在ISE上配置證書續訂
簡介
本文檔介紹在Cisco Identity Services Engine(ISE)上續訂證書的最佳實踐和主動過程。
必要條件
需求
思科建議您瞭解以下主題:
- X509 憑證
- 使用憑證設定 Cisco ISE
採用元件
本文中的資訊係根據以下軟體和硬體版本:
- Cisco ISE 版本 3.0.0.458
- 設備或 VMware
本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除(預設)的組態來啟動。如果您的網路運作中,請確保您瞭解任何指令可能造成的影響。
背景資訊
本文件說明更新 Cisco Identity Services Engine (ISE) 憑證的最佳作法和主動式程序。 它還審查如何設定警報和通知,以便管理員收到即將發生的事件(如證書過期)的警告。作為ISE管理員,您最終會遇到ISE證書過期的事實。如果您的ISE伺服器具有過期的證書,則可能會出現嚴重問題,除非您將過期的證書替換為一個新的有效證書。
ISE管理員必須在舊證書過期之前在ISE上安裝新的有效證書。此主動方法可防止或有效減少停機時間,以及避免對一般使用者造成影響。新安裝證書的時間期開始後,您可以在新證書上啟用EAP/Admin或任何其他角色。
您可以設定 ISE,使其產生警示並通知系統管理員在舊憑證到期之前安裝新的憑證。
設定
檢視 ISE 自我簽署憑證
安裝 ISE 後,此平台會產生自我簽署憑證。此自我簽署憑證可用來進行系統管理存取和分散式部署 (HTTPS) 的內部溝通,以及用來進行使用者驗證 (EAP)。 在實際運作的系統中,請使用 CA 憑證而非自我簽署憑證。
ISE 憑證的格式必須為隱私增強郵件 (PEM) 或辨別編碼規則 (DER)。
若要檢視初始的自我簽署憑證,請在 ISE GUI 中導覽至「系統管理」>「系統」>「憑證」>「系統憑證」,如下圖所示。
如果您透過憑證簽署要求 (CSR) 在 ISE 上安裝伺服器憑證,並變更系統管理員或 EAP 通訊協定的憑證,則自我簽署伺服器憑證仍會存在,但處於「未使用」狀態。
判斷變更憑證的時機
假設安裝的憑證即將到期。應該等到憑證到期再來更新,還是在到期之前先變更憑證比較好?必須在到期之前更改證書,以便有時間計畫證書交換並管理交換導致的任何停機時間。
何時必須更改證書?請取得開始日期早於舊憑證到期日期的新憑證。這兩個日期之間的時間間隔即為變更期間。
此圖描述即將到期之憑證的相關資訊:
產生憑證簽署要求
此程序說明如何透過 CSR 更新憑證:
- 在ISE控制檯中,導航到Administration > System > Certificates > Certificate Signing Requests,然後點選Generate Certificate Signing Request:
- 您必須在「憑證主體」文字欄位中輸入的最少資訊為 CN=ISEfqdn,其中 ISEfqdn 是 ISE 的完整網域名稱 (FQDN)。使用逗號在「憑證主體」中新增其他欄位,例如:O(組織)、OU(組織單位)或 C(國家/地區):
- 「主體別名 (SAN)」文字欄位行必須重複輸入 ISE FQDN。如果您想要使用別名或萬用字元憑證,可以新增第二個 SAN 欄位。
- 按一下「Generate」,系統會顯示一個彈出式視窗,指示CSR欄位是否正確完成:
- 若要匯出 CSR,請在左側面板中按一下「憑證簽署要求」,選取您的 CSR,然後按一下「匯出」:
- CSR儲存在您的電腦上。請將其提交至您的 CA 以供簽署。
安裝憑證
從 CA 收到最終憑證後,您必須將憑證新增至 ISE:
- 在ISE控制檯中,導航到Administration > System >Certificates>Certificate Signing Requests,然後選中CRS上的覈取方塊,然後單擊Bind Certificate:
- 在「易記名稱」文字欄位中輸入簡單且清楚的憑證說明, 然後點擊「提交」。
- 在「系統憑證」下,您具有非使用中的新憑證,如下所示:
- 因為新憑證是在舊憑證到期之前安裝,因此您會看到報告未來日期範圍的錯誤:
- 按一下「Yes」以繼續。證書現在已安裝,但未使用,以綠色突出顯示。
設定警示系統
Cisco ISE 會在距離本機憑證到期日期不到 90 天時通知您。此提前通知可協助您避免憑證到期、規劃憑證變更,以及防止或有效減少停機時間。
