ISE 互操作的详细信息,请参阅

    http://www.cisco.com/en/US/solutions/collateral/ns340/ns414/ns742/ns744/docs/howto_60_byod_certificates.pdf

    终端证书

    管理门户列出了内部 ISE CA 颁发给终端的所有证书(“管理”(Administration) > “系统”(System) > “证书”(Certificates) > “终端证书”(Endpoint Certificates))。终端证书 (Endpoint Certificates) 页面提供证书状态概览。如果证书已被吊销,可以将鼠标悬停在 Status 列上找出吊销原因。您可以将鼠标悬停在“证书模板”(Certificate Template) 列上查看更多详细信息,如证书的、主题、主题备选名称 (SAN) 和有效期。可以点击终端证书来查看证书。

    例如,如果要查看颁发给 user7 的证书,请在出现在 Friendly Name 字段下方的文本框中输入 user7。系统会显示思科 ISE 颁发给此用户的所有证书。从文本框中删除搜索条件可取消筛选。还可以根据各种搜索条件,使用 Advanced Filter 选项查看记录。

    此 Endpoint Certificates 页面还为您提供用于在必要时撤销终端证书的选项。

    Certificate Management Overview 页面显示部署中每个 PSN 节点颁发的终端证书的总数。还可以查看每个节点的被吊销证书的总数,以及已失败的证书的总数。可以根据任意属性筛选此页面上的数据。



    pxGrid 证书不会在终端证书 (Endpoint Certificates) 页面中列出。


    终端证书概述窗口 (Endpoint Certificate Overview Window)

    表 13. 证书管理概述 (Certificate Management Overview)
    字段名称 使用指南

    Node name

    发出证书的策略服务节点 (PSN) 的名称。

    Endpoint Certificates Issued

    PSN 节点发出的终端证书的数量。

    Endpoint Certificates Revoked

    已吊销的证书的数量(已由 PSN 节点发出的证书)。

    Endpoint Certificates Requests

    PSN 节点处理的基于证书的身份验证请求数量。

    Endpoint Certificates Failed

    PSN 节点处理的失败身份验证请求数量。



    已过期或已撤销的证书将在 30 天后自动删除。


    思科 ISE CA 证书和密钥的备份与恢复

    必须安全地备份思科 ISE CA 证书和密钥,以在出现 PAN 故障以及您要将辅助管理节点升级作为外部 PKI 的根 CA 或中间 CA 的情况下在辅助管理节点上恢复这些证书和密钥。思科 ISE 配置备份不包括 CA 证书和密钥。您应使用命令行界面 (CLI) 将 CA 证书和密钥导出至存储库,然后再导入。application configure ise 命令现在包含导出和导入选项,用于备份和恢复 CA 证书和密钥。

    来自受信任证书库的以下证书存储于辅助管理节点上:

    • 思科 ISE Root CA 证书

    • 思科 ISE 子 CA 证书

    • 思科 ISE 终端 RA 证书

    • 思科 ISE OCSP 响应器证书

    在以下情况下,您必须备份和恢复思科 ISE CA 证书和密钥:

    • 部署中有辅助管理节点

    • 替换整个思科 ISE CA 根链

    • 配置思科 ISE 根 CA 作为外部 PKI 的从属 CA

    • 从配置备份恢复数据。在这种情况下,必须首先重新生成思科 ISE CA 根链,然后备份和恢复 ISE CA 证书和密钥。

    导出思科 ISE CA 证书和密钥

    您必须从 PAN 导出 CA 证书和密钥,才能将其导入到辅助管理节点。通过此选项,辅助管理节点可以在 PAN 关闭和您将辅助管理节点升级到 PAN 时为终端颁发和管理证书。

    开始之前

    确保您已经创建了用于存储 CA 证书和密钥的存储库。

    过程

    步骤 1

    在思科 ISE CLI 上输入 application configure ise 命令。

    步骤 2

    输入 7 以导出证书和密钥。

    步骤 3

    输入存储库名称。

    步骤 4

    输入加密密钥。

    系统将显示成功消息和已导出的证书列表,以及主题、颁发机构和序列号。

    示例:
     The following 4 CA key pairs were exported to repository 'sftp' at 'ise_ca_key_pairs_of_ise-vm1':
            Subject:CN=Cisco ISE Self-Signed CA of ise-vm1
            Issuer:CN=Cisco ISE Self-Signed CA of ise-vm1
            Serial#:0x621867df-568341cd-944cc77f-c9820765
    
            Subject:CN=Cisco ISE Endpoint CA of ise-vm1
            Issuer:CN=Cisco ISE Self-Signed CA of ise-vm1
            Serial#:0x7027269d-d80a406d-831d5c26-f5e105fa
    
            Subject:CN=Cisco ISE Endpoint RA of ise-vm1
            Issuer:CN=Cisco ISE Endpoint CA of ise-vm1
            Serial#:0x1a65ec14-4f284da7-9532f0a0-8ae0e5c2
    
            Subject:CN=Cisco ISE OCSP Responder Certificate of ise-vm1
            Issuer:CN=Cisco ISE Self-Signed CA of ise-vm1
            Serial#:0x6f6d4097-21f74c4d-8832ba95-4c320fb1
    ISE CA keys export completed successfully

    导入思科 ISE CA 证书和密钥

    在注册辅助管理节点之后,您必须从 PAN 导出 CA 证书和密钥并将它们导入到辅助管理节点。

    过程

    步骤 1

    在思科 ISE CLI 上输入 application configure ise 命令。

    步骤 2

    输入 8 以导入 CA 证书和密钥。

    步骤 3

    输入存储库名称。

    步骤 4

    输入要导入的文件的名称。文件名应采用以下格式 ise_ca_key_pairs_of_<vm hostname>

    步骤 5

    输入加密密钥以解密文件。

    系统将显示一条成功消息。

    示例:
    The following 4 CA key pairs were imported:
            Subject:CN=Cisco ISE Self-Signed CA of ise-vm1
            Issuer:CN=Cisco ISE Self-Signed CA of ise-vm1
            Serial#:0x21ce1000-8008472c-a6bc4fd9-272c8da4
    
            Subject:CN=Cisco ISE Endpoint CA of ise-vm1
            Issuer:CN=Cisco ISE Self-Signed CA of ise-vm1
            Serial#:0x05fa86d0-092542b4-8ff68ed4-f1964a56
    
            Subject:CN=Cisco ISE Endpoint RA of ise-vm1
            Issuer:CN=Cisco ISE Endpoint CA of ise-vm1
            Serial#:0x77932e02-e8c84b3d-b27e2f1c-e9f246ca
    
            Subject:CN=Cisco ISE OCSP Responder Certificate of ise-vm1
            Issuer:CN=Cisco ISE Self-Signed CA of ise-vm1
            Serial#:0x5082017f-330e412f-8d63305d-e13fd2a5
    
