Cisco Identity Services Engine の証明書更新に関する設定ガイド

Similar documents
ISE の BYOD に使用する Windows サーバ AD 2012 の SCEP RA 証明書を更新する

UCCX ソリューションの ECDSA 証明書について

VPN ユーザを管理し、RV016、RV042、RV042G および RV082 VPN ルータの速い VPN を設定して下さい

使用する前に

LDAP サーバと統合するための ISE の設定

RADIUS サーバを使用して NT のパスワード期限切れ機能をサポートするための Cisco VPN 3000 シリーズ コンセントレータの設定

IIS8でのクライアント証明書の設定方法

Contents 1. はじめに 3.GUIからのアクセス方法 4 3. 鍵ペアの生成 5 4. サーバ証明書署名要求 (CSR) の作成 9 5. サーバ証明書のインストール 1 6.ServerIronの設定 17

CUCM と VCS 間のセキュア SIP トランクの設定例

Office 365 とのドメイン間フェデレーション

ハンドシェイク障害または証明書検証エラーによる NGFW サービス モジュール TLS の中断

Identity Services Engine ゲスト ポータルのローカル Web 認証の設定例

IM and Presence サービスの設定

Cisco Unity 8.x サーバの名前の変更または 別のドメインへの Cisco Unity 8.x サーバの 移動

NAC(CCA): ACS 5.x 以降を使用した Clean Access Manager での認証の設定

クラスタ構築手順書

PowerPoint Presentation

証明書(Certificates)

[ 証明書の申請から取得まで ] で受領したサーバ証明書を server.cer という名前で任意の場所に保存してください ( 本マニュアルではローカルディスクの work ディレクトリ [C:\work] に保存しています ) 中間 CA 証明書を準備します 次の URL にアク

クライアント証明書インストールマニュアル

LEAP を使用して Cisco ワイヤレス クライアントを認証するための Funk RADIUS の設定

UCCX 11.6 の Gmail の SocialMiner の統合

ドメイン間フェデレーションの設定ワークフロー

Symantec AntiVirus の設定

ISE 2.0: ASA CLI TACACS+ 認証およびコマンド認可の設定例

設定 XMPP 復元力

VPN 接続の設定

Access Manager 3.2/4.0 証明書の有効期限の確認と更新手順について

管理アカウントの TACACS+ 認証をサポートするための Cisco VPN 3000 コンセントレータの設定方法

Cisco Unity と Unity Connection Server の設定

クライアント証明書導入マニュアル

WL-RA1Xユーザーズマニュアル

クライアント証明書インストールマニュアル

Office 365 に Hybrid Calendar Service を導入する

更新用証明書インポートツール 操作マニュアル 2011 年 10 月 31 日 セコムトラストシステムズ株式会社 Copyright 2011 SECOM Trust Systems CO.,LTD. All rights reserved. P-1

QualysGuard(R) Release Notes

ミーティングへの参加

Windows PowerShell 用スクリプト形式編 改版履歴 版数 日付 内容 担当 V /4/1 初版 NII V /2/26 動作環境の変更に伴う修正 NII V /8/21 タイムスタンプ利用手順の追加 NII 目次 1. コード署名用証明

音声認識サーバのインストールと設定

Sendmail AD連携モジュールキャンペーン

Android 用.apk 形式編 改版履歴 版数 日付 内容 担当 V /4/1 初版 NII V /2/28 JKSコマンドの修正 署名確認作業の補足追加 V /2/26 動作環境を以下に変更 Windows10 NII NII V

索引

Oracle Business Intelligence Standard Edition One のインストール

インストール手順 2 セットアップの種類 [ 標準インストール (S)] [Thunderbird を既定のメールプログラムとして使用する (U)] にチェックを入れ [ 次へ (N)] をクリックします インストール手順 3 セットアップ設定の確認 [ インストール (I)] をクリックします 2

スライド 1

PowerPoint プレゼンテーション

Cisco CallManager および Cisco Unity でのパスワード変更の設定例

OPENSQUARE

PowerPoint プレゼンテーション

Veritas System Recovery 16 Management Solution Readme



ローカルな Clean Access の設定

How to Install and Configure Panorama Panorama のインストールと設定 Panorama は Palo Alto Networks のサポートサイトからダウンロード可能な VMware イメージです 本書は Panorama のインストールと Panora

