瞭解ISE內部證書頒發機構服務

本檔案介紹CA服務和思科身分識別服務引擎(ISE)中存在的透過安全傳輸(EST)註冊(Enrollment over Secure Transport，EST)服務。

必要條件

需求

思科建議您瞭解以下主題：

• ISE
• 憑證與公開金鑰基礎架構(PKI)
• 簡單憑證註冊通訊協定(SCEP)
• 線上憑證狀態通訊協定(OCSP)

採用元件

本檔案中的資訊是根據身分識別服務引擎3.0。

本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除（預設）的組態來啟動。如果您的網路運作中，請確保您瞭解任何指令可能造成的影響。

證書頒發機構(CA)服務

證書可以由外部證書頒發機構(CA)自簽名或數位簽章。思科ISE內部證書頒發機構(ISE CA)從集中控制檯頒發和管理終端的數位證書，以允許員工在公司網路上使用其個人裝置。 CA簽名的數位證書被視為行業標準，並且更安全。主策略管理節點(PAN)是根CA。策略服務節點(PSN)是從屬CA到主PAN。

ISE CA功能

ISE CA提供以下功能：

• 證書頒發：驗證和簽署連線到網路的終端的證書簽名請求(CSR)。

• 金鑰管理：在PAN和PSN節點上生成並安全地儲存金鑰和證書。

• 證書儲存：儲存頒發給使用者和裝置的證書。

• 線上證書狀態協定(OCSP)支援：提供OCSP響應程式以檢查證書的有效性。

在管理和策略服務節點上調配的ISE CA證書

安裝後，思科ISE節點調配了根CA證書和節點CA證書來管理終端證書。

設定部署後，指定為主要管理節點(PAN)的節點將成為根CA。PAN具有根CA證書和由根CA簽名的節點CA證書。

當輔助管理節點(SAN)註冊到PAN時，生成節點CA證書並由主管理節點上的根CA簽名。

向PAN註冊的任何策略服務節點(PSN)都調配由終端CA和由PAN的節點CA簽名的OCSP證書。策略服務節點(PSN)是從CA到PAN。使用ISE CA時，PSN上的終端CA向訪問網路的終端頒發證書。

註：從ISE 3.1補丁2和ISE 3.2 FCS，OCSP證書層次結構已更改。

根據RFC 6960:

「證書頒發機構必須執行以下操作之一：

  — 簽署OCSP響應本身，或

  — 明確將該機構指定給另一個實體」

「OCSP響應簽名人的證書必須由請求中標識的CA直接頒發。 "

"系統（依賴於）OCSP響應必須識別由頒發相關證書的CA頒發的委派證書，前提是委派證書和檢查撤銷的證書(is)由同一金鑰簽名。" 

為了符合前面提到的RFC標準，在ISE中更改OCSP響應方證書的證書層次結構。OCSP響應方證書現在由同一節點的終端子CA頒發，而不是PAN中的節點CA。

通過安全傳輸(EST)服務註冊

公鑰基礎設施(PKI)的概念存在已久。PKI通過數位證書形式的簽名公鑰對來認證使用者和裝置的身份。透過安全傳輸註冊(EST)是提供這些憑證的通訊協定。EST服務定義如何對使用通過加密消息語法(CMC)進行證書管理(Certificate Management over Cryptographic Message Syntax， CMC)的客戶端在安全傳輸上執行證書註冊。根據IETF - 「EST描述了一個簡單但功能正常的證書管理協定，它面向需要獲取客戶端證書和相關證書頒發機構(CA)證書的公鑰基礎設施(PKI)客戶端。它還支援客戶端生成的公鑰/私鑰對，以及CA生成的金鑰對。」

EST使用案例

可以使用EST協定：

• 通過安全唯一裝置標識註冊網路裝置
• 自帶裝置解決方案

為什麼EST

EST和SCEP協定都定址證書調配。EST是簡單憑證註冊通訊協定(SCEP)的後繼路由器。由於SCEP的簡單性，多年來它一直是證書調配中的實際協定。但是，出於以下原因，建議使用EST over SCEP:

• 使用TLS安全傳輸證書和郵件 — 在EST中，證書簽名請求(CSR)可以與已信任並使用TLS進行身份驗證的請求者關聯。除了他們自己，客戶不能為任何人獲取證書。在SCEP中，CSR透過使用者端和CA之間的共用金鑰進行驗證。這會帶來安全隱患，因為有權訪問共用金鑰的人員可以為自身以外的實體生成證書。
• 支援註冊ECC簽名的證書 — EST提供加密靈活性。它支援橢圓曲線加密(ECC)。SCEP不支援ECC並依賴RSA加密。與RSA等其他加密演算法相比，ECC提供了更高的安全性和更好的效能，即使它使用的金鑰大小要小得多。
• EST旨在支援自動證書重新註冊。

