Сертификат содержит неверные значения общего имени и SAN во время запроса CSR.
-
Здравствуйте. У меня возникла проблема при генерации запроса CSR на моем автономном узле Cisco ISE. Ранее я настроил CSR и получил подходящий сертификат от корпоративного центра сертификации, НО центр сертификации, который подписал CSR, был корневым центром сертификации, а теперь у нас есть подчиненный центр сертификации, с помощью которого я должен подписать новый CSR, получить новый сертификат и использовать его для аутентификации EAP. Вот в чем дело. Когда я пытаюсь сгенерировать новый CSR, каждый раз появляется ошибка:
«ВНИМАНИЕ! Сертификат содержит неверные значения общего имени и SAN «ise01.company.local.net,ise01.company.local.net». Подтвердите, что вы все еще хотите продолжить. Я не понимаю, почему появляется эта ошибка. Полагаю, это из-за существующего сертификата, выданного узлу
ise01.company.local.net Мы проделали то же самое в лаборатории, и все работало нормально. Есть какие-нибудь предложения?
Cisco ISE версии
3.2.0.542 Информация о патчах: 1,2,3,4,5,6,7 Роль: STANDALONE
Версия ADE-OS: 3.2.0.401 -
Имейте в виду, что CN или общее имя — это просто обычный DNS, который можно использовать для указания на PAN. Если у вас только один узел, то вам не нужна SAN, если только вы не хотите иметь несколько DNS для PAN, например, и это нормально.
Вам необходимо проверить, что корневой CA и промежуточный CA находятся на конечных точках, так как только в этом случае они будут доверять ISE. У меня более 60 записей в SAN, и это не проблема. -Скотт***
Пожалуйста, оцените полезные сообщения *** -
Вы всегда можете сгенерировать сертификат с другого узла, если полное доменное имя (FQDN) находится в SAN. Поскольку у нас много узлов и узлов разработки, я просто создал CSR с помощью openssl с CN, например
ise.comany.com
, а затем fqdn каждого из узлов. Кроме того, вам не обязательно иметь CN, который вы используете в SAN. ise-001.company.com
ise-002.company.com
ise-dev-001.company.com
ise-test-001.company.com Таким образом, я могу использовать сертификат на всех своих узлах. Вы можете сгенерировать что-то вроде этого: CN=ise.company.local.net --> Убедитесь, что DNS указывает на IP-адрес вашей PAN SAN=ise01.company.local.net,ise02.company.local.net,ise03.company.local.net -Скотт***
Пожалуйста, оцените полезные сообщения *** -
Здравствуйте, Скотт. Спасибо за ответ. Тогда есть еще один вопрос: У меня есть запись DNS A для
ise01.company.local.net. В основном мы будем использовать сертификат на основе запроса CSR, который мы все еще не можем получить для аутентификации EAP (беспроводной и проводной). Вопрос: не будет ли проблемой наличие SAN, отличного от CN, для аутентификации dot1x. Например: если в моем новом CSR CN будет
ise01.company.local.net
, а SAN того же CSR будет
ise-01.company.local.net.
Не вызовет ли это проблемы при проверке сертификата, например, при аутентификации EAP-TLS?
А что будет, если я просто проигнорирую предупреждение и создам новый запрос CSR и подпишу его своим подчиненным ЦС?
P.S. Я попытался повторно сгенерировать CSR с тем же CN и SAN и получил следующую ошибку. Ошибка приведена в приложении.
Что мне делать дальше? Удалить текущий сертификат для аутентификации EAP и повторно сгенерировать новый CSR?
-
Итак, решение будет заключаться в том, чтобы RootCA и SubCA были добавлены в список доверенных сертификатов на ISE и клиенте. Сгенерируйте новый CSR на ISE, чтобы подписать его SubCA для аутентификации EAP, заполнив поля CN и (при необходимости) SAN. И это подойдет для аутентификации dot1x как для проводных, так и для беспроводных сетей? Я прав?
-
Я бы сформулировал это так. ISE потребуется корневой сертификат и промежуточные сертификаты, которые клиент использует в хранилище доверенных сертификатов.
Клиенту потребуется корневой центр сертификации и промежуточный(е) центр(а) сертификации, которые ISE использует в доверенном корневом центре сертификации и доверенном промежуточном центре сертификации.
Если у вас есть несколько узлов и вы хотите иметь только один сертификат для всех узлов:
Создайте CN, например
ise.company.local.net <-- Это будет разрешено в DNS в ваш PAN
Создайте SAN для FQDN или всех других ваших узлов
Если у вас только один узел:
Создайте CN, используя FQDN для этого узла
SAN не требуется
Будет ли это работать для EAP... ДА, это также может работать для вашего администратора, чтобы вы не получали ошибку сертификата. -Скотт***
Пожалуйста, оцените полезные сообщения *** -
Привет
[, @Scott Fella]
, Спасибо за исчерпывающие и подробные ответы, которые вы дали в этой ветке, они были очень полезны. Возможным альтернативным решением для сертификатов, используемых ISE, в частности для EAP, было бы вообще не создавать запись DNS. В этом случае общий FQDN, такой как «ise-cluster.customer-domain.com», все равно может быть включен в поля CN и SAN сертификата, даже если он не существует на DNS-серверах. Для целей аутентификации отсутствие соответствующей записи DNS не вызовет никаких проблем.
Здравствуйте! Похоже, вам интересна эта беседа, но у вас пока нет учетной записи.
Вы устали просматривать одни и те же посты каждый раз, когда заходите на сайт? После регистрации, вам не придётся искать обсуждения в которых вы принимали участие, настройте уведомления о новых сообщениях так как вам это удобно (по электронной почте или уведомлением). У вас появится возможность сохранять закладки и ставить лайки постам, чтобы выразить свою благодарность другим участникам сообщества.
С вашими комментариями этот пост может стать ещё лучше 💗
Зарегистрироваться Войти