    Stopping ISE Certificate Authority Service...
    Starting ISE Certificate Authority Service...
    ISE CA keys import completed successfully
    
    

     

    思科 ISE 版本 2.6 中引入了对导出的密钥文件的加密。从思科 ISE 版本 2.4 及更早版本导出密钥以及在思科 ISE 版本 2.6 及更高版本中导入密钥都不会成功。


    在主 PAN 和 PSN 上生成根 CA 和从属 CA

    设置部署时,思科 ISE 会在主 PAN 上为思科 ISE CA 服务生成根 CA,在 PSN 上生成从属 CA 证书。但是,当更改 PAN 或 PSN 的域名或主机名时,必须分别在主 PAN 上重新生成根 CA,在 PSN 上重新生成从属 CA。

    如果您要在 PSN 上更改主机名,而不是分别在 PAN 和 PSN 上重新生成根 CA 和从属 CA,则您可以在更改主机名之前对 PSN 取消注册,然后重新注册。新的辅助证书会在 PSN 上自动调配。

    过程


    步骤 1

    选择管理 (Administration) > 系统 (System) > 证书 (Certificates) > 证书签名请求 (Certificate Signing Requests)

    步骤 2

    点击生成证书签名请求 (Generate Certificate Signing Requests)

    步骤 3

    证书将用于 (Certificate(s) will be used for) 下拉列表中选择 ISE 根 CA。

    步骤 4

    点击替换 ISE 根 CA 证书链 (Replace ISE Root CA Certificate chain)

    系统会为部署中的所有节点生成根 CA 和从属 CA 证书。


    下一步做什么

    如果部署中具有辅助 PAN,请从主 PAN 获取思科 ISE CA 证书和密钥的备份,然后在辅助 PAN 上恢复备份。这样确保了辅助 PAN 可以在主 PAN 故障时用作根 CA,您可将辅助 PAN 升级为主 PAN。

    将思科 ISE 根 CA 配置为外部 PKI 的辅助 CA

    如果您希望主 PAN 上的根 CA 作为外部 PKI 的从属 CA,则生成 ISE 中间 CA 证书签名请求,将其发送到外部 CA,获取根 CA 证书和 CA 签名的证书,将根 CA 证书导入受信任证书存储区,将 CA 签名的证书绑定到 CSR。在这种情况下,外部 CA 为根 CA,主 PAN 为外部 CA 的从属 CA,PSN 为主 PAN 的从属 CA。

    过程


    步骤 1

    依次选择管理 (Administration) > 系统 (System) > 证书 (Certificates) > 证书签名请求 (Certificate Signing Requests)

    步骤 2

    点击生成证书签名请求 (CSR) (Generate Certificate Signing Requests [CSR]

    步骤 3

    证书将用于 (Certificate(s) will be used for) 下拉列表选择 ISE 中级 CA。

    步骤 4

    点击生成 (Generate)

    步骤 5

    导出 CSR,将其发送到外部 CA,获取 CA 签名的证书。

    步骤 6

    将根 CA 证书从外部 CA 导入受信任证书库。

    步骤 7

    将 CA 签名证书与 CSR 绑定。


    下一步做什么

    如果部署中具有辅助 PAN,请从主 PAN 获取思科 ISE CA 证书和密钥的备份,然后在辅助 PAN 上恢复备份。然后,服务器和根证书会在辅助 PAN 中自动复制。这可确保在管理节点发生故障切换时,辅助 PAN 可用作外部 PKI 的从属 CA。

    配置思科 ISE 以使用证书对个人设备进行身份验证

    可以配置思科 ISE,为连接到网络的终端(个人设备)发送和管理证书。可以使用内部思科 ISE CA 服务签署来自终端的证书签名请求,或者将 CSR 转发到外部 CA。

    开始之前

    • 从主 PAN 获取思科 ISE CA 证书和密钥备份,将其保存在安全位置,用于灾难恢复目的。

    • 如果部署中具有辅助 PAN,请从主 PAN 备份思科 ISE CA 证书和密钥,然后在辅助 PAN 上恢复备份。

    过程


    步骤 1

    将用户添加到 Employee 用户组

    可以将用户添加到内部身份库或外部身份库,例如 Microsoft Active Directory。

    步骤 2

    为基于 TLS 的身份验证创建证书身份验证配置文件 .

    步骤 3

    为基于 TLS 的身份验证创建身份源序列

    步骤 4

    创建客户端调配策略:

    1. 配置证书颁发机构设置

    2. 创建 CA 模板

    3. 创建要用于客户端调配策略的本地请求方配置文件

    4. 从思科下载适用于 Windows 和 Mac OS X 操作系统的代理资源

    5. 为 Apple iOS、Android 和 MAC OS X 设备创建客户端调配策略规则。

    步骤 5

    为基于 TLS 的身份验证配置 Dot1X 身份验证策略规则

    步骤 6

    为基于 TLS 的身份验证配置授权策略规则。

    1. 为集中式 Web 身份验证和请求方调配流程创建授权配置文件

    2. 创建授权策略规则


    将用户添加到 Employee 用户组

    以下程序介绍如何在思科 ISE 身份库中将用户添加到 Employee 用户组。如果使用外部身份库,请确保具有可向其添加用户的 Employee 用户组。

    过程

    步骤 1

    选择管理 (Administration) > 身份管理 (Identity Management) > 身份 (Identities) > 用户 (Users)

    步骤 2

    点击 Add

    步骤 3

    输入用户详细信息。

    步骤 4

    从 User Group 下拉列表中选择 Employee。

    属于 Employee 用户组的所有用户共享同一组权限。

    步骤 5

    点击提交 (Submit)


    下一步做什么
    为基于 TLS 的身份验证创建证书身份验证配置文件

    为基于 TLS 的身份验证创建证书身份验证配置文件

    要使用证书对连接到您网络的终端进行身份验证,您必须在思科 ISE 中定义证书身份验证配置文件或编辑默认的 Preloaded_Certificate_Profile。证书身份验证配置文件包括应用作主体用户名的证书字段。例如,如果用户名在通用名称字段中,则您可以使用主体用户名定义证书身份验证配置文件,即主题 - 通用名称,该名称可对身份库进行验证。

    过程

    步骤 1

    选择管理 (Administration) > 身份管理 (Identity Management) > 外部身份源 (External Identity Sources) > 证书身份验证配置文件 (Certificate Authentication Profile)

    步骤 2

    输入证书身份验证配置文件的名称。例如,CAP。

    步骤 3

    选择主题 - 通用名称作为 Principal Username X509 Attribute

    步骤 4

    点击保存 (Save)