通知會以各種方式出現:
- 彩色到期狀態圖示會出現在「本機憑證」頁面上。
- 到期訊息會出現在 Cisco ISE 系統診斷報告中。
- 系統會在 90 天和 60 天時產生到期警示,並在到期之前的最後 30 天每日產生警示。
設定 ISE 以取得到期警示的電子郵件通知。在 ISE 主控台中,導覽至「系統管理」>「系統」>「設定」>「SMTP 伺服器」,找出簡易郵件傳輸通訊協定 (SMTP) 伺服器,然後定義另一個伺服器設定,以便傳送警示的電子郵件通知:
您可以透過兩種方式設定通知:
- 使用系統管理員存取權以通知系統管理員:
- 導覽至「系統管理」>「系統」>「系統管理員存取權」>「系統管理員」>「系統管理員使用者」。
- 為需要收到警示通知的系統管理員使用者勾選「在電子郵件中包含系統警示」核取方塊。警示通知寄件者的電子郵件地址已硬式編碼為 ise@hostname。
- 導覽至「系統管理」>「系統」>「系統管理員存取權」>「系統管理員」>「系統管理員使用者」。
- 設定 ISE 警示設定以通知使用者:
- 導覽至「系統管理」>「系統」>「設定」>「警示設定」>「警示組態」,如下圖所示。
- 選擇Certificate Expiration,然後按一下Alarm Notification。輸入要通知的使用者的電子郵件地址,然後儲存配置更改。更改最多可能需要15分鐘才能生效。
- 導覽至「系統管理」>「系統」>「設定」>「警示設定」>「警示組態」,如下圖所示。
驗證
使用本節內容,確認您的組態是否正常運作。
驗證警示系統
驗證警示系統是否可以正常運作。在此範例中,組態變更會產生嚴重性等級為「資訊」的警示。(「訊息」警示的嚴重性最低,而憑證到期則會產生更高的「警告」嚴重性等級。)
這是 ISE 傳送之電子郵件警示的範例:
驗證憑證變更
以下過程介紹了如何驗證證書是否正確安裝,以及如何更改EAP和/或Admin角色:
- 在 ISE 主控台上,導覽至「系統管理」>「憑證」>「系統憑證」,然後選取新的憑證以檢視詳細資料。
- 若要驗證 ISE 伺服器的憑證狀態,請在 CLI 中輸入此命令:
CLI:> show application status ise
- 當所有服務均處於作用中狀態時,請嘗試以系統管理員身分登入。
- 對於分散式部署方案,請導航到管理>系統>部署。驗證節點是否具有綠色圖示。將游標置於圖示上,驗證圖例是否顯示「已連線」。
- 檢查一般使用者驗證是否成功。為此,請導航到操作> RADIUS >即時日誌。 您可以找到特定的身份驗證嘗試,並驗證這些嘗試是否已成功進行身份驗證。
驗證憑證
如果想要從外部檢查憑證,可您以使用內嵌的 Microsoft Windows 工具或 OpenSSL 工具組。
OpenSSL 是安全通訊端層 (SSL) 通訊協定的開放原始碼實作。如果憑證使用您自己的私人 CA,則您必須將 CA 根憑證置於本機電腦上並使用 OpenSSL 選項 -CApath。如果您有中繼 CA,也必須將其置於相同的目錄中。
若要取得有關憑證的一般資訊並驗證憑證,請使用:
openssl x509 -in certificate.pem -noout -text
openssl verify certificate.pem
使用OpenSSL工具包轉換憑證也可能很實用:
openssl x509 -in certificate.der -inform DER -outform PEM -out certificate.pem
疑難排解
目前尚無適用於此組態的具體診斷資訊。
結論
由於您可以在 ISE 處於作用中狀態前於 ISE 上安裝新的憑證,因此思科建議您在舊憑證到期之前安裝新的憑證。在舊憑證到期日期與新憑證開始日期之間的重疊期間,您將有時間更新憑證並規劃憑證的安裝作業,而且幾乎沒有停機時間。新憑證進入有效日期範圍後,請啟用 EAP 和/或系統管理員。請記住,如果您啟用「系統管理員使用情況」,服務將會重新啟動。
修訂記錄
| 修訂 | 發佈日期 | 意見 |
|---|---|---|
5.0 |
22-Apr-2026
|
更新的SEO。 |
4.0 |
10-Oct-2024
|
新增了法律免責宣告和替代文字。已更新樣式要求和格式。 |
3.0 |
07-Sep-2023
|
重新認證 |
2.0 |
04-Aug-2022
|
初始版本 |
1.0 |
16-Jun-2021
|
初始版本 |
意見