A continuación se detalla cómo instalar certificado dentro del ISE obtenido desde la CA.
TAREA 1: Instalar certificado de la CA en el almacén de certificados del browser.
Paso 1.1: Desde el equipo de administración abrir “Firefox” y navegar a la dirección del servidor AD (Windows Server 2008 R2)
http://192.168.109.25/certsrv.
Paso 1.2: Seleccionar Download a CA Certificate, Certificate Chain, or CRL
Paso 1.3: Seleccionar Install CA certificate
Paso 1.4: Seleccionar Trust this CA to Identify Websites y OK
NOTA: Se utiliza Firefox debido a que tiene su propio almacén de certificados, separado del sistema operativo, el certificado debe ser instalado en Firefox.
TAREA 2: Bajar el Certificado CA.
Paso 2.1: Seleccionar Encoding method: DER
Paso 2.2: Seleccionar Download CA certificate y bajar el archivo certnew.cer
Paso 2.3: Renombrar el archivo certnew.cer a
TAREA 3: Instalar nuevo Certificado en cada nodo ISE
Paso 3.1: Desde el equipo de administración abrir “Firefox” y navegar al equipo ISE https://192.168.109.20/admin/login.jsp
Paso 3.2: En el equipo ISE navegar a;
Administration> System> Certificates> Trusted Certificates
Paso 3.3: Seleccionar Import e importar un nuevo certificado desde el almacén de certificados pki-sise-ca.cer desde Examinar
TAREA 4: Generar un CSR
Paso 4.1: En el equipo ISE navegar a;
Administration> System> Certificates> Certificate Signing Request y seleccione generate Certificate Signing Request.
Paso 4.2: Ingresar los siguientes datos;
Usage Certificate(s) will be used for Admin
Node(s) Generate CSR's for these Nodes: ise
Common Name (CN) ise.soporte.cl (hostname.dominioDNS)
Key Length 2048
Digest to Sign With SHA-256
Seleccionar Generate y luego Export. El archivo exportado en este caso será IseAdmin.pem.
TAREA 5: Enrolar ISE con CA externa.
Paso 5.1: Desde el equipo de administración abrir “Firefox” y navegar a la dirección del http://192.168.109.25/certsrv.
Paso 5.2: Seleccionar Request a Certificate
Paso 5.3: Seleccionar Advanced Certificate Request
Paso 5.4: Abrir el archivo IseAdmin.pem con WordPad y copiar el contenido en Saved Request y realice click en Submit.
Paso 5.5: Opcionalmente puede aparecer el siguiente mensaje:
Paso 5.6: En la CA debe ser firmado el certificado para que esta pueda ser válido. Una vez que sea firmado la operación estará completa y el certificado se encontrara dentro de la carpeta “Issued Certificates”.
Paso 5.7: En la CA se debe ir a la revisión de los certificados pendientes que se encuentran pendientes para verificar si la CA los firmo (paso anterior). Seleccionar View the status of a pending certificate request
Paso 5.8: Seleccionar Saved Request Certificate
Paso 5.9: Seleccionar Download certificate para bajar el certificado recientemente firmado.
Paso 5.10: Renombrar el archivo certnew.cer ise1-cert.cer
TAREA 6: Instalar certificado al ISE.
Paso 6.1: En el equipo ISE navegar a;
Administration> System> Certificates> Certificate Signing Request
Paso 6.2: Selección el certificado instalado
Paso 6.3: Selección Bind Certificate
Paso 6.4: Seleccionar Examinar
Paso 6.5: Seleccionar el archivo del certificado anteriormente bajado.
Paso 6.6: Seleccionar Submit
Paso 6.7: Seleccionar Yes, se recibirá una notificación de reinicio del sistema.
NOTA: Durante esta operación el equipo no se está reiniciando, solamente las aplicaciones de ISE son reiniciadas. Dependiendo de la infraestructura esto podrá tomar entre 5 a 15 minutos. Se puede verificar el estado de la aplicación conectándose al equipo vía SSH o Consola con el comando show applications status ise.
TAREA 7: Verificación de certificado en el ISE.
Paso 7.1: Desde el equipo de administración abrir “Firefox” y navegar al equipo ISE https://192.168.109.20/admin/login.jsp
Paso 7.2: Verificar el certificado desde el browser de acceso. Seleccionar Más información.
Paso 7.3: Para obtener más detalles del certificado se debe seleccionar Ver certificado.
Paso 7.4: Verificar certificado instalado en el equipo ISE, dirigirse a;
Administration> System> Certificates> System Certificates
Paso 7.5: Eliminar certificado por defecto, dirigirse a;
Administration> System> Certificates> System Certificates.
Paso 7.6: Seleccionar Default self-signed server certificate
Paso 7.7: Seleccionar Delete
Paso 7.8: Seleccionar Ok
No hay comentarios.:
Publicar un comentario