将根证书导入到证书存储区
在将新签名的证书绑定到ISE上的CSR之前,我们需要确保签名的根证书存在于受信任证书存储区中。
注意:通过按此顺序执行操作,我们可以确保部署中的所有其他节点在绑定新证书之前都信任它。
步骤1进入“管理>系统>证书>证书存储”界面信任客户端身份验证或安全Syslog服务“启用
步骤2单击“导入”。
步骤3单击“浏览”,定位签名证书颁发机构的证书,如图14所示
4 .为它们提供一个友好的名称,如“Comodo Trusted Root”
5 .确保勾选“
步骤6单击“提交”。
步骤7对于任何其他根CA证书重复步骤2到步骤6
亚伦Woland
图14 -根CA
将新签名的证书绑定到CSR
既然签名根证书已经存在于受信任证书存储区中,我们就可以继续将新签名的证书绑定到签名请求。
操作步骤步骤1返回“Administration > System > Certificates > Local Certificates”
步骤2单击“添加>绑定CA签名证书”
步骤3单击“浏览”,从CA找到已签名的证书
4 .提供友好的名称,如“Comodo签名通配符证书”
步骤5确认“允许通配符证书”复选框已启用
步骤6选择证书绑定的协议:EAP、HTTPS或两者同时绑定
步骤7单击“提交”。
亚伦Woland
图15 -将签名证书绑定到服务
在其他ISE节点上重用通配符证书
至此,我们已经使用其中一个ISE节点生成了一个证书签名请求。这将使用来自ISE节点的私钥和一个CN为" psn.ise. ISE . "的新公钥。“pn .ise. local”和“SAN dNSName”的值。当地”和“* .ise。本地”(通配符)。
通过将新签署的证书绑定到证书签名请求,我们在这个ISE节点上就有了一个全新的公私密钥对。
我们接下来的过程将导出该密钥对,并在所有其他策略服务节点上导入私钥和公钥,以确保在所有psn上拥有完全相同的证书。
导出密钥对
从第一个ISE节点,导航到管理GUI的证书部分。对于专用的策略服务节点,路径将是“管理>服务器证书”。如果该节点也是管理节点,则路径为“Administration > Certificates > Local Certificates”。
步骤1选择通配符证书
步骤2单击“导出”。
步骤3选择“导出证书和私钥”
步骤4输入待导入证书密钥对时使用的密码
步骤5单击“导出”。
步骤6将密钥对导出为zip文件,保存到可快速访问的位置
亚伦Woland
图16 -导出密钥对
在其他ISE节点上导入密钥对
在您的本地机器上,您将需要从过程1中提取zip文件,以便可以访问这两个证书文件。
然后,在剩余的ISE节点中,导航到管理GUI的证书部分。对于专用的策略服务节点,路径将是“管理>服务器证书”。如果该节点也是管理节点,则路径为“Administration > Certificates > Local Certificates”。
步骤1单击“添加>导入服务器证书”
步骤2单击“浏览证书文件”,找到扩展名为“。pem”的zip文件(例如“CNisaaaSANhasWildcard.pem”)。
步骤3单击“Private Key File”对应的“Browse”,从扩展名为“。pvk”的zip文件(例如“CNisaaaSANhasWildcard.pvk”)中找到私钥文件。
步骤4提供步骤1、步骤4中创建的密码
步骤5确认“允许通配符证书”复选框已启用
步骤6选择证书绑定的协议:EAP、HTTPS或两者同时绑定
步骤7单击“提交”。
步骤8对所有剩余的ISE node重复执行步骤2 ~步骤7
亚伦Woland
图17 -导入密钥对
测试结果:
本节提供已经测试并证明可以使用通配符证书的客户端样本。测试了本文档中“构造通配符证书”一节中的选项1和选项2。这只是一个抽样,因为更多的设备已经被测试和证明工作。