将根证书导入到证书存储区
在我们将新签名的证书绑定到ISE上的CSR之前,我们希望确保可信证书存储中存在签名根证书。
笔记:通过按此顺序执行操作,我们确保部署中的所有其他节点将在我们绑定之前相信新证书。
步骤1导航到管理>系统>证书>证书存储信任客户端身份验证或安全Syslog服务“已启用
步骤2单击“导入”。
步骤3单击“浏览”并找到签名证书颁发机构的证书,如图14所示
步骤4为这些提供友好名称,例如“Comodo Trusted Root”
步骤5确保“复选框”
步骤6单击“提交”
步骤7对于任何其他根CA证书重复步骤2到步骤6
Aaron Woland.
图14 - 根CA
将新签名证书绑定到CSR
既然签名根证书已经存在于受信任证书存储区中,我们就可以继续将新签名的证书绑定到签名请求。
步骤1导航返回管理>系统>证书>本地证书
步骤2单击“添加”>“绑定CA”签名证书
步骤3单击“浏览”并找到CA的签名证书
4 .提供友好的名称,如“Comodo签名通配符证书”
步骤5确认“允许通配符证书”复选框已启用
步骤6选择证书绑定的协议:EAP、HTTPS或两者同时绑定
步骤7单击“提交”。
Aaron Woland.
图15 - 将签名证书绑定到服务
在其他ISE节点上重用通配符证书
至此,我们已经使用其中一个ISE节点生成了一个证书签名请求。这将使用来自ISE节点的私钥和一个CN为" psn.ise. ISE . "的新公钥。“pn .ise. local”和“SAN dNSName”的值。当地”和“* .ise。本地”(通配符)。
通过将新的签名证书绑定到证书签名请求,我们在此ISE节点上有一个全新的公共密钥对。
我们的下一个过程将导出该密钥对并导入所有其他策略服务节点上的私有和公钥,确保我们在所有PSN上具有完全相同的证书。
导出密钥对
从第一个ISE节点,导航到管理GUI的证书部分。对于专用策略服务节点,路径将是“管理>服务器证书”。如果节点也是一个管理节点,则路径将是“管理>证书>本地证书”。
步骤1选择通配符证书
步骤2单击“导出”
步骤3选择导出证书和私钥
步骤4提供将在导入证书键盘时稍后使用的密码
步骤5单击“导出”
步骤6将键对导出为zip文件,将该zip文件保存到快速访问的位置
Aaron Woland.
图16 - 导出密钥对
在其他ISE节点上导入密钥对
在本地计算机上,您需要从过程1中提取ZIP文件,因此可以访问两个证书文件。
然后,在其中一个ISE节点上,导航到管理GUI的证书部分。对于专用策略服务节点,路径将是“管理>服务器证书”。如果节点也是一个管理节点,则路径将是“管理>证书>本地证书”。
步骤1单击“添加”>“导入服务器证书”
步骤2单击“证书文件”的“浏览”,并使用“.pem扩展”(例如“CNISAAASANHASWILDCARD.PEM”)从ZIP文件中找到证书文件。
步骤3单击浏览私钥文件,并使用.pvk扩展(例如“CNISAAASANHASWILDCARD.PVK”)从ZIP文件中找到私钥文件
步骤4提供您在过程1中创建的密码,步骤4
步骤5确认“允许通配符证书”复选框已启用
步骤6选择证书绑定的协议:EAP、HTTPS或两者同时绑定
步骤7单击“提交”。
步骤8为所有剩余的ISE节点重复步骤2到7
Aaron Woland.
图17 -导入密钥对
测试结果:
本节正在提供已测试的客户端的采样,并经过证明与通配符证书一起使用。测试了选项1和选项2从标记为“构建通配符”的本文档的部分进行了测试。这只是一个采样,只有更多的设备已经过测试并证明工作。