        ALTIRIS Client Management Suite Upgrade Guide                                 Rev 年6月30日  

Microsoft Exchange Server 2003/2007 と IM and Presence との統合

Cisco Unity Connection 8.x ボイス メッセージにアクセスするための電子メール アカウントの設定

WebView のハング:- java.lang.OutOfMemoryError

改版履歴 版数 改版日付 改版内容 /03/14 新規作成 2013/03まで製品サイトで公開していた WebSAM DeploymentManager Ver6.1 SQL Server 2012 製品版のデータベース構築手順書 ( 第 1 版 ) を本 書に統合しました 2

PowerPoint プレゼンテーション

JAVA.jar 形式編 改版履歴 版数日付内容担当 V /4/1 初版 NII V /2/28 JKSコマンドの修正 署名確認作業の補足追加 NII V /2/26 キーストアファイルの形式を JKS から PKCS12 に変更 動作環境の変更に伴う

SIOS Protection Suite for Linux v9.3.2 AWS Direct Connect 接続クイックスタートガイド 2019 年 4 月

Active Directory フェデレーションサービスとの認証連携

適応型セキュリティ アプライ アンスの設定

ESET Smart Security 7 リリースノート

ログインおよび設定

McAfee SaaS Protection 統合ガイド Microsoft Office 365 と Exchange Online の保護

改版履歴 版数 日付 内容 担当 V /5/26 初版発行 STS V /7/28 動作条件の変更 STS メール通知文の修正 V /2/7 Windows8 の追加 STS V /2/2 Windows8. の追加 STS V

はじめに

手順例_Swivel_SSL証明書

使用する前に

Microsoft Word - SQL Server 2005 セットアップ手順書.doc

1 Ver デジタル証明書の更新手順 1 S T E P 1 netnaccs 専用デジタル ( クライアント ) 証明書 の更新作業を開始する前に 次の準備を行って下さい (1) お使いになるパソコンのブラウザのバージョンを確認して下さい ( デジタル証明書の取得等は 必ず Inte

改訂日 : 2009 年 3 月 OL Cisco Phone Control and Presence プラグインのインストール プラグインが自動的にインストールされない場合は ここに示すでプラグインを直接インストールします Cisco Phone Control and P

TECHNICAL GUIDE: ARCSERVE UDP APPLIANCE Arcserve UDP アプライアンス ハードウェアエラーの メール通知設定 2019 年 2 月 REV: 1.1

Microsoft Word - Setup_Guide

Mobile Access簡易設定ガイド

.1 電子証明書を更新する 電子証明書の有効期限は 取得後 1 年間です 電子証明書の更新は 有効期限 30 日前から有効期限日より最大 180 日間は操作可能です 有効期限が過ぎた電子証明書では 法人 IB サービスをご利用できません 更新期間を過ぎた場合は 電子証明書を再発行して再取得する必要が

自律アクセス ポイントでの Cisco IOS のアップグレード

OmniTrust

CEM 用の Windows ドメイン コントローラ上の WMI の設定

IPM Release 2.6 へのアップグ レード

はじめる前に

適応型セキュリティ アプライ アンスの設定

導入ドキュメント

ESET NOD32アンチウイルス V4.2 リリースノート

Ver1.70 証明書発行マニュアル パスワード設定版 Windows 7 InternetExplorer 2018 年 3 月 14 日 セコムトラストシステムズ株式会社 Copyright SECOM Trust Systems CO.,LTD. All Rights Reserved i

Veritas System Recovery 16 Management Solution Readme

PrintBarrierV3L50(V ) アップデート手順書 第 1.01 版 株式会社富士通アドバンストエンジニアリング 平成 25 年 3 月 7 日 1

Microsoft Word - NW2013_Installation_Guide_English_no_screenshots_JPN.doc

Microsoft Word - SSL-VPN接続サービスの使い方

厚生労働省版ストレスチェック実施プログラムバージョンアップマニュアル (Ver2.2 から Ver.3.2) 目次 1. プログラム概要 バージョンアップ実施手順 要注意 zip ファイル解凍の準備 Windows によって PC が保護されました と