TLS經過驗證的安全性和持續改進有助於確保EST交易在加密保護方面是安全的。SCEP與RSA緊密整合以保護資料，隨著技術的進步，帶來了安全問題。

ISE中的EST

為了實施此協定，需要客戶端和伺服器模組：

• EST客戶端 — 嵌入到常規ISE tomcat中。
• EST伺服器 — 部署在稱為NGINX的開源Web伺服器上。此過程作為獨立進程運行，在埠8084上監聽。

EST支援基於證書的客戶端和伺服器身份驗證。終端CA為EST客戶端和EST伺服器頒發證書。EST客戶端和伺服器證書及其各自的金鑰儲存在ISE CA的NSS DB中。

ISE EST中的請求型別

每當EST伺服器啟動時，它會從CA伺服器獲取所有CA證書的最新副本並儲存它。然後，EST客戶端可以發出一個CA證書請求，從該EST伺服器獲取整個證書鏈。在制定簡單註冊請求之前，EST客戶端必須首先發出CA證書請求。

CA憑證請求（基於RFC 7030）

1. EST客戶端請求當前CA證書的副本。
2. 操作路徑值為HTTPS GET消息 /cacerts.
3. 此操作在任何其他的EST請求之前執行。
4. 每5分鐘進行一次請求，以獲取最新CA證書的副本。
5. EST伺服器不得要求客戶端身份驗證。

第二個請求是一個簡單的註冊請求，它需要在EST客戶端和EST伺服器之間進行身份驗證。每次終端連線到ISE並發出證書請求時都會發生這種情況。

簡單註冊請求（基於RFC 7030）

1. EST客戶端向EST伺服器請求證書。
2. 操作路徑值為HTTPS POST消息 /simpleenroll. 
3. EST客戶端在此呼叫中嵌入PKCS#10請求，該呼叫將傳送到ISE。
4. EST伺服器必須對客戶端進行身份驗證。

EST和CA服務狀態

CA和EST服務只能在啟用了會話服務的策略服務節點上運行。要在節點上啟用會話服務，請導航到 Administration > System > Deployment .選擇需要啟用會話服務的伺服器主機名，然後按一下 Edit .選擇 Enable Session Services  策略服務角色下的覈取方塊。

GUI上顯示的狀態

EST服務狀態與ISE上的ISE CA服務狀態關聯。如果CA服務啟動，則EST服務啟動；如果CA服務關閉，則EST服務也關閉。

CLI上顯示的狀態

儀表板上的警報

如果EST和CA服務關閉，ISE控制面板上會顯示警報。

CA和EST服務未運行時的影響

• EST客戶端 /cacerts 當EST伺服器關閉時，可能發生呼叫失敗。 其 /cacerts  如果EST CA鏈證書CA鏈不完整，也會發生呼叫失敗。
  

• 基於ECC的終端證書註冊請求失敗。

• 如果發生前兩次故障，BYOD流中斷。
• 可以生成隊列連結錯誤警報。

疑難排解

如果使用EST協定的BYOD流無法正常工作，請檢查以下條件：

• 證書服務終結點子CA證書鏈已完成。若要檢查憑證鏈結是否完整：

  1. 導航至  Administration > System > Certificates > Certificate Authority > Certificate Authority Certificates .

  2. 選擇憑證旁的覈取方塊，然後按一下「View」以檢查特定憑證。

• 確保CA和EST服務已啟動並正在運行。如果服務未運行，請導航至 Administration > System > Certificates > Certificate Authority > Internal CA Settings  以便啟用CA服務。

• 如果已執行升級，請在升級後替換ISE根CA證書鏈。為此：

  1. 選擇  Administration > System > Certificates > Certificate Management > Certificate Signing Requests .

  2. 按一下 Generate Certificate Signing Requests (CSR).

  3. 選擇 ISE Root CA  在 Certificate(s) will be used for  下拉選單

  4. 按一下 Replace ISE Root CA Certificate Chain .

• 可用於檢查日誌的有用調試包括 est 中， provisioning 中， ca-service ,和 ca-service-cert .請參閱 ise-psc.log 中， catalina.out 中， caservice.log , 和 error.log  檔案。

相關資訊

• 思科技術支援與下載