    下一步做什么
    为基于 TLS 的身份验证创建身份源序列

    为基于 TLS 的身份验证创建身份源序列

    在创建证书身份验证配置文件后,必须将其添加到身份源序列,以便思科 ISE 可从证书获取属性并将其与您在身份源序列中定义的身份源进行匹配。

    开始之前

    确保您已完成以下任务:

    • 向 Employee 用户组添加用户。

    • 为基于证书的身份验证创建证书身份验证配置文件。

    过程

    步骤 1

    依次选择 Administration > Identity Management > Identity Source Sequences

    步骤 2

    点击 Add

    步骤 3

    输入身份源序列的名称。例如 Dot1X。

    步骤 4

    选中选择证书身份验证配置文件 (Select Certificate Authentication Profile) 复选框,然后选择之前创建的证书身份验证配置文件,即 CAP。

    步骤 5

    将包含您的用户信息的身份源移至 Authentication Search List 区域的 Selected 列表框。

    您可以添加更多身份源,思科 ISE 会按照顺序搜索这些数据存储区,直到找到匹配项。

    步骤 6

    点击 Treat as if the user was not found and proceed to the next store in the sequence 单选按钮。

    步骤 7

    点击提交 (Submit)


    下一步做什么
    配置证书颁发机构设置

    配置证书颁发机构设置

    如果您计划将外部 CA 用于为证书签名请求 (CSR) 提供签名,则必须配置外部 CA 设置。在以前版本的思科 ISE 中,外部 CA 设置称为 SCEP RA 配置文件。如果您使用的是思科 ISE CA,则不必明确配置 CA 设置。您可以在 Administration > System > Certificates > Internal CA Settings 下查看内部 CA 设置。

    用户的设备收到已验证的证书后,会按照下表中的说明驻留于设备上。

    表 14. 设备证书位置

    设备

    证书存储位置

    访问方法

    iPhone/iPad

    标准证书库

    Settings > General > Profile

    Android

    加密证书库

    不对最终用户显示。

     

    可以使用 Settings > Location & Security > Clear Storage 选项删除证书。

    Windows

    标准证书库

    /cmd 提示符启动 mmc.exe 或在 snap-in 证书中进行查看。

    Mac

    标准证书库

    Application > Utilities > Keychain Access

    开始之前

    如果您计划将外部证书颁发机构用于为证书签名请求 (CSR) 提供签名,您必须拥有外部 CA 的 URL。

    过程

    步骤 1

    选择管理 (Administration) > 系统 (System) > 证书 (Certificates) > 外部 CA 设置 (External CA Settings)

    步骤 2

    点击 Add

    步骤 3

    为外部 CA 设置输入名称。例如 EXTERNAL_SCEP。

    步骤 4

    在 URL 文本框中输入外部 CA 服务器 URL。

    点击 Test Connection,检查是否可以访问外部 CA。点击 + 按钮以添加更多 CA 服务器 URL。

    步骤 5

    点击提交 (Submit)


    下一步做什么
    创建 CA 模板

    创建 CA 模板

    证书模板定义必须(用于内部或外部 CA)的 SCEP RA 配置文件、、使用者、使用者备选名称 (SAN)、证书有效期和扩展密钥用法。此示例假定您即将使用内部思科 ISE CA。对于外部 CA 模板,有效期由外部 CA 确定,而您无法指定有效期。

    您可以创建新的 CA 模板或编辑默认证书模板 EAP_Authentication_Certificate_Template。

    开始之前

    确保您已配置 CA 设置。

    过程

    步骤 1

    选择管理 (Administration) > 系统 (System) > CA 服务 (CA Service) > 内部 CA 证书模版 (Internal CA Certificate Template)

    步骤 2

    输入内部 CA 模板的名称。例如 Internal_CA_Template。

    步骤 3

    (可选)输入“组织单位”(Organizational Unit)、“企业”(Organization)、“城市”(City)、“省”(State) 和“国家/地区”(Country) 字段的值。

    在证书模板字段(“组织单位”[Organizational Unit]、“企业”[Organization]、“城市”[City]、“省”[State] 和“国家/地区”[Country])中不支持 UTF-8 字符。如果在证书模板中使用 UTF-8 字符,则证书调配将会失败。

    生成证书的内部用户的用户名用作证书的通用名称。思科 ISE 内部 CA 的“通用名称”(Common Name) 字段不支持“+”或“*”字符。确保用户名不包含特殊字符“+”或“*”。

    步骤 4

    指定使用者备选名称 (SAN) 和证书的有效期。

    步骤 5

    指定密钥大小。您必须选择 1024 或更高的密钥大小。

    步骤 6

    指定扩展密钥用法。如果要将证书用于客户端身份验证,选中客户端验证 (Client Authentication) 复选框。如果要将证书用于服务器身份验证,选中服务器身份验证 (Server Authentication) 复选框。

    步骤 7

    点击提交 (Submit)


    系统将创建内部 CA 证书模板并供内部客户端调配策略使用。

    下一步做什么

    创建要用于客户端调配策略的本地请求方配置文件

    内部 CA 设置

    表 15. 内部 CA 设置
    字段名称 使用指南

    Disable Certificate Authority

    点击此按钮以禁用内部 CA 服务。

    主机名

    运行 CA 服务的思科 ISE 节点的主机名。

    相关角色

    在运行 CA 服务的节点上启用的思科 ISE 节点角色。例如管理角色、策略服务角色等。

    Role(s)

    运行 CA 服务的思科 ISE 节点承担的职责。例如,独立、主要或辅助职责。

    CA & OCSP Responder Status

    启用或禁用

    OCSP Responder URL

    思科 ISE 节点用于访问 OCSP 服务器的 URL。

    创建要用于客户端调配策略的本地请求方配置文件

    可以创建本地请求方配置文件,使用户能够将个人设备带入公司网络。思科 ISE 对不同的操作系统使用不同的策略规则。每个客户端调配策略规则都包含一个本地请求方配置文件,其指定针对哪个操作系统而使用哪个调配向导。

    开始之前
    • 在思科 ISE 中配置 CA 证书模板。

    • 打开 TCP 端口 8905 和 UDP 端口 8905 以启用客户端代理和请求方调配向导的安装。有关端口用法的详细信息,请参阅《思科身份服务引擎硬件安装指南》中的“思科 ISE 设备端口参考”附录。

    过程

    步骤 1

    选择策略 (Policy) > 策略元素 (Policy Elements) > 结果 (Results) > 客户端调配 (Client Provisioning) > 资源 (Resources)

    步骤 2

    选择添加 (Add) > 本地请求方配置文件 (Native Supplicant Profile)

    步骤 3

    输入本地请求方配置文件的名称。例如 EAP_TLS_INTERNAL。

    步骤 4

    操作系统 (Operating System) 下拉列表中选择“全部”(ALL)。

    步骤 5

    选中有线 (Wired)无线 (Wireless) 复选框。

    步骤 6

    允许协议 (Allowed Protocol) 下拉列表中选择 TLS。

    步骤 7

    选择之前创建的 CA 证书模板。

    步骤 8

    点击提交 (Submit)