Novell FilrデスクトップアプリケーションReadme

目次 第 1 章概要....1 第 2 章インストールの前に... 2 第 3 章 Windows OS でのインストール...2 第 4 章 Windows OS でのアプリケーション設定 TP-LINK USB プリンターコントローラーを起動 / 終了するには

Team Foundation Server 2018 を使用したバージョン管理 補足資料

Juniper Networks Corporate PowerPoint Template

8021.X 認証を使用した Web リダイレクトの設定

Cisco Unified Communications Manager サーバ アドレスとユーザ名の自動的な入力

SMTP ルーティングの設定

Outlook Thick Client Quick Start Guide

Autodesk Softimage 7.5 スタンドアロン インストール ガイド

Transcription:

Cisco Identity Services Engine の証明書更新に関する設定ガイド 目次 はじめに前提条件要件使用するコンポーネント背景説明設定 ISE 自己署名証明書の表示証明書を変更する時期の特定証明書署名要求の生成証明書のインストール警告システムの設定確認警告システムの確認証明書変更の確認証明書の確認トラブルシューティング結論 概要 このドキュメントでは Cisco Identity Services Engine(ISE) で証明書を更新するためのベストプラクティスと事前措置について説明します また 証明書の期限切れなどのこれから起きるイベントを管理者に警告するためのアラームと通知のセットアップ方法も確認します 注 : このドキュメントは 証明書のトラブルシューティングガイドではありません 前提条件 要件 次の項目に関する知識が推奨されます X509 証明書 Cisco ISE と証明書の設定

使用するコンポーネント このドキュメントの情報は 次のソフトウェアとハードウェアのバージョンに基づくものです Cisco ISE リリース 1.2.0.899 アプライアンスまたは VMware 背景説明 ISE 管理者は いつかは ISE 証明書が期限切れになるという事態に遭遇します ISE サーバ上の証明書が期限切れになり 新しい有効な証明書と交換しなかった場合は 深刻な問題が発生します 注 : 拡張認証プロトコル (EAP) に使用されている証明書が期限切れになると クライアントが ISE 証明書を信頼しなくなるため 認証が一切できなくなります HTTPS プロトコル証明書が期限切れになると リスクがさらに高まります 管理者は ISE にログインできなくなり 分散導入が機能しなくなり 複製が停止します この例では 1 か月以内に期限が切れる証明書が認証局 (CA) サーバから ISE にインストールされています ISE 管理者は 古い証明書が期限切れになる前に新しい有効な証明書を ISE にインストールする必要があります この事前のアプローチによって ダウンタイムが阻止または最小限に抑えられ エンドユーザーへの影響が回避されます 新しくインストールした証明書の期間が始まったら 新しい証明書で EAP または HTTPS プロトコルを有効にすることができます 古い証明書が期限切れになる前にアラームを発生させ 新しい証明書のインストールを管理者に通知するように ISE を設定できます 注 : このドキュメントでは 証明書の更新の影響を示すために HTTPS と自己署名証明書を使用しますが このアプローチは実稼働システムに適用しないでください EAP プロトコルと HTTPS プロトコルの両方に対して 1 つの CA 証明書を使用することをお勧めします 設定 ISE 自己署名証明書の表示 ISE をインストールすると 自己署名証明書が生成されます 自己署名証明書は 管理アクセスや分散導入 (HTTPS) 内部の通信だけでなく ユーザ認証 (EAP) にも使用されます 実稼働システムでは 自己署名証明書ではなく CA 証明書を使用してください ヒント : 追加情報については Cisco Identity Services Engine Hardware Installation Guide, Release 1.2 の Certificate Management in Cisco ISE の項を参照してください ISE 証明書の形式は プライバシー強化メール (PEM) または Distinguished Encoding Rules(DER) にする必要があります

