Inleiding
Dit document beschrijft de installatie, vernieuwing en oplossingen van SSL-certificaten voor de meest voorkomende problemen die bij een Identity Services Engine zijn waargenomen.
Voorwaarden
Vereisten
Cisco raadt u aan Identity Service Engine GUI te kennen.
Gebruikte componenten
De informatie in dit document is gebaseerd op Cisco Identity Service Engine 3.x.
De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.
Achtergrondinformatie
Dit document bevat de aanbevolen stappen en controlelijst met gebruikelijke problemen die moeten worden geverifieerd en aangepakt voordat u begint met het oplossen van problemen en contact opneemt met Cisco Technical Support.
Een certificaat is een elektronisch document dat een individu, een server, een bedrijf, of een andere entiteit identificeert en die entiteit associeert met een openbare sleutel.
Een zelfondertekend certificaat wordt ondertekend door zijn eigen maker. Certificaten kunnen zelfondertekend of digitaal ondertekend worden door een externe certificeringsinstantie (CA).
Een CA-ondertekend digitaal certificaat wordt beschouwd als een industriestandaard en veiliger.
Certificaten worden in een netwerk gebruikt om beveiligde toegang te bieden.
Cisco ISE maakt gebruik van certificaten voor communicatie tussen de knooppunten en voor communicatie met externe servers zoals de Syslog-server, de feed server en alle eindgebruikerportalen (gast-, sponsor- en persoonlijke apparaatportalen).
Certificaten identificeren een Cisco ISE-knooppunt met een eindpunt en beveiligen de communicatie tussen dat eindpunt en het Cisco ISE-knooppunt.
Certificaten worden gebruikt voor alle HTTPS-communicatie en de EAP-communicatie (Extensible Verification Protocol).
Dit document bevat de aanbevolen stappen en controlelijst met gebruikelijke problemen die moeten worden geverifieerd en aangepakt voordat u begint met het oplossen van problemen en contact opneemt met Cisco Technical Support.
Deze oplossingen komen rechtstreeks voort uit serviceaanvragen die door Cisco Technical Support zijn opgelost. Als uw netwerk live is, zorg er dan voor dat u de potentiële impact begrijpt van de stappen die u neemt om de problemen aan te pakken.
Configureren
In de volgende handleidingen wordt uitgelegd hoe u certificaten kunt importeren en vervangen:
Invoer van een systeemcertificaat
https://www.cisco.com/c/en/us/td/docs/security/ise/2-7/admin_guide/workflow/html/b_basic_setup_2_7.html#ID547
Een verlopen certificaat vervangen
https://www.cisco.com/c/en/us/support/docs/security/identity-services-engine/116977-technote-ise-cert-00.html#anc5
Veelvoorkomende problemen
Scenario 1: Kan een verloopportal-certificaat op een ISE-knooppunt niet vervangen
Fout
Terwijl het binden van het nieuwe Portal Certificaat met de MVO, het certificaat bind proces mislukt met de hieronder getoonde fout:
Interne fout. Vraag uw ISE-beheerder om de logbestanden te controleren voor meer informatie
De meest voorkomende redenen voor deze fout zijn:
- Het nieuwe certificaat heeft dezelfde onderwerpnaam als het bestaande certificaat
- Importeer een vernieuwd certificaat dat gebruikmaakt van dezelfde privésleutel van een bestaand certificaat
Oplossing
- Wijs het poortgebruik tijdelijk toe aan een ander certificaat op hetzelfde knooppunt
- Verwijdert het verloopportaalcertificaat.
- Installeer het nieuwe Poortcertificaat en wijs vervolgens het poortgebruik toe
Als u bijvoorbeeld het poortgebruik tijdelijk wilt toewijzen aan een bestaand certificaat met gebruik van EAP-verificatie, volgt u de onderstaande stappen:
Stap 1. Selecteer en bewerk het certificaat met gebruik van EAP-verificatie, voeg een Portal-rol toe onder Gebruik en Opslaan
Stap 2. Verwijdert het verloopportaalcertificaat.
Stap 3. Upload het nieuwe Portal Certificaat zonder enige rol (onder Gebruik) te selecteren en verstuur
Stap 4. Selecteer en bewerk het nieuwe Poortcertificaat, wijs Poortrol onder Gebruik toe en sla op
Scenario 2: Kan geen twee CSR’s genereren voor hetzelfde ISE-knooppunt bij gebruik voor meerdere toepassingen
Fout
Nieuwe CSR-creatie voor hetzelfde knooppunt met gebruik voor meerdere toepassingen mislukt met de fout:
Er bestaat al een ander certificaat met dezelfde vriendelijke naam. Vriendelijke namen moeten uniek zijn.
Oplossing
CSR Friendly Names zijn hardcoded voor elk ISE-knooppunt, zodat het niet mogelijk is om 2 CSR's te maken voor hetzelfde knooppunt met Multi-Use gebruik. De gebruikscase bevindt zich op een specifiek knooppunt, er is één CA-ondertekend certificaat dat wordt gebruikt voor gebruik van Admin- en EAP-verificatie en een ander CA-ondertekend certificaat dat wordt gebruikt voor gebruik van SAML en Portal, en beide certificaten zullen verlopen.
