<![CDATA[срок действия корневого сертификата ISE истекает]]>Здравствуйте, Я использую EAP-TLS в нашей среде и подписал наш сертификат ISE с помощью внутреннего центра сертификации Microsoft. У нас есть промежуточный центр сертификации и корневой центр сертификации. Сертификат ISE подписан промежуточным центром сертификации и действителен до 2029 года. Сертификат промежуточного центра сертификации действителен до 2030 года. Но наш сертификат корневого центра сертификации истекает на следующей неделе. В этой ситуации мне следует продлить сертификат ISE (путем генерации нового CSR) или просто загрузить новый сертификат Root CA в доверенные сертификаты ISE? Спасибо

]]>https://sla247.ru/forum/topic/2278/срок-действия-корневого-сертификата-ise-истекаетRSS for NodeFri, 15 May 2026 12:13:21 GMTMon, 02 Mar 2026 12:21:25 GMT60<![CDATA[Reply to срок действия корневого сертификата ISE истекает on Mon, 02 Mar 2026 12:21:31 GMT]]>Привет, @SHABEEB KUNHIPOCKER
Либо инженер TAC не смог четко понять вашу текущую среду, либо он не имеет четкого представления об инфраструктуре PKI и связанных с ней возможностях/последствиях. С технической точки зрения, если вы генерируете новый сертификат только для корневого ЦС, срок действия которого истекает, и продолжаете работать только с ним (то есть все устройства, для которых был сгенерирован сертификат промежуточным ЦС, остаются без изменений), старая цепочка PKI по-прежнему действительна с точки зрения срока действия, поэтому сертификаты по-прежнему можно использовать. Однако, если у вас есть CRL или OCSP для фактической проверки как сертификатов, так и всей цепочки PKI, теперь она не будет работать. Таким образом, она может по-прежнему работать, в зависимости от того, как вы настроили инфраструктуру PKI. По вышеуказанной причине обычно/как правило обновляется вся цепочка PKI/перегенерируются сертификаты. Спасибо, Кристиан.

]]>https://sla247.ru/forum/post/16042https://sla247.ru/forum/post/16042Mon, 02 Mar 2026 12:21:31 GMT<![CDATA[Reply to срок действия корневого сертификата ISE истекает on Mon, 02 Mar 2026 12:21:30 GMT]]>В таком случае я предполагаю, что в этом обсуждении отсутствует некоторая информация, которой мог располагать инженер TAC. Обычно так не поступают.

]]>https://sla247.ru/forum/post/16041https://sla247.ru/forum/post/16041Mon, 02 Mar 2026 12:21:30 GMT<![CDATA[Reply to срок действия корневого сертификата ISE истекает on Mon, 02 Mar 2026 12:21:29 GMT]]>Здравствуйте, Я открыл заявку в службу поддержки TAC, и мне ответили, что нет необходимости перегенерировать сертификат ISE. Они сказали, что нам просто нужно загрузить новый корневой сертификат в доверенный хранилище ISE.

]]>https://sla247.ru/forum/post/16040https://sla247.ru/forum/post/16040Mon, 02 Mar 2026 12:21:29 GMT<![CDATA[Reply to срок действия корневого сертификата ISE истекает on Mon, 02 Mar 2026 12:21:28 GMT]]>Привет, @SHABEEB KUNHIPOCKER
После истечения срока действия корневого сертификата CA и необходимости его повторного создания вся нисходящая цепочка становится недействительной. Создайте новый корневой сертификат CA, создайте новый промежуточный сертификат CA, создайте новый сертификат ISE, импортируйте всю цепочку в ISE и все конечные клиенты; очевидно, что если вы используете EAP-TLS, всем конечным клиентам также потребуются новые сертификаты. Если вы используете EAP-TLS, перед созданием нового сертификата для ISE убедитесь, что на всех конечных клиентах установлена новая цепочка сертификатов в хранилище доверенных сертификатов и установлены новые сертификаты идентификации, иначе вы столкнетесь с проблемой «курица/яйцо» и все клиенты не смогут пройти аутентификацию. Если вы
НЕ
используете EAP-TLS, перед созданием нового сертификата для ISE убедитесь, что на всех конечных клиентах установлена новая цепочка сертификатов в хранилище Trusted, иначе вы столкнетесь с проблемой «курица/яйцо» и все клиенты не смогут пройти аутентификацию. Спасибо, Кристиан.

]]>https://sla247.ru/forum/post/16039https://sla247.ru/forum/post/16039Mon, 02 Mar 2026 12:21:28 GMT<![CDATA[Reply to срок действия корневого сертификата ISE истекает on Mon, 02 Mar 2026 12:21:27 GMT]]>Вы должны убедиться, что вся цепочка сертификатов действительна. Если срок действия вашего корневого сертификата истек, но промежуточный сертификат остается действительным до 2029 года, я бы предположил, что здесь есть серьезная проблема. Лучше зарегистрировать все с новыми сертификатами от корневого до сертификата ISE-сервера. Надеюсь, ваши клиенты уже зарегистрированы и настроены для нового корневого сертификата.

]]>https://sla247.ru/forum/post/16038https://sla247.ru/forum/post/16038Mon, 02 Mar 2026 12:21:27 GMT<![CDATA[Reply to срок действия корневого сертификата ISE истекает on Mon, 02 Mar 2026 12:21:26 GMT]]>Здравствуйте, Я завершил обновление корневого сертификата. Нам пришлось сгенерировать новый CSR и переподписать сертификаты всех узлов ISE. Когда мы выполнили только загрузку корневого ЦС без повторного генерации сертификатов, я заметил, что ISE отправлял старый сертификат корневого ЦС (взял PCAP и проверил) в цепочке (даже после перезапуска приложения и перезагрузки устройства). Большое спасибо всем, кто ответил.

]]>https://sla247.ru/forum/post/16037https://sla247.ru/forum/post/16037Mon, 02 Mar 2026 12:21:26 GMT