Cisco ISE – Configurando Certificado no ISE

Publicado por

Boa noite, Galera.

Seguindo uma serie de post sobre o Cisco ISE, hoje iremos falar de Certificados e como realizar o procedimento para gerar um novo certificado no ISE validando-o na unidade certificadora CA.

Os certificados são cruciais para a operação do Identity Services Engine. Alguns dos usos do ISE para certificados incluem o seguinte: Certificado para autenticação dot1x, comunicação pxGrid, adicionando e comunicando com novos nós ISE, BYOD, etc…

Vamos ao procedimento.

Passo 1: Navegue até o Active Directory Certificate Service Web Enrollment, abra seu browser (https://ip do Server/certsrv/) para baixar o root certificado, e adiciona-lo em Trust Certificate no ISE. Esse é um passo critico, pois nesse caso ira precisar de uma unidade certificadora confiável na sua rede, uma vez gerado esse certificado e adicionado no ISE, se tiver problemas nessa unidade a rede toda pode ficar inoperante. Nesse caso, antes de qualquer procedimento, valide todas as políticas de segurança da sua rede.

Ao abrir a pagina click em Download a CA certificate, certificate chain, or CRL conforme link abaixo:

Passo 2: Na próxima página, em encoding method, click em Base 64 e em seguinda Download CA certificate , escolha um local na sua rede para baixar o certificado e após isso adiciona-lo no ISE, segue link:

Passo 3: Acesse o ISE e navegue até Administration > System > Certificates > Certificate Management > Trusted Certificate e click em Import:

Passo 4: Na próxima página, faça o upload do certificado que acabou de baixar, de um nome a ele e sua descrição para saber do que se trata, após isso marque essas opções a baixo.

Trust for authentication within ISE: Isso servira para quando adicionar novos nós ISE, desde que eles tenham o mesmo certificado CA confiável e carregado em trusted certificate.

Trust for client authentication and Syslog: essa opção servira se quiser usar este certificado para autenticar os pontos finais que se conectam ao ISE usando o EAP e / ou confiam em um servidor Secure Syslog.

Trust for authentication of Cisco Services: só adicionar essa opção se desejar que esse certificado seja confiável para serviços externos da Cisco, como um serviço de feed.

Passo 5: Agora que adicionamos o certificado da CA à Trusted Certificate, podemos emitir uma Solicitação de Assinatura de Certificado (CSR) e vincular o certificado resultante ao ISE ou seja: Gerar o certificado no ISE e verifica-lo na Unidade Certificadora e adiciona-lo novamente ao ISE.

Para fazer isso, primeiro devemos emitir o CSR, navegue até Administração> Sistema> Certificados> Generate Certificate Signing Requests (CSR).

Na página que aparece, o certificado será usado para Multi-uso no menu suspenso. Marque a caixa ao lado do seu ISE e preencha as informações do assunto com base no que faz sentido para você ou sua organização. Depois de concluir isso, clique em Gerar e, em seguida, clique em Exportar no pop-up que aparece. Isso irá baixar o certificado de CSR que você acabou de criar:

 

Passo 6: Abra o CSR que você acabou de baixar no Bloco de notas, reabre sua página da Microsoft AD CA Web. Clique Request a certificate. Na próxima página, clique em advanced certificate request.

OBS: no ISE 1.3 e 1.4, você precisava emitir dois CSRs, pelo menos, se você estiver usando o pxGrid. Um seria dedicado para pxGrid e o outro seria para o resto dos serviços.

Neste ponto, você estará na página de Solicitação de Certificado. É aqui que você usará seu CSR para gerar um certificado. Copie e cole o corpo do CSR do seu bloco de notas no campo de solicitação de certificado codificado Base-64 e no menu suspenso Modelo de certificado, escolha o Web server. Clique em Submitr.

Passo 7: Na próxima página, escolha o botão de opção para Base 64 codificado e clique Download  certificate. Isso irá baixar o certificado assinado pela CA que foi gerada a partir do CSR.

Voltando à sua GUI do ISE, navegue até Administration> System> Certificates> Certificate Management> Certificate Signing Request e marque a caixa ao lado do CSR que você criou anteriormente. Clique no botão Bind Certificate:

Passo 8: Em seguida, você irá carregar o certificado que você acabou de baixar e dar-lhe um nome amigável para o ISE. Neste caso, eu usei apenas “CA-BIND”. Eu também verifiquei as caixas ao lado da autenticação Admin e EAP. Você também pode escolher o Portal, mas isso é para os portais Convidado / Patrocinador / Hotspot / etc, então eu recomendaria usar um certificado assinado publicamente para isso. O motivo é que, se você tiver um usuário ou convidado entrando em sua rede e seu portal ISE estiver usando um certificado de assinatura privada para o Portal de Visitantes, eles receberão erros de certificado ou poderão ter o seu navegador bloqueado de acessá-lo. Para evitar tudo isso, use um certificado de assinatura pública para uso do Portal para garantir uma melhor experiência do usuário.

Depois de clicar em Submit, o ISE deve reiniciar seus serviços. Dependendo da versão e dos recursos alocados à VM, isso pode levar de 5 a 15 minutos. Para verificar o status da aplicação, abra a linha de comando ISE e emita o comando show application status ise.

Fim.

Post Original: https://www.network-node.com/blog/2015/12/29/ise-20-initial-configuration-certificate-configuration

Até o próximo post.

Bons estudos e bom troubleshoot!

Anúncios

Deixe um comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair /  Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair /  Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair /  Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair /  Alterar )

Conectando a %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.