In dit scenario:
Stap 1. Genereren eerste CSR met multi-use gebruik
Stap 2. Bind het CA-ondertekende certificaat met de eerste CSR en wijs de Admin en EAP-verificatierol toe
Stap 3. Genereert een tweede CSR met Multi-Use gebruik
Stap 4. Bind het CA-ondertekende certificaat met de tweede CSR en wijs SAML en Portal rol toe
Scenario 3: Kan het CA-ondertekende certificaat niet binden voor poortgebruik of kan de poorttag niet toewijzen aan het certificaat en krijgt een fout
Fout
Het binden van een CA-ondertekend certificaat voor poortgebruik werpt de fout:
Er zijn een of meer vertrouwde certificaten die deel uitmaken van de portal system certificate chain of geselecteerd zijn met een op cert gebaseerde admin auth rol met dezelfde onderwerpnaam, maar met een ander serienummer. Import/update is afgebroken. Voor succesvolle import/update, moet u of de op karretjes gebaseerde admin auth rol van een duplicaat vertrouwd certificaat uitschakelen of de portaalrol wijzigen van het systeemcertificaat dat het duplicaat vertrouwde certificaat in zijn keten bevat.
Oplossing
Stap 1. Controleer de certificaatketen van het CA-ondertekende certificaat (voor gebruik in de portal) en in het Trusted Certificates-archief of u dubbele certificaten van de certificaatketen hebt.
Stap 2. Verwijder het duplicaat certificaat of schakel het selectievakje Vertrouwen voor op certificaat gebaseerde beheerdersverificatie uit het duplicaat certificaat.
Bijvoorbeeld, heeft het CA-ondertekende poortcertificaat de onderstaande certificaatketen:
Controleer of u een duplicaat-certificaat hebt voor een van de 3 CA-certificaten in de certificaatketen (dit kan een verlopen certificaat zijn) en verwijder het duplicaat-certificaat uit het Trusted Certificates-archief.
Scenario 4: Kan het verlopen zelfondertekende certificaat niet verwijderen uit het Trusted Certificate Store
Fout
Het verwijderen van het verlopen zelfondertekende certificaat uit het Trusted Certificate Store resulteert in de fout:
Uitschakelen of verwijderen of vertrouwenscertificaat is niet toegestaan omdat het wordt vermeld door ofwel in systeemcertificaten EN/OF beveiligde systeemdoel onder Remote Logging Targets.
Oplossing
- Controleer of het verlopen zelfondertekende certificaat niet is gekoppeld aan een bestaand doel voor vastlegging op afstand. Dit kan worden geverifieerd onder Beheer > Systeem > Vastlegging > Doelstellingen voor vastlegging op afstand > SecureSystemCollector(en) selecteren en bewerken
- Controleer dat het verlopen zelfondertekende certificaat niet is gekoppeld aan een specifieke rol (gebruik). Dit kan worden geverifieerd onder Beheer > Systeem > Certificaten > Systeemcertificaten.
Als het probleem zich blijft voordoen, neemt u contact op met TAC.
Scenario 5: Kan CA-ondertekend PxGrid-certificaat niet verbinden met de CSR op een ISE-knooppunt
Fout
Terwijl het binden van het nieuwe pxGrid-certificaat met de CSR, faalt het certificaat bind proces met de fout:
Certificaat voor pxGrid moet zowel client- als serververificatie bevatten in de extensie Extended Key Usage (EKU).
Oplossing
Zorg ervoor dat het CA-ondertekende pxGrid-certificaat zowel TLS-webserververificatie (1.3.6.1.5.5.7.3.1) als TLS-webclientverificatie (1.3.6.1.5.5.7.3.2) moet hebben, omdat het wordt gebruikt voor zowel client- als serververificatie (om de communicatie tussen de pxGrid-client en de server te beveiligen)
Referentie link: https://www.cisco.com/c/en/us/td/docs/security/ise/2-6/admin_guide/b_ise_admin_guide_26/b_ise_admin_guide_26_chapter_011010.html
Scenario 6: Kan het verlopen zelfondertekende certificaat niet verwijderen uit de Trusted Certificate Store vanwege de bestaande LDAP- of SCEP RA-profielconfiguratie
Fout
Het verwijderen van het verlopen zelfondertekende certificaat uit het Trusted Certificate Store resulteert in de fout:
Trustcertificaat kan niet worden verwijderd omdat het elders wordt vermeld, mogelijk uit een SCEP RA-profiel of een LDAP-identiteitsbron
* Standaard zelfondertekend servercertificaat
Als u het certificaat of de certificaten wilt verwijderen, verwijdert u het SCEP RA Profile of bewerkt u de LDAP Identity source om dit certificaat niet te gebruiken.
Oplossing
- Navigeren naar Beheer > Identity Management > Externe Identiteitsbronnen > LDAP > Servernaam > Verbinding
- Zorg ervoor dat LDAP Server Root CA niet het "Default self-signed server certificate" gebruikt
- Als LDAP-server het vereiste certificaat voor een beveiligde verbinding niet gebruikt, navigeer dan naar Beheer > Systeem > Certificaten > Certificaatinstantie > Externe CA-instellingen > SCEP RA-profielen
- Zorg ervoor dat een van de SCEP RA-profielen geen standaard zelfondertekend certificaat gebruikt
Aanvullende bronnen
Hoe installeert u een jokerteken certificaat
https://www.cisco.com/c/en/us/td/docs/security/ise/2-6/admin_guide/b_ise_admin_guide_26/b_ise_admin_guide_26_chapter_0111.html
ISE-certificaten beheren
https://www.cisco.com/c/en/us/td/docs/security/ise/2-6/admin_guide/b_ise_admin_guide_26/b_ise_admin_guide_26_chapter_0111.html
Installeer een CA-certificaat van derden op ISE
https://www.cisco.com/c/en/us/support/docs/security/identity-services-engine-software/200295-Install-a-3rd-party-CA-certificate-in-IS.html