证书颁发者 (Certificate Issuer)
|
友好名称 (Friendly Name)
|
输入证书的友好名称。此字段是可选字段。如果不输入友好名称,则系统会以以下格式生成默认名称:
common-name#issuer#nnnnn
|
状态 (Status)
|
从下拉列表中选择启用 (Enabled) 或禁用 (Disabled)。如果证书被禁用,则思科 ISE 将不使用此证书建立信任。
|
Description
|
(可选)输入说明。
|
使用情况 (Usage)
|
信任 ISE 中的身份验证 (Trust for authentication within ISE)
|
如果您想要使用此证书验证服务器证书(从其他思科 ISE 节点或 LADP 服务器),请选中此复选框。
|
信任客户端身份验证和系统日志 (Trust for client authentication and Syslog)
|
(仅在选中了信任 ISE 中的身份验证”(Trust for authentication within ISE) 复选框时适用)如果您想将此证书用于以下用途,请选中此复选框:
|
信任基于证书的管理员身份验证
|
仅当选择信任客户端身份验证和系统日志 (Trust for client authentication and Syslog) 时,才能选中此复选框。
选中此复选框可启用基于证书的身份验证用于管理员访问。将所需的证书链导入受信任证书存储区。
|
信任思科服务的身份验证 (Trust for authentication of Cisco Services)
|
如果您希望将此证书用于信任源服务等外部思科服务,请选中此复选框。
|
证书状态验证 (Certificate Status Validation)
|
思科 ISE 支持使用两种方法检查特定 CA 颁发的客户端或服务器证书的吊销状态。第一种方法是使用在线证书状态协议 (OCSP) 验证证书,其将向 CA 维护的 OCSP 服务发送请求。第二种方法是按照从 CA 下载至思科 ISE 的 CRL
验证证书。可以同时启用这两种方法,在这种情况下首先使用 OCSP 方法,只有在无法确定证书状态时,才会使用 CRL 方法。
|
验证 OCSP 服务 (Validate Against OCSP Service)
|
选中此复选框以按照 OCSP 服务验证证书。您必须先创建 OCSP 服务才能选中此复选框。
|
如果 OCSP 返回未知状态则拒绝请求 (Reject the request if OCSP returns UNKNOWN status)
|
如果 OCSP 服务无法确定证书状态,则选中此复选框以拒绝请求。在选中此复选框的情况下,如果 OCSP 服务返回未知状态值,此服务将导致思科 ISE 拒绝当前评估的客户端或服务器证书。
|
OCSP 响应器无法访问时拒绝请求 (Reject the request if OCSP Responder is unreachable)
|
选中此复选框供思科 ISE 在 OCSP 响应器无法访问时拒绝请求。
|
下载 CRL (Download CRL)
|
选中此复选框以使思科 ISE 下载 CRL。
|
CRL 分类的 URL (CRL Distribution URL)
|
输入用于从 CA 下载 CRL 的 URL。如果在证书颁发机构证书中指定了 URL,则系统会自动填写此字段。URL 必须以“http”、“https”或“ldap”开头。
|
检索 (Retrieve CRL)
|
可以自动或定期下载 CRL。请配置下载时间间隔。
|
如果下载失败,请稍候 (If download failed, wait)
|
配置在思科 ISE 再次尝试下载 CRL 之前等待的时间间隔。
|
如果 CRL 没有收到,绕过此 CRL 验证 (Bypass CRL Verification if CRL is not Received)
|
选中此复选框,以使系统在收到 CRL 之前接受客户端请求。如果取消选中此复选框,思科 ISE 会拒绝使用选定 CA 签名的证书的所有客户端请求,直到收到 CRL 文件为止。
|
忽略 CRL 无效或已过期 (Ignore that CRL is not yet valid or expired)
|
如果您希望思科 ISE 忽略开始日期和到期日期并继续使用非活动或已过期 CRL 以及根据 CRL 内容允许或拒绝 EAP-TLS 身份验证,请选中此复选框。
如果您希望思科 ISE 在 Effective Date 字段指定的开始日期和 Next Update 字段指定的到期日期检查 CRL 文件,请取消选中此复选框。如果 CRL 尚未激活或已到期,思科 ISE 会拒绝使用此 CA 签名的证书的所有身份验证。
|