    下一步做什么
    从思科下载适用于 Windows 和 Mac OS X 操作系统的代理资源

    从思科下载适用于 Windows 和 Mac OS X 操作系统的代理资源

    对于 Windows 和 Mac OS X 操作系统,您必须从思科站点下载远程资源。

    开始之前

    验证是否已为您的网络正确配置代理设置,确保能够访问相应的远程位置以将客户端调配资源下载至思科 ISE。

    过程

    步骤 1

    选择策略 (Policy) > 策略元素 (Policy Elements) > 资源 (Resources) > 客户端调配 (Client Provisioning) > 资源 (Resources)

    步骤 2

    选择添加 (Add) > 思科站点的代理资源 (Agent resources from Cisco site)

    步骤 3

    选中 WindowsMAC OS X 包旁边的复选框。确保包含最新的版本。

    步骤 4

    点击保存 (Save)


    下一步做什么
    为 Apple iOS、Android 和 MAC OS X 设备创建客户端调配策略规则。

    为 Apple iOS、Android 和 MAC OS X 设备创建客户端调配策略规则。

    客户端调配资源策略可确定哪些用户会在登录和用户会话启动后从思科 ISE 收到什么版本的资源(代理、代理合规性模块和代理自定义包/配置文件)。

    当您下载代理合规性模块时,它始终会覆盖系统中可用的现有模块(如果有)。

    要允许员工携带 iOS、Android、MAC OS X 设备,必须在“客户端调配策略”页面为上述每一种设备创建策略规则。

    开始之前

    您必须已经配置了所需的本地请求方配置文件并已从 Client Provisioning Policy 页面下载了所需的代理。

    过程

    步骤 1

    选择策略 (Policy) > 客户端调配 (Client Provisioning)

    步骤 2

    为 Apple iOS、Android 和 MAC OS X 设备创建客户端调配策略规则。

    步骤 3

    点击保存 (Save)


    下一步做什么
    为基于 TLS 的身份验证配置 Dot1X 身份验证策略规则

    为基于 TLS 的身份验证配置 Dot1X 身份验证策略规则

    您必须为基于 TLS 的身份验证更新 Dot1X 身份验证策略规则。

    开始之前

    确保您已为基于 TLS 的身份验证创建证书身份验证配置文件。

    过程

    步骤 1

    依次选择 Policy > Authentication

    步骤 2

    点击 Rule-Based 单选按钮。

    默认基于规则的身份验证策略包括一条适用于 Dot1X 身份验证的规则。

    步骤 3

    编辑此 Dot1X 身份验证策略规则。

    步骤 4

    从 Dot1X 策略规则下,依次选择Actions > Insert new row above

    步骤 5

    为规则输入名称。例如,eap-tls。

    步骤 6

    使用表达式生成器创建以下策略条件:如果 Network Access:EapAuthentication 等于 EAP-TLS,则使用您之前创建的证书身份验证配置文件。

    步骤 7

    保留默认规则。

    步骤 8

    点击保存 (Save)


    下一步做什么

    为集中式 Web 身份验证和请求方调配流程创建授权配置文件

    为集中式 Web 身份验证和请求方调配流程创建授权配置文件

    必须定义授权配置文件以确定在基于证书的身份验证成功后必须授予用户的访问权限。

    开始之前

    确保已在无线 LAN 控制器 (WLC) 上配置所需的访问控制列表 (ACL)。有关如何在 WLC 上创建 ACL 的信息,请参阅《TrustSec 操作指南:将证书用于差异化访问》。

    本示例假定已在 WLC 上创建以下 ACL。

    • NSP-ACL - 适用于本地请求方调配

    • BLACKHOLE - 适用于限制对列入阻止列表的设备的访问

    • NSP-ACL-Google - 适用于调配 Android 设备

    过程

    步骤 1

    选择策略 (Policy ) > 策略元素 (Policy Elements) > 结果 (Results) > 授权 (Authorization) > 授权配置文件 (Authorization Profiles)

    步骤 2

    点击 Add 以创建新的授权配置文件。

    步骤 3

    为授权配置文件输入名称。

    步骤 4

    Access Type 下拉列表中选择 ACCESS_ACCEPT。

    步骤 5

    点击 Add,为集中式 Web 身份验证、适用于 Google Play 的集中式 Web 身份验证、本地请求方调配和适用于 Google 的本地请求方调配添加授权配置文件。

    步骤 6

    点击保存 (Save)


    下一步做什么

    创建授权策略规则

    创建授权策略规则

    思科 ISE 评估授权策略规则并授予对基于策略规则中指定的授权配置文件的网络资源的用户访问权限。

    开始之前

    确保已创建所需的授权配置文件。

    过程

    步骤 1

    依次选择策略 (Policy) > 授权 (Authorization)

    步骤 2

    请在默认规则之上插入其他策略规则。

    步骤 3

    点击保存 (Save)


    CA 服务策略参考

    本节提供您在启用思科 ISE CA 服务之前必须创建的授权和客户端调配策略规则的参考信息。

    证书服务的客户端调配策略规则

    本节将列出在使用思科 ISE 证书服务时,您必须创建的客户端调配策略规则。下表将提供详细信息。

    规则名称 身份组 操作系统 其他条件 结果
    iOS 任意 Apple iOS 全部 条件 EAP_TLS_INTERNAL(较早创建的本地请求方配置文件)。如要使用外部 CA,请选择您已经为外部 CA 创建的本地请求方配置文件。
    Android 任意 Android 条件 EAP_TLS_INTERNAL(较早创建的本地请求方配置文件)。如要使用外部 CA,请选择您已经为外部 CA 创建的本地请求方配置文件。
    Mac OS X 任意 MACOSX 条件 在本地请求方配置下,指定以下项目:
    1. 配置向导:选择您从思科网站上下载的 MAC OS X 请求方向导。
    2. 向导配置文件:选择您较早创建的 EAP_TLS_INTERNAL 本地请求方配置文件。如要使用外部 CA,请选择您已经为外部 CA 创建的本地请求方配置文件。

    证书服务的授权配置文件

    本节列出您为在思科 ISE 中启用基于证书的身份验证而必须创建的授权配置文件。您必须已在无线 LAN 控制器 (WLC) 上创建 ACL(NSP-ACL 和 NSP-ACL-Google)。

    • CWA - 此配置文件用于完成集中式 Web 身份验证流程的设备。选中 Web Authentication 复选框,从下拉列表中选择 Centralized,然后在 ACL 文本字段中输入 NSP-ACL。