初期自己署名証明書を確認するには ISE コンソールで [Administration] > [System] > [Certificates] > [Local Certificates] に移動します サーバ証明書を証明書署名要求 (CSR) を介して ISE にインストールし HTTPS または EAP プロトコル用の証明書を変更したら 自己署名サーバ証明書はそのまま残りますが 使用されなくなります 注意 : HTTPS プロトコルのための変更には ISE サービスを再起動する必要があるため 数分間のダウンタイムが発生します EAP プロトコルの変更は ISE サービスの再起動がトリガーされず ダウンタイムが発生しません 証明書を変更する時期の特定 インストールされた証明書がもうすぐ期限切れになるとします 証明書が期限切れになってから更新するのと 証明書が期限切れになる前に変更するのとどちらが適切だと思いますか 証明書の切り替えを計画し 切り替えによるダウンタイムに対処する時間を持てるように 証明書は期限切れになる前に変更すべきです 証明書はいつ変更すべきでしょうか 開始日が古い証明書の失効日より前である新しい証明書を取得します この 2 つの日付の間の期間が移行期間です 注意 : HTTPS を有効にすると ISE サーバ上のサービスが再起動されるため 数分間のダウンタイムが発生します この画像は CA から発行され 2013 年 11 年 29 日に期限切れになる証明書に関する情報を示しています 証明書署名要求の生成 次の手順では CSR を介して証明書を更新する方法を説明します 1. ISE コンソールで [Add] > [Generate Certificate Signing Request] に移動します 2. [Certificate Subject] テキストフィールドに入力する必要がある最小限の情報は CN=ISEfqdn です ここで ISEfqdn は ISE の完全修飾ドメイン名 (FQDN) です O( 組織 ) OU( 組織単位 ) C( 国 ) などのフィールドをカンマで区切って [Certificate Subject] に追加します 3. [Subject Alternative Name (SAN)] テキストフィールド行の 1 つで ISE FQDN を繰り返す必要があります 代行名またはワイルドカード証明書を使用する場合 2 つ目の SAN フィールドを追加できます 4. ポップアップウィンドウに CSR フィールドが正しく入力されたかどうかが示されます

5. CSR をエクスポートするために 左側のパネルで [Certificate Signing Requests] をクリックし CSR を選択し [Export] をクリックします 6. CSR がコンピュータ上に保存されます それを署名用に CA に送信します 証明書のインストール CA から最終的な証明書を受信したら その証明書を ISE に追加する必要があります 1. ISE コンソールの左側のパネルで [Local Certificates] をクリックしてから [Add] と [Bind CA signed Certificate] をクリックします 2. [Friendly Name] テキストフィールドに証明書の簡潔でわかりやすい説明を入力します 注 : この時点では EAP または HTTPS プロトコルを有効にしないでください 3. 古い証明書が期限切れになる前に新しい証明書をインストールしているため 有効期限 ( この例では 2013 年 11 月 23 日 ) に関するエラーが表示されます 4. 継続するには [Yes] をクリックします 緑色で強調表示されているように これで証明書はインストールされましたが 使用中にはなっていません 失効日と発効日の重複が黄色で強調表示されています 注 : 分散導入で自己署名証明書を使用する場合は プライマリ自己署名証明書をセカンダリ ISE サーバの信頼できる証明書ストアにインストールする必要があります 同様に セカンダリ自己署名証明書をプライマリ ISE サーバの信頼できる証明書ストアにインストールする必要があります これにより ISE サーバは相互に認証できます そうしなかった場合は 導入が中断する可能性があります サードパーティ CA から証明書を更新する場合は ルート証明書チェーンが変更されているかどうかを確認し それに応じて ISE 内の信頼できる証明書ストアを更新します 両方のシナリオにおいて ISE ノード エンドポイントのオペレーティングシステム およびサプリカントがルート証明書チェーンを検証可能なことを確認します 警告システムの設定 Cisco ISE はローカル証明書の失効日が 90 日以内に迫ったときに通知します このような事前

