Здравствуйте, Я пытаюсь реализовать DTLS на Catalyst. На данный момент у меня есть сертификат DTLS на ISE, и конфигурация на коммутаторе достаточно хороша, чтобы начать отправлять DTLS на ISE. В пакете захвата я вижу, что коммутатор доверяет ISE: ISE к NAD: Server Hello Done
NAD к ISE : Сертификат, обмен ключами клиента, изменение спецификации шифрования, зашифрованное сообщение рукопожатия
ISE к NAD : предупреждение : сбой рукопожатия Однако, расширив часть «Сертификат» в Wireshark, я не вижу сертификата клиента, а длина сертификата равна 0. Я думаю, что причина, по которой ISE отправляет сообщение об ошибке рукопожатия, заключается в том, что на самом деле нет сертификата клиента, или я что-то упускаю? На стороне коммутатора у меня есть точка доверия клиента dtls, построенная на сертификате идентификации CA+ с цифровой подписью и аутентификацией клиента EKU. Это сертификат ECDSA, поскольку вся цепочка является ECDSA. Знаете ли вы, в чем может быть проблема? Я не нашел никаких доказательств в журналах коммутатора.

]]>https://sla247.ru/forum/topic/2269/внедрение-dtls-на-catalyst-c9k-с-ise-33RSS for NodeFri, 15 May 2026 17:34:45 GMTMon, 02 Mar 2026 12:20:59 GMT60Похоже, ISE ожидает сертификат клиента, но не получает его. Обычно это происходит, если точка доверия коммутатора не привязана должным образом к профилю DTLS или сертификат недействителен для аутентификации клиента в формате, приемлемом для ISE. Я бы дважды проверил назначение точки доверия для DTLS, полную цепочку сертификатов на коммутаторе и то, что ISE настроен на доверие к этому ЦС. Также убедитесь, что время/срок действия сертификата в порядке. Я видел, как отсутствие промежуточных центров сертификации также вызывало эту проблему.

]]>https://sla247.ru/forum/post/15983https://sla247.ru/forum/post/15983Mon, 02 Mar 2026 12:21:06 GMTМы провели тестирование с версиями 3.2 и 17.12.5. Можете ли вы поделиться конфигурацией радиуса коммутатора? sh run | sec radius

]]>https://sla247.ru/forum/post/15982https://sla247.ru/forum/post/15982Mon, 02 Mar 2026 12:21:05 GMTСледуйте приведенному ниже руководству — убедитесь, что исходный интерфейс правильно сопоставлен. https://www.cisco.com/c/en/us/support/docs/security-vpn/public-key-infrastructure-pki/220422-configure-ca-signed-certificates-with-io.html BB
=====Preenayamo Vasudevam=====
***** Оцените все полезные ответы *****
Как обратиться за помощью к сообществу Cisco

]]>https://sla247.ru/forum/post/15981https://sla247.ru/forum/post/15981Mon, 02 Mar 2026 12:21:04 GMTВот моя конфигурация: crypto pki trustpoint MME
enrollment terminal
usage ssl-client
subject-name CN=myswitch.local.domain
subject-alt-name myswitch.local.domain
revocation-check crl
eckeypair MME-key
hash sha512
! Запустив отладку crypto pki, я обнаружил, что при импорте сертификата коммутатора ключ неверный: Получен сертификат общего назначения для пары ключей подписи Хотите ли вы принять этот сертификат? [да/нет]: да % Сертификат маршрутизатора успешно импортирован 001400: 10 февраля 17:37:57.626 CET: CRYPTO_PKI: создать список trustedCerts для MME 001402: 10 февраля 17:37:57.628 CET: PKI:get_cert MME 0x10 (expired=0):
001403: 10 февраля 17:37:57.652 CET: CRYPTO_PKI: Невозможно выбрать мой открытый ключ (MME-key)
001404: 10 февраля 17:37:57.652 CET: CRYPTO_PKI: Невозможно выбрать мой открытый ключ (MME-key#)
001405: 10 февраля 17:37:57.653 CET: %PKI-3-KEY_CMP_MISMATCH: Ключ в сертификате и сохраненный ключ не совпадают для Trustpoint-MME.
001406: 10 февраля 17:37:57.653 CET: Вызов pkiSendCertInstallTrap для отправки предупреждения Почему ключи не совпадают? Я только что создал его, использовал для создания trustpoint и csr.

]]>https://sla247.ru/forum/post/15980https://sla247.ru/forum/post/15980Mon, 02 Mar 2026 12:21:03 GMTКак выглядит ваша конфигурация и что вы делаете в журналах ISE? Предоставьте вывод show running-config | section radius Можете ли вы опубликовать вывод ниже: however expanding the Certificate part in wireshark I see no client certificate, and certificate lenght=0. он должен быть способен отправить полную цепочку, если ISE не имеет промежуточного CA. Однако «Length 0» конкретно означает, что коммутатор не считает, что у него есть действительный сертификат, который можно представить для
целей, запрошенных ISE Запустите отладку: debug crypto pki transactions BB
=====Preenayamo Vasudevam=====
***** Оцените все полезные ответы *****
Как обратиться за помощью к сообществу Cisco

]]>https://sla247.ru/forum/post/15979https://sla247.ru/forum/post/15979Mon, 02 Mar 2026 12:21:02 GMT@Kalipso
Да, убедитесь, что NAD (коммутатор) и ISE имеют сертификаты идентификации клиента и оба доверяют выдающему их центру сертификации. [) [)

]]>https://sla247.ru/forum/post/15978https://sla247.ru/forum/post/15978Mon, 02 Mar 2026 12:21:01 GMTНаконец-то я нашел способ, как это сделать! На самом деле сообщение об ошибке
,
которое я видел при отладке криптографического PKI «
%PKI-3-KEY_CMP_MISMATCH: ключ в сертификате и сохраненный ключ не совпадают для Trustpoint», всегда присутствует и не означает, что при импорте возникла проблема. Проблема заключалась в том, что коммутатор не считал сертификат ECDSA действительным для использования DTLS. Потому что, когда я попробовал использовать сертификат RSA, все работало отлично. В прошлом у нас были проблемы с сертификатами RSA, потому что наша цепочка доверия подписана с помощью ECDSA, поэтому я выбрал сертификат, подписанный с помощью ECDSA, чтобы вся цепочка имела один и тот же алгоритм. По-видимому, для DTLS согласованность алгоритмов цепочки не важна, и только сертификаты идентичности, подписанные с помощью RSA, считаются действительными.

]]>https://sla247.ru/forum/post/15977https://sla247.ru/forum/post/15977Mon, 02 Mar 2026 12:21:00 GMT