    • CWA_GooglePlay - 此配置文件用于完成集中式 Web 身份验证流程的 Android 设备。此配置文件使 Android 设备能够访问 Google Play 商店并下载思科网络设置助理。选中 Web Authentication 复选框,从下拉列表中选择 Centralized,然后在 ACL 文本框中输入 NSP-ACL-Google。

    • NSP - 此配置文件用于完成请求方调配流程的非 Android 设备。选中 Web Authentication 复选框,从下拉列表中选择 Supplicant Provisioning,然后在 ACL 文本框中输入 NSP-ACL。

    • NSP Google - 此配置文件用于完成请求方调配流程的 Android 设备。选中 Web Authentication 复选框,从下拉列表中选择 Supplicant Provisioning,然后在 ACL 文本框中输入 NSP-ACL-Google。

    查看默认 Blackhole_Wireless_Access 授权配置文件。Advanced Attributes Settings 应为如下所示:
    • Cisco:cisco-av-pair = url-redirect=https://ip:port/blacklistportal/gateway?portal=PortalID

    • Cisco:cisco-av-pair = url-redirect-acl=BLACKHOLE

    证书服务的授权策略规则

    本节列出您在启用思科 ISE CA 服务时必须创建的授权策略规则。

    • Corporate Assets - 此规则适用于使用 802.1X 和 MSCHAPV2 协议连接到公司无线 SSID 的公司设备。
    • Android_SingleSSID - 此规则适用于访问 Google Play Store 以下载思科网络设置助理进行调配的 Android 设备。此规则专门针对单一 SSID 设置。
    • Android_DualSSID - 此规则适用于访问 Google Play Store 以下载思科网络设置助理进行调配的 Android 设备。此规则专门针对双 SSID 设置。
    • CWA - 此规则适用于需要完成集中式 Web 身份验证流程的设备。
    • NSP - 此规则适用于需要通过使用证书进行 EAP-TLS 身份验证来完成本地请求方调配流程的设备。
    • EAP-TLS - 此规则适用于已完成请求方调配流程并使用证书调配的设备。系统将向设备授予访问网络的权限。

    下表列出您在配置适用于思科 ISE CA 服务的授权策略规则时必须选择的属性和值。本示例假设您在思科 ISE 中已配置相应的授权配置文件。

    规则名称 条件 权限(要应用的授权配置文件)
    Corporate Assets Corp_Assets AND (Wireless 802.1X AND Network Access:AuthenticationMethod EQUALS MSCHAPV2) PermitAccess
    Android_SingleSSID (Wireless 802.1X AND Network Access:AuthenticationMethod EQUALS MSCHAPV2 AND Session:Device-OS EQUALS Android) NSP_Google
    Android_DualSSID (Wireless_MAB AND Session:Device-OS EQUALS Android) CWA_GooglePlay
    CWA Wireless_MAB CWA
    NSP (Wireless 802.1X AND Network Access:AuthenticationMethod EQUALS MSCHAPV2) NSP
    EAP-TLS (Wireless 802.1X AND Network Access:AuthenticationMethod EQUALS x509_PKI PermitAccess

    吊销终端证书

    如果您需要吊销向员工个人设备颁发的证书,您可以从终端证书 (Endpoint Certificates) 页面进行吊销。例如,如果员工的设备被盗或丢失,您可以登录思科 ISE Admin 门户,然后从终端证书 (Endpoint Certificates) 页面吊销颁发给该设备的证书。在此页面上,您可以根据友好名称 (Friendly Name)、设备唯一 Id (Device Unique Id) 或序列号 (Serial Number) 过滤数据。

    如果 PSN(子 CA)已被破坏,您可以通过从终端证书 (Endpoint Certificates) 页面过滤 Issued By 字段,吊销 PSN 颁发的所有证书。

    过程


    步骤 1

    选择管理 (Administration) > 系统 (System) > 证书 (Certificates) > 证书颁发机构 (Certificate Authority) > 已颁发的证书 (Issued Certificates)

    步骤 2

    选中您要吊销的终端证书旁边的复选框,然后点击吊销 (Revoke)

    您可以根据友好名称 (Friendly Name) 和 设备类型 (Device Type) 搜索证书。

    步骤 3

    输入吊销证书的原因。

    步骤 4

    点击 Yes


    OCSP 服务

    在线证书状态协议 (OCSP) 是一种用于检查 x.509 数字证书状态的协议。此协议替代证书吊销列表 (CRL) 并解决导致处理 CRL 的问题。

    思科 ISE 能够通过 HTTP 与 OCSP 服务器进行通信,以在身份验证中验证证书的状态。OCSP 配置在可从思科 ISE 中配置的任何证书颁发机构 (CA) 证书引用的可重用配置对象中进行配置。

    您可以根据 CA 配置 CRL 和/或 OCSP 验证。如果同时选择两者,则思科 ISE 会先通过 OCSP 执行验证。如果检测到主 OCSP 服务器和辅助 OCSP 服务器均有通信问题,或者如果针对给定证书返回未知状态,则思科 ISE 会切换至检查 CRL。

    思科 ISE CA 服务在线证书状态协议响应器

    思科 ISE CA OCSP 响应器是与 OCSP 客户端进行通信的服务器。思科 ISE CA 的 OCSP 客户端包括内部思科 ISE OCSP 客户端和自适应安全设备 (ASA) 上的 OCSP 客户端。OCSP 客户端应使用 RFC 2560 和 5019 中定义的 OCSP 请求/响应结构与 OCSP 响应器进行通信。

    ISE CA 向 OCSP 响应器颁发证书。OCSP 响应器在端口 2560 上侦听任何传入请求。此端口配置为仅允许 OCSP 流量。

    OCSP 响应器接受遵循 RFC 2560 和 5019 中定义的结构的请求。OCSP 请求中支持随机数扩展。OCSP 响应器获取证书的状态,然后创建 OCSP 响应并对其进行签名。OCSP 响应不会缓存到 OCSP 响应器上,但您可以将 OCSP 响应缓存到客户端上,最长期限为 24 小时。OCSP 客户端应验证 OCSP 响应中的签名。

    PAN 上的自签名 CA 证书(如果 ISE 用作外部 CA 的中间 CA,则是中间 CA 证书)颁发 OCSP 响应器证书。PAN 上的此 CA 证书颁发 PAN 和 PSN 上的 OCSP 证书。此自签名 CA 证书也是整个部署的根证书。整个部署中的所有 OCSP 证书都放在 ISE 的受信任证书库中,以验证任何使用这些证书签名的响应。



    思科 ISE 会从 OCSP 响应器服务器接收 thisUpdate 值,该值指明了自上次证书撤销以来的时间。如果 thisUpdate 值大于 7 天,则思科 ISE 中的 OCSP 证书验证失败。


    OCSP 证书状态值

    OCSP 服务面向给定的证书请求返回以下值:

