сертификаты ISE
-
Вы все правильно поняли. Единственное, что вы упомянули «
Создать самоподписанный сертификат в ISE»
, я думаю, вы имели в виду, что создали CSR в ISE? Другое замечание: в шаге 6 вы упомянули, что выберете admin, EAP и TACACS. TACACS не будет участвовать в этом процессе. Я бы поступил следующим образом: выбрал бы аутентификацию EAP, а после импорта сертификата на оба узла отредактировал бы его индивидуально, добавив портал и использование admin, потому что, на мой взгляд, если вы попытаетесь выбрать использование admin при привязке сертификата, то получите ошибку. -
Вы используете для этого самоподписанные сертификаты ISE? Если да, то нет необходимости создавать запрос на подпись — вы можете просто выбрать каждый сертификат и отредактировать его — внизу экрана вы можете отметить поле «Период обновления», а затем выбрать количество дней/месяцев/лет, на которое вы хотите обновить сертификат. Я не знаю, приведет ли обновление даты сертификата к перезапуску приложения — просто имейте это в виду — в случае замены сертификата администратора это всегда приводит к перезапуску приложения (и выходу из графического интерфейса, если вы обновляете сертификат администратора основной PAN). Если вы хотите создать сертификаты ISE Admin и EAP из PKI вашей организации, вам необходимо создать CSR для каждого узла ISE и создать сертификат в вашей PKI. После получения сертификата вы «привязываете» его к CSR в ISE. Подход PKI является рекомендуемым, так как позволяет избежать предупреждений о сертификатах в браузерах и т. д.
-
Здравствуйте, как я могу узнать, использую ли я самоподписанные сертификаты? Не думаю, что использую, так как помню, что экспортировал из ISE и использовал этот сертификат на сервере сертификатов Microsoft для генерации сертификата, который затем импортировал обратно. В столбце «Выдано» указано название нашей организации — authority-A. Если я правильно понимаю, я должен экспортировать сертификат, сгенерировать новый сертификат на сервере сертификатов Microsoft, а затем импортировать этот новый сертификат обратно в ISE?
-
@alliasneo1
— Нет, для выполнения любых задач по управлению сертификатами не нужно разбивать кластер. - Все, что посоветовал
@Arne Bier,
будет выполняться на основном узле PAN. Как упомянул
@Arne Bier
, рекомендуется использовать корпоративные сертификаты PKI. Если вы не хотите использовать два отдельных сертификата для обоих узлов, вы можете указать полные доменные имена обоих узлов в поле SAN в одном CSR. -
Здравствуйте, На основном сервере, если я отмечу сертификат и выберу «редактировать», я вижу, что указаны как основной, так и дополнительный полный доменное имя (FQDN) и IP-адреса, поэтому я думаю, что сертификат содержит данные обоих узлов. Я предполагаю, что мне нужно экспортировать этот сертификат, импортировать его на сервер сертификатов Microsoft, сгенерировать новый сертификат, а затем импортировать его обратно в ISE?
-
Вероятно, самый простой способ проверить, действителен ли сертификат, который у вас есть на основном PAN, для вторичного, — это экспортировать его с основного и проверить значения SAN. Если у вас есть полные доменные имена обоих узлов и, надеюсь, их IP-адреса, то этот сертификат можно импортировать и использовать на обоих узлах. Способ обновления сертификата зависит от того, хотите ли вы использовать внутреннюю PKI или нет. Как уже упоминалось, настоятельно рекомендуется использовать внутреннюю PKI. Для этого вам просто нужно сгенерировать CSR из основной PAN, выбрав оба узла, а затем ввести полные доменные имена (FQDN) и IP-адреса обоих узлов в разделе SAN. Для использования сертификата вы можете выбрать EAP-Authentication, и как только у вас будет новый сертификат, вы сможете импортировать его в ISE, привязав его к уже созданным CSR. После импорта сертификата вы можете отредактировать его, добавив использование администратора и портала.
-
Здравствуйте, спасибо за подробный ответ, он очень полезен. В основном, если я отмечу сертификат и выберу «редактировать», я могу увидеть как основной, так и вторичный FQDN и IP-адреса, поэтому я думаю, что в сертификате указаны данные обоих узлов, что хорошо. Я экспортирую это и отправлю нашей серверной команде, чтобы они могли сгенерировать новый сертификат, а затем я смогу импортировать его. Спасибо.
-
Пожалуйста. Если вы видите в качестве выдающего органа название вашей организации, то этот сертификат был выдан вашей внутренней PKI. Прежде чем выдать новый сертификат, вам необходимо сгенерировать CSR в ISE, а затем передать их инфраструктурной команде для выдачи сертификата. Пожалуйста, ознакомьтесь с этой ссылкой: Установка сертификата, подписанного сторонним центром сертификации, в ISE — Cisco
-
Итак, шаги, которые я предпринял до сих пор: Создание самоподписанного сертификата в ISE Передал его команде сервера Они сгенерировали сертификат и отправили его мне Мои следующие шаги: 1. Войти в основной административный узел (PAN). 2. Перейти в раздел «Администрирование» → «Система» → «Сертификаты» → «Сертификаты системы» → «Запросы на подпись сертификата». 4. Выбрать ранее созданный CSR и нажать
«Привязать сертификат
». 5. Выбрать новое местоположение сертификата, и ISE свяжет сертификат с закрытым ключом, созданным и хранящимся в базе данных. 6. Выбрать Admin, EAP и Tacacs для использования. 7. Сервисы будут перезапущены. 8. Проверьте, что аутентификация работает и т. д. -
создал CSR на ISE - Да, верно Отлично, спасибо за помощь
]
Здравствуйте! Похоже, вам интересна эта беседа, но у вас пока нет учетной записи.
Вы устали просматривать одни и те же посты каждый раз, когда заходите на сайт? После регистрации, вам не придётся искать обсуждения в которых вы принимали участие, настройте уведомления о новых сообщениях так как вам это удобно (по электронной почте или уведомлением). У вас появится возможность сохранять закладки и ставить лайки постам, чтобы выразить свою благодарность другим участникам сообщества.
С вашими комментариями этот пост может стать ещё лучше 💗
Зарегистрироваться Войти