通知により 証明書の期限切れを回避して 証明書の更新を計画し ダウンタイムを阻止または最小限に抑えることができます この通知はいくつかの方法で表示されます 色付きの期限切れステータスアイコンが [Local Certificates] ページに表示されます 期限切れメッセージが Cisco ISE システム診断レポートに表示されます 期限切れアラームは 期限切れの 90 日前と 60 日前に生成されたあと 期限切れ前の 30 日間は毎日生成されます 期限切れアラームの電子メール通知を行うように ISE を設定します ISE コンソールで [Administration] > [System] > [Settings] > [SMTP Server] に移動して Simple Mail Transfer Protocol(SMTP) サーバを特定し アラームの電子メール通知が送信されるようにその他のサーバ設定を定義します 通知をセットアップするには 次の 2 つの方法があります 管理者に通知するには 管理者アクセスを使用します [Administration] > [System] > [Admin Access] > [Administrators] > [Admin Users] に移動します アラーム通知を受信する必要のある管理者ユーザの [Include system alarms in emails] チェックボックスをオンにします アラーム通知の送信者の電子メールアドレスは ise@hostname としてハードコードされています ユーザに通知するには ISE アラーム設定を構成します [Administration] > [System] > [Settings] > [Alarm Settings] > [Alarm Configuration] に移動します 注 : アラームを発生させたくないカテゴリのステータスを無効にします [Alarm Notification] をクリックして 通知対象のユーザの電子メールアドレスを入力し 設定の変更を保存します 変更が有効になるまで最大 15 分かかります 確認 このセクションでは 設定が正常に機能していることを確認します

警告システムの確認 警告システムが正しく機能していることを確認します この例では 設定の変更によって 情報の重大度を含むアラートが生成されます ( 情報アラームが最も低い重大度ですが 証明書の期限切れはそれよりも高い重大度である警告を生成します ) ISE から送信される電子メールアラームの例を以下に示します 注 : 黄色で強調表示されているように この例では ISE が iseadmin@wlaaan.ch に電子メールアラームメッセージを 2 回送信しています この電子メールアドレスは 警告システムの設定 で説明した両方の方法による通知を受信するようにセットアップされています 証明書変更の確認 この手順では 証明書が正しくインストールされていることを確認する方法とプロトコルを EAP または HTTPS 用に変更する方法について説明します 1. ISE コンソールで [Administration] > [Certificates] > [Local Certificates] に移動し 新しい証明書を選択して詳細を表示します 注意 : HTTPS プロトコルを有効にすると ISE サービスが再起動されるため サーバのダウンタイムが発生します この例では HTTPS が ISE サービスを再起動するとします 2. ISE サーバ上の証明書ステータスを確認するために 次のコマンドを CLI に入力します CLI:> show application status ise 3. すべてのサービスがアクティブになったら 管理者としてログインします 4. 分散導入シナリオの場合は ISE コンソールで [Administration] > [System] > [Deployment] > [Node Status] に移動して ノードステータスを確認します 5. エンドユーザ認証が成功することを確認します ISE コンソールで [Operations] > [Authentications] に移動して Protected Extensible Authentication Protocol(PEAP)/EAP- Transport Layer Security(TLS) 認証用の証明書を確認します 証明書の確認 証明書を外部からチェックする場合は 組み込みの Microsoft Windows ツールまたは OpenSSL ツールキットを使用します

OpenSSL はセキュアソケットレイヤ (SSL) プロトコルのオープンソース実装です 証明書で独自のプライベート CA が使用されている場合は ローカルマシンにルート CA 証明書を配置して OpenSSL オプション -CApath を使用する必要があります 中間 CA が存在する場合は それも同じディレクトリに配置する必要があります 証明書に関する一般情報を取得してそれを検証するには 以下を使用します openssl x509 -in certificate.pem -noout -text openssl verify certificate.pem また OpenSSL ツールキットで証明書を変換する方が便利な場合があります openssl x509 -in certificate.der -inform DER -outform PEM -out certificate.pem トラブルシューティング 現在のところ この設定に関する特定のトラブルシューティング情報はありません 結論 新しい証明書は ISE にインストールしてからアクティブにすることができるため 古い証明書が期限切れになる前に新しい証明書をインストールすることをお勧めします 古い証明書の失効日と新しい証明書の開始日の間の重複期間が 証明書を更新してそれらのインストールを最小限のダウンタイムでまたはダウンタイムなしで計画するための時間になります 新しい証明書の有効期間が始まったら EAP または HTTPS プロトコル ( またはその両方 ) を有効にします HTTPS を有効にした場合は サービスが再起動されることに注意してください

2024 © docsplayer.net プライバシー | 利用規約 | フィードバック