Cisco Cisco Web Security Appliance S670 ユーザーガイド
8-2
思科网络安全设备 AsyncOS 8.8 用户指南
第 8 章 集成思科身份服务引擎
身份服务引擎证书
身份服务引擎证书
注
本部分介绍 ISE 连接必需的证书。
提供 AsyncOS 的通用证书管理
信息。
三个证书,必须进行相互身份验证,并在网络安全设备与 ISE 服务器之间进行安全通信:
•
WSA 客户端证书 (WSA Client Certificate) - 被 ISE 服务器用于对网络安全设备进行身份
验证。
验证。
•
ISE 管理员证书 (ISE Admin Certificate) - 被网络安全设备用于对端口 443 上的 ISE 服务器
进行身份验证,以批量下载 ISE 用户配置文件数据。
进行身份验证,以批量下载 ISE 用户配置文件数据。
•
ISE pxGrid 证书 (ISE pxGrid Certificate) - 被网络安全设备用于对端口 5222 上的 ISE 服务
器进行身份验证,以订用 WSA-ISE 数据 (对 ISE 服务器持续进行发布/订用查询)。
器进行身份验证,以订用 WSA-ISE 数据 