    • Good - 表示对状态查询的肯定回答。它意味着仅在下次时间间隔(存活时间)值之前证书未被吊销并且状态良好。

    • Revoked - 证书被吊销。

    • Unknown - 证书状态未知。如果证书不是由此 OCSP 响应者的 CA 颁发,则 OCSP 服务会返回此值。

    • Error - 没有收到 OCSP 请求的任何响应。

    OCSP 高可用性

    思科 ISE 能够为每个 CA 配置最多两台 OCSP 服务器,我们将其称为主 OCSP 服务器和辅助 OCSP 服务器。每个 OCSP 服务器配置均包含以下参数:

    • URL - OCSP 服务器 URL。

    • Nonce - 请求中发送的随机数。此选项可确保重放攻击无法利用旧通信数据。

    • Validate response - 思科 ISE 验证从 OCSP 服务器接收到的响应签名。

    在超时(5 秒钟)情况下,当思科 ISE 与主要 OCSP 服务器进行通信时,它会切换为辅助 OCSP 服务器。

    思科 ISE 在尝试再次使用主要服务器之前,会在可配置的时间内使用辅助 OCSP 服务器。

    OCSP 故障

    以下是三个一般 OCSP 故障情况:

    • OCSP 缓存或 OCSP 客户端(思科 ISE)故障。

    • OCSP 响应器故障情况,例如:

      第一个主要 OCSP 响应器无响应,辅助 OCSP 响应器响应思科 ISE OCSP 请求。

      无法从思科 ISE OCSP 请求接收错误或响应。

      OCSP 响应器可能不向思科 ISE OCSP 请求提供响应或可能返回一个不成功的 OCSP Response Status 值。可能的 OCSP Response Status 值如下所示:

      • tryLater

      • signRequired

      • unauthorized

      • internalError

      • malformedRequest

        OCSP 请求中有很多日期时间检查、签名验证检查等。有关详细信息,请参阅 RFC 2560 X.509 互联网公共密钥基础结构在线证书状态协议 - OCSP,其中描述了所有可能的状态,包括错误状态。

    • OCSP 报告故障

    添加 OCSP 客户端配置文件

    您可以使用 OCSP Client Profile 页面,将新 OCSP 客户端配置文件添加到思科 ISE。

    开始之前

    如果 Certificate Authority (CA) 正在非标准端口(不是 80 或 443)上运行 OCSP 服务,则必须在交换机上配置 ACL,允许在思科 ISE 和 CA 之间通过此端口进行通信。例如:

    permit tcp <source ip> <destination ip> eq <OCSP port number>

    过程


    步骤 1

    选择 管理 (Administration) > 系统 (System) > 证书 (Certificates) > 证书管理 (Certificate Management) > OCSP 客户端配置文件 (OCSP Client Profile)

    步骤 2

    输入值,添加 OCSP 客户端配置文件。

    步骤 3

    点击提交 (Submit)


    OCSP 客户端配置文件设置

    表 16. OCSP 客户端配置文件设置
    字段名称 使用指南

    Name

    OCSP 客户端配置文件的名称。

    说明

    输入可选的说明。

    启用辅助服务器

    选中此复选框来以启用高可用性辅助 OCSP 服务器。

    总是先访问主服务器

    使用此选项以在尝试移至辅助服务器之前先检查主要服务器。即使之前已检查主要服务器并且发现主服务器无响应,思科 ISE 在移至辅助服务器之前仍会尝试向主要服务器发送请求。

    n 分钟后回退至主服务器

    当您希望思科 ISE 移至辅助服务器,然后再回退到主服务器时,请使用此选项。在这种情况下,系统将跳过所有其他请求,并按照该文本框中配置的时间使用辅助服务器。允许的时间范围是 1 至 999 分钟。

    URL

    输入主要和/或辅助 OCSP 服务器的 URL。

    启用 Nonce 扩展支持

    您可以配置一个作为 OCSP 请求的一部分发送的 Nonce。Nonce 会在 OCSP 请求中包含一个伪随机数。系统会验证在响应中接收的数值是否与请求中包含的此数相同。此选项可确保重放攻击无法利用旧通信数据。

    验证响应签名

    OCSP 响应器用以下一个证书为响应签名:

    • CA 证书

    • 与 CA 证书不同的证书

      为了使思科 ISE 验证响应签名,OCSP 响应器需要连同该证书一起发送响应,否则响应验证会失败,而且证书状态不可靠。根据 RFC,OCSP 可以使用不同的证书给响应签名。只要 OCSP 发送给响应签名的证书以供思科 ISE 进行验证,就会如此。如果 OCSP 使用思科 ISE 中未配置的其他证书给响应签名,响应验证将失败。

    缓存条目生存时间 n 分钟 (Cache Entry Time To Live n Minutes)

    以分钟为单位输入缓存项目在多长时间之后过期。来自 OCSP 服务器的每个响应都有一个 nextUpdate 值。此值显示服务器上接下来将于何时更新证书的状态。缓存 OCSP 响应时,系统会比较两个值(一个是来自配置的值,另一个是来自响应的值),系统会按照这两个值中最低的值将响应缓存相应的时间。如果 nextUpdate 值为 0,则根本不缓存响应。思科 ISE 将 OCSP 响应缓存所配置的时间。缓存不复制,也不是持久性的,所以当思科 ISE 重新启动时,系统会清除缓存。使用 OCSP 缓存是为了保持 OCSP 响应以及出于以下原因:
    • 减少网络流量和降低 OCSP 服务器对已知证书带来的负载

    • 通过缓存已知证书状态提高思科 ISE 性能

    清除缓存

    点击 清除缓存 以清除连接至 OCSP 服务的所有证书颁发机构的条目。

    在部署中,清楚缓存与所有节点交互并执行此操作。此机制可更新部署中的每个节点。

    OCSP 统计计数器

    思科 ISE 使用 OCSP 计数器记录并监控 OCSP 服务器的数据和运行状况。日志记录每五分钟记录进行一次。思科 ISE 将系统日志消息发送到监控节点,并在本地库中进行保存。本地库包含之前五分钟的数据。思科 ISE 发送系统日志消息后,计数器会重新开始计算下一个间隔。这表示在五分钟后,新的五分钟时间间隔将会启动。

