Dans le cadre de la documentation associée à ce produit, nous nous efforçons d’utiliser un langage exempt de préjugés. Dans cet ensemble de documents, le langage exempt de discrimination renvoie à une langue qui exclut la discrimination en fonction de l’âge, des handicaps, du genre, de l’appartenance raciale de l’identité ethnique, de l’orientation sexuelle, de la situation socio-économique et de l’intersectionnalité. Des exceptions peuvent s’appliquer dans les documents si le langage est codé en dur dans les interfaces utilisateurs du produit logiciel, si le langage utilisé est basé sur la documentation RFP ou si le langage utilisé provient d’un produit tiers référencé. Découvrez comment Cisco utilise le langage inclusif.
Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.
Ce document décrit la configuration et la fonctionnalité du portail de provisionnement de certificat d’ISE.
Cisco vous recommande de prendre connaissance des rubriques suivantes :
Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Si votre réseau est en ligne, assurez-vous de bien comprendre l’incidence possible des commandes.
Le portail d'approvisionnement de certificats est une nouvelle fonctionnalité introduite dans ISE 2.0 qui peut être utilisée par les périphériques finaux pour inscrire et télécharger des certificats d'identité à partir du serveur. Il émet des certificats aux périphériques qui ne peuvent pas passer par le flux d'intégration.
Par exemple, les appareils tels que les terminaux de point de vente ne peuvent pas suivre le flux BYOD (Bring Your Own Device) et doivent recevoir des certificats manuellement.
Le portail d'approvisionnement des certificats permet à un groupe privilégié d'utilisateurs de télécharger une demande de certificat (CSR) pour ces périphériques ; générez des paires de clés, puis téléchargez le certificat.
Sur ISE, vous pouvez créer des modèles de certificat modifiés et les utilisateurs finaux peuvent sélectionner un modèle de certificat approprié pour télécharger un certificat. Pour ces certificats, ISE agit en tant que serveur d'autorité de certification (AC) et nous pouvons obtenir le certificat signé par l'AC interne ISE.
Le portail d'approvisionnement de certificats ISE 2.0 prend en charge le téléchargement de certificats dans les formats suivants :
Actuellement, ISE ne prend en charge que ces extensions dans un CSR pour signer un certificat.
Note: La CA interne ISE est conçue pour prendre en charge les fonctionnalités qui utilisent des certificats tels que le BYOD et donc les fonctionnalités sont limitées. L'utilisation d'ISE en tant que CA d'entreprise n'est pas recommandée par Cisco.
Afin d'utiliser la fonctionnalité d'approvisionnement de certificats dans le réseau, le service d'autorité de certification interne ISE doit être activé et un portail d'approvisionnement de certificats doit être configuré.
Étape 1.Sur l'interface graphique de ISE, accédez à Administration > System > Certificates > Certificate Authority > Internal CA et pour activer les paramètres d'autorité de certification interne sur le noeud ISE, cliquez sur Enable Certificate Authority.
Étape 2. Créez des modèles de certificat sous Administration > Système > Certificats > Modèles de certificat > Ajouter.
Entrez les détails selon les besoins et cliquez sur Soumettre, comme indiqué dans cette image.
Note: Vous pouvez voir la liste des modèles de certificat créés sous Administration > Système > Certificats > Modèles de certificat comme indiqué dans cette image.
Étape 3. Afin de configurer le portail de mise en service des certificats ISE, accédez à Administration > Device Portal Management > Certificate Provisioning > Create, comme indiqué dans l'image :
Étape 4. Sur le nouveau portail de certificats, développez les paramètres du portail, comme illustré dans l'image.
Port HTTPS | Port qui doit être utilisé par le portail d'approvisionnement des certificats pour HTTPS. |
Interfaces autorisées | Les interfaces sur lesquelles ISE doit écouter ce portail. |
Balise de groupe de certificats | Balise de certificat à utiliser pour le portail d'approvisionnement de certificats qui indique le certificat système à utiliser pour ce portail. |
Méthode d'authentification | Sélectionnez la séquence de magasin d'identités qui authentifie la connexion à ce portail. Par défaut, certificate_request_sequence est utilisé. |
Groupes autorisés | L'ensemble des utilisateurs qui peuvent accéder au portail d'approvisionnement de certificats peut être contrôlé en déplaçant un ensemble spécifique de groupes AD et de groupes d'utilisateurs internes vers la table choisie. Seuls les utilisateurs faisant partie du groupe choisi ont accès au portail. |
Nom de domaine complet (FQDN) | Vous pouvez également attribuer un nom de domaine complet spécifique à ce portail. Les utilisateurs accédant au nom de domaine complet via http/https sont redirigés vers ce portail. Le nom de domaine complet (FQDN) doit être unique et non partagé avec un autre portail. |
Délai d'inactivité | La valeur définit le délai d'inactivité du portail. |
Note: La configuration de la source d'identité peut être vérifiée sous Administration > Identity Management > Identity Source Sequence.
Étape 5. Configurez les paramètres de la page de connexion.
Étape 6.Configurez les paramètres de la page AUP.
Étape 7. Vous pouvez également ajouter une bannière de post-connexion.
Étape 8. Sous Certificate Provisioning portal settings, spécifiez les modèles de certificat autorisés.
Étape 9. Faites défiler la page jusqu'en haut et cliquez sur Enregistrer pour enregistrer les modifications.
En outre, le portail peut être personnalisé en accédant à l'onglet Personnalisation de la page du portail où le texte AUP, le texte de la bannière de post-connexion et d'autres messages peuvent être modifiés selon les besoins.
Utilisez cette section pour confirmer que votre configuration fonctionne correctement.
Si ISE est configuré correctement pour le provisionnement des certificats, un certificat peut être demandé/téléchargé à partir du portail de provisionnement des certificats ISE en procédant comme suit.
Étape 1. Ouvrez le navigateur et accédez au nom de domaine complet du portail d'approvisionnement des certificats tel que configuré ci-dessus ou à l'URL du test d'approvisionnement des certificats. Vous êtes redirigé vers le portail, comme l'illustre cette image :
Étape 2. Connectez-vous avec le nom d'utilisateur et le mot de passe.
Étape 3. Une fois l'authentification réussie, acceptez AUP et elle s'affiche sur la page d'approvisionnement des certificats.
Étape 4. La page d'approvisionnement des certificats fournit la fonctionnalité de téléchargement des certificats de trois manières :
Note: Le CN donné doit correspondre au nom d'utilisateur du demandeur. Le demandeur fait référence au nom d'utilisateur utilisé pour se connecter au portail. Seuls les utilisateurs Admin peuvent créer un certificat pour un autre CN.
Vous pouvez générer des certificats en bloc pour plusieurs adresses MAC si vous téléchargez des fichiers CSV qui contiennent des champs d'adresse CN et MAC.
Note: Le CN donné doit correspondre au nom d'utilisateur du demandeur. Le demandeur fait référence au nom d'utilisateur utilisé pour se connecter au portail. Seuls les utilisateurs Admin peuvent créer un certificat pour un autre CN.
Il n'existe actuellement aucune information de dépannage spécifique pour cette configuration.