срок действия корневого сертификата ISE истекает

SHABEEB KUNHIPOCKER

Здравствуйте, Я использую EAP-TLS в нашей среде и подписал наш сертификат ISE с помощью внутреннего центра сертификации Microsoft. У нас есть промежуточный центр сертификации и корневой центр сертификации. Сертификат ISE подписан промежуточным центром сертификации и действителен до 2029 года. Сертификат промежуточного центра сертификации действителен до 2030 года. Но наш сертификат корневого центра сертификации истекает на следующей неделе. В этой ситуации мне следует продлить сертификат ISE (путем генерации нового CSR) или просто загрузить новый сертификат Root CA в доверенные сертификаты ISE? Спасибо

SHABEEB KUNHIPOCKER

Здравствуйте, Я завершил обновление корневого сертификата. Нам пришлось сгенерировать новый CSR и переподписать сертификаты всех узлов ISE. Когда мы выполнили только загрузку корневого ЦС без повторного генерации сертификатов, я заметил, что ISE отправлял старый сертификат корневого ЦС (взял PCAP и проверил) в цепочке (даже после перезапуска приложения и перезагрузки устройства). Большое спасибо всем, кто ответил.

Karsten Iwen

Вы должны убедиться, что вся цепочка сертификатов действительна. Если срок действия вашего корневого сертификата истек, но промежуточный сертификат остается действительным до 2029 года, я бы предположил, что здесь есть серьезная проблема. Лучше зарегистрировать все с новыми сертификатами от корневого до сертификата ISE-сервера. Надеюсь, ваши клиенты уже зарегистрированы и настроены для нового корневого сертификата.

Cristian Matei

Привет, @SHABEEB KUNHIPOCKER
После истечения срока действия корневого сертификата CA и необходимости его повторного создания вся нисходящая цепочка становится недействительной. Создайте новый корневой сертификат CA, создайте новый промежуточный сертификат CA, создайте новый сертификат ISE, импортируйте всю цепочку в ISE и все конечные клиенты; очевидно, что если вы используете EAP-TLS, всем конечным клиентам также потребуются новые сертификаты. Если вы используете EAP-TLS, перед созданием нового сертификата для ISE убедитесь, что на всех конечных клиентах установлена новая цепочка сертификатов в хранилище доверенных сертификатов и установлены новые сертификаты идентификации, иначе вы столкнетесь с проблемой «курица/яйцо» и все клиенты не смогут пройти аутентификацию. Если вы
НЕ
используете EAP-TLS, перед созданием нового сертификата для ISE убедитесь, что на всех конечных клиентах установлена новая цепочка сертификатов в хранилище Trusted, иначе вы столкнетесь с проблемой «курица/яйцо» и все клиенты не смогут пройти аутентификацию. Спасибо, Кристиан.

SHABEEB KUNHIPOCKER

Здравствуйте, Я открыл заявку в службу поддержки TAC, и мне ответили, что нет необходимости перегенерировать сертификат ISE. Они сказали, что нам просто нужно загрузить новый корневой сертификат в доверенный хранилище ISE.

Karsten Iwen

В таком случае я предполагаю, что в этом обсуждении отсутствует некоторая информация, которой мог располагать инженер TAC. Обычно так не поступают.

Cristian Matei

Привет, @SHABEEB KUNHIPOCKER
Либо инженер TAC не смог четко понять вашу текущую среду, либо он не имеет четкого представления об инфраструктуре PKI и связанных с ней возможностях/последствиях. С технической точки зрения, если вы генерируете новый сертификат только для корневого ЦС, срок действия которого истекает, и продолжаете работать только с ним (то есть все устройства, для которых был сгенерирован сертификат промежуточным ЦС, остаются без изменений), старая цепочка PKI по-прежнему действительна с точки зрения срока действия, поэтому сертификаты по-прежнему можно использовать. Однако, если у вас есть CRL или OCSP для фактической проверки как сертификатов, так и всей цепочки PKI, теперь она не будет работать. Таким образом, она может по-прежнему работать, в зависимости от того, как вы настроили инфраструктуру PKI. По вышеуказанной причине обычно/как правило обновляется вся цепочка PKI/перегенерируются сертификаты. Спасибо, Кристиан.