    以下表格列出 OCSP 系统日志消息及其说明。

    表 17. OCSP 系统日志消息

    消息

    说明

    OCSPPrimaryNotResponsiveCount

    无响应的主请求数量

    OCSPSecondaryNotResponsiveCount

    无响应的辅助请求数量

    OCSPPrimaryCertsGoodCount

    对于使用 OCSP 主服务器的给定 CA 所返回的“good”证书数量

    OCSPSecondaryCertsGoodCount

    对于使用 OCSP 主服务器的给定 CA 所返回的“good”状态数量

    OCSPPrimaryCertsRevokedCount

    对于使用 OCSP 主服务器的给定 CA 所返回的“revoked”状态数量

    OCSPSecondaryCertsRevokedCount

    对于使用 OCSP 辅助服务器的给定 CA 所返回的“revoked”状态数量

    OCSPPrimaryCertsUnknownCount

    对于使用 OCSP 主服务器的给定 CA 所返回的“Unknown”状态数量

    OCSPSecondaryCertsUnknownCount

    对于使用 OCSP 辅助服务器的给定 CA 所返回的“Unknown”状态数量

    OCSPPrimaryCertsFoundCount

    主源缓存中查找到的证书数量

    OCSPSecondaryCertsFoundCount

    辅助源缓存中查找到的证书数量

    ClearCacheInvokedCount

    经过间隔时间后触发缓存清理的次数

    OCSPCertsCleanedUpCount

    经过间隔时间后清除的已缓存条目的数量

    NumOfCertsFoundInCache

    缓存中已执行的请求数量

    OCSPCacheCertsCount

    在 OCSP 缓存中查找到的证书数量

    配置管理员访问策略

    RBAC 策略以 if-then 的格式表示,其中 if 是 RBAC Admin Group 的值,then 是 RBAC Permissions 的值。

    RBAC 策略窗口( 管理 (Administration) > 系统 (System) > 管理访问 (Admin Access) > 授权 (Authorization))包含默认策略列表。您无法编辑或删除这些默认策略。通过 RBAC 策略页面,还可以为工作场所的专门管理员组创建自定义 RBAC 策略,并将其应用于个性化管理员组。

    分配有限菜单访问权限时,请确保数据访问权限允许管理员访问使用指定菜单时所必需的数据。例如,如果给予对 MyDevices 门户的菜单访问权限,但不允许对终端身份组进行数据访问,则该管理员无法修改该门户。



    管理员用户可以将终端 MAC 地址从他们拥有只读访问权限的终端身份组移动到他们拥有完全访问权限的终端身份组。反之则不可能。


    开始之前

    • 创建要为其定义基于角色的访问控制 (RBAC) 策略的所有管理员组。

    • 确保这些管理员组映射到各对应的管理员用户。

    • 确保您已配置 RBAC 权限,例如菜单访问和数据访问权限。

    过程


    步骤 1

    选择管理 (Administration) > 系统 (System) > 管理员访问 (Admin Access) > 授权 (Authorization) > 策略 (Policy)

    RBAC Policies 页面包含一系列适用于默认管理员组的现成的预定义策略。您无法编辑或删除这些默认策略。

    步骤 2

    点击任意默认 RBAC 策略规则旁边的 Actions

    在这里,您可以插入新的 RBAC 策略,复制现有 RBAC 策略和删除现有 RBAC 策略。

    步骤 3

    点击 Insert new policy

    步骤 4

    为 Rule Name、RBAC Group(s) 和 Permissions 字段输入相应值。

    在创建 RBAC 策略时,您不能选择多个菜单访问和数据访问权限。

    步骤 5

    点击保存 (Save)


    管理员访问设置

    思科 ISE 允许为管理员帐户定义某些规则以增强安全性。您可以限制对管理接口的访问,强制管理员使用强密码和定期更改密码等。在思科 ISE 中的“管理员帐户设置”(Administrator Account Settings) 中定义的密码策略适用于所有管理员帐户。

    思科 ISE 支持包含 UTF-8 字符的管理员密码。

    配置最大数量的并发管理会话和登录横幅

    您可以配置最大数量的并发管理 GUI 或 CLI (SSH) 会话和登录横幅,它们对访问您的管理 Web 或 CLI 界面的管理员有帮助和指导作用。您可以将登录横幅配置为在管理员登录之前和登录之后显示。默认情况下,这些登录横幅处于禁用状态。但是,您无法为单个管理员账户配置最大并发会话数。

    开始之前

    要执行以下任务,您必须是超级管理员或系统管理员。

    过程


    步骤 1

    选择管理 (Administration) > 系统 (System) > 管理员访问权限 (Admin Access) > 设置 (Settings) > 访问权限 (Access) > 会话 (Session)

    步骤 2

    输入您要允许通过 GUI 和 CLI 界面的最大数量的并发管理会话。并发管理 GUI 会话的有效范围为 1 至 20。并发管理 CLI 会话的有效范围为 1 至 10。

    步骤 3

    如果希望思科 ISE 在管理员登录之前显示消息,请选中登录前横幅 (Pre-login banner) 复选框,然后在文本框中输入消息。

    步骤 4

    如果希望思科 ISE 在管理员登录之后显示消息,请选中登录后横幅 (Post-login banner) 复选框,然后在文本框中输入消息。

    步骤 5

    点击保存


    允许从“选择 IP 地址”(Select IP Addresses) 对思科 ISE 进行管理访问

    思科 ISE 允许您配置 IP 地址列表,管理员可通过列表中的 IP 地址访问思科 ISE 管理界面。

    管理员访问控制设置仅适用于承担管理、策略服务或监控角色的思科 ISE 节点。这些限制会从主要节点复制到辅助节点。这些限制不适用于 Inline Posture 节点。

    开始之前

    要执行以下任务,您必须是超级管理员或系统管理员。

    过程


    步骤 1

    选择 管理 (Administration) > 系统 (System) > 管理员访问 (Admin Access) > 设置 (Settings) > 访问 (Access) > IP 访问 (IP Access)

    步骤 2

    点击仅允许列出的 IP 地址进行连接 (Allow only Listed IP addresses to Connect) 单选按钮。

    步骤 3

    配置访问限制的 IP 列表 (Configure IP List for Access Restriction) 区域中,点击添加 (Add)

    步骤 4

    添加 IP CIDR (Add IP CIDR) 对话框中,在 IP 地址 (IP Address) 字段中输入无类域间路由 (CIDR) 格式的 IP 地址。

     

    该 IP 地址可以是 IPv4 或 IPv6 地址。您可以为一个思科 ISE 节点配置多个 IPv6 地址。

    步骤 5

    CIDR 格式的子网掩码 (Netmask in CIDR format) 字段中输入网络掩码。

    步骤 6

    点击确定 (OK)

    重复步骤 4-7 在此列表中添加更多 IP 地址范围。

    步骤 7

    点击保存 (Save) 保存所做的更改。

    步骤 8

    点击重置 (Reset) 以刷新 IP 访问 (IP Access) 窗口。


    为管理员帐户配置密码策略

    思科 ISE 还允许您为管理员帐户创建密码策略,以增强安全性。您可以定义是否需要进行基于密码或基于客户端证书的管理员身份验证。您在此处定义的密码策略将应用于思科 ISE 中的所有管理员帐户。



    • 内部管理员用户的电子邮件通知将发送到 root@host。无法配置电子邮件地址,并且许多 SMTP 服务会拒绝此电子邮件。

      遵循开放缺陷 CSCui5583,此增强允许您更改电子邮件地址。

    • 思科 ISE 支持包含 UTF-8 字符的管理员密码。


    开始之前

    • 要执行以下任务,您必须是超级管理员或系统管理员。

    过程


    步骤 1

    选择 管理 (Administration) > 系统 (System) > 管理员访问 (Admin Access) > 身份验证 (Authentication)

    步骤 2

    点击以下身份验证方式之一的单选按钮:

    • 基于密码 (Password Based):选择此选项可使用标准用户 ID 和密码凭证进行管理员登录。从身份源 (Identity Source) 下拉列表中选择内部 (Internal)外部 (External)

       

      如果您已配置外部身份源(例如 LDAP)并且想要使用该身份源作为向管理员用户授予访问权限的身份验证源,则必须从 Identity Source 列表框中选择该特定身份源。

    • 基于客户端证书 (Client Certificate Based):选择此选项以指定基于证书的策略。从证书身份验证配置文件 (Certificate Authentication Profile)下拉列表中,选择现有的身份验证配置文件。从身份源 (Identity Source) 下拉列表中选择所需的值。

    步骤 3

    点击密码策略 (Password Policy) 选项卡并输入所需的值,以便配置思科 ISE GUI 和 CLI 密码要求。

    步骤 4

    点击保存 (Save) 保存管理员密码策略。

     

    如果在登录时使用外部身份库验证管理员的身份,请记住,即便为应用到该管理员配置文件的密码策略配置了此设置,外部身份库也仍会验证管理员的用户名和密码。


    配置管理员会话超时

    在思科 ISE 中,可以确定管理 GUI 会话处于非活动状态但仍保持连接的时间长度。可以指定思科 ISE 在注销管理员之前经过的时间(以分钟为单位)。会话超时后,管理员必须重新登录才能访问思科 ISE 管理员门户。

    开始之前

    要执行以下任务,您必须是超级管理员或系统管理员。

    过程


    步骤 1

    选择管理 (Administration) > 系统 (System) > 管理员访问权限 (Admin Access) > 设置 (Settings) > 会话 (Session) > 会话超时 (Session Timeout)

    步骤 2

    输入思科 ISE 在没有活动的情况下注销管理员之前需要等待的时间(以分钟为单位)。默认值为 60 分钟。有效范围为 6 至 100 分钟。

    步骤 3

    点击保存 (Save)


    终止活动管理会话

    思科 显示所有活动管理会话,您可以从中选择任意会话并在必要时随时终止所选会话。并行管理 GUI 会话的最大数量为 20 个。如果达到 GUI 会话的最大数量,属于超级管理员组的管理员可以登录并阻止某些会话。

    开始之前

    要执行以下任务,您必须是超级管理员。

    过程


    步骤 1

    选择管理 (Administration) > 系统(System) > 管理员访问权限 (Admin Access) > 设置 (Settings) > 会话 (Session) > 会话信息 (Session Info)

    步骤 2

    选中要终止的会话 ID 旁边的复选框,然后点击失效 (Invalidate)


    更改管理员名称

    思科 ISE 允许您从思科 ISE GUI 更改用户名。

    开始之前

    要执行以下任务,您必须是超级管理员或系统管理员。

    过程


    步骤 1

    登录思科 ISE 管理门户。

    步骤 2

    单击思科 ISE GUI 右上角的齿轮图标 (),然后从下拉列表中选择帐户设置 (Account Settings)

    步骤 3

    在显示的管理员用户 (Admin User) 对话框中输入新用户名。

    步骤 4

    编辑有关要更改的帐户的任何其他详细信息。

    步骤 5

    点击保存 (Save)


    管理员访问设置

    您可以通过这些部分来为管理员配置访问设置。

    管理员密码策略设置

    下表介绍了密码策略 (Password Policy) 选项卡中的字段,可以使用此选项卡来定义管理员密码应满足的条件。此窗口的导航路径为:管理 (Administration) > 系统 (System) > 管理员访问权限 (Admin Access) > 身份验证 (Authentication) > 密码策略 (Password Policy)

    表 18. 管理员密码策略设置

    字段名称

    使用指南

    最小长度 (Minimum Length)

    指定密码的最小长度(以字符数为单位)。默认值为 6 个字符。

    密码不可包含管理员姓名或其反向顺序的字符

    选中此复选框可限制使用管理员用户名或其反向顺序的字符。

    密码不可包含“cisco”或其反向顺序的字符

    选中此复选框可限制使用字词“cisco”或其反向顺序的字符。

    密码不可包含 ________ 或其反向顺序的字符

    选中此复选框可限制使用您定义的任何字词或其反向顺序的字符。

    密码不可包含连续重复四次或以上的字符

    选中此复选框可限制使用连续重复四次或以上的字符。

    必用字符

    指定管理员密码必须包含从以下选项中选择的类型的至少一个字符:

    • 小写字母字符

    • 大写字母字符

    • 数字字符

    • 非字母数字字符

    密码历史记录 (Password History)

    指定必须与新密码不同的先前密码的数量,以防止重复使用同一密码。

    此外,指定必须与先前密码不同的字符的数量。

    输入在其之前不能重复使用密码的天数。

    “密码有效期”(Password Lifetime)

    指定以下选项来强制用户在经过指定时间段后更改密码:

    • “如果此时间(按天计)过后未更改密码,则禁用管理员帐户。”(Time (in days) before the administrator account is disabled if the password is not changed.) (允许的范围是 0 至 2147483647 天。)

    • “禁用管理员帐户之前的提醒时间(按天计)。”(Reminder (in days) before the administrator account is disabled.)

    “不正确的登录尝试之后锁定或暂停帐户”(Lock or Suspend Account with Incorrect Login Attempts)

    指定思科 ISE 在将管理员锁定以及暂停或禁用帐户凭证之前记录错误管理员密码的次数。

    系统会向其帐户已锁定的管理员发送邮件。您可以输入自定义邮件补救消息。

    会话超时和会话信息设置

    下表介绍会话 (Session) 窗口中的字段,您可以使用此窗口定义会话超时和终止活动管理会话。此窗口的导航路径为:管理 (Administration) > 系统 (System) > 管理员访问 (Admin Access) > 设置 (Settings) > 会话 (Session)

    表 19. 会话超时和会话信息设置

    字段名称

    使用指南

    会话超时

    会话空闲超时 (Session Idle Timeout)

    输入思科 ISE 在没有活动的情况下注销管理员之前需要等待的时间(以分钟为单位)。默认值为 60 分钟。有效范围为 6 至 100 分钟。

    会话信息

    失效 (Invalidate)

    选中要终止的会话 ID 旁边的复选框,然后单击失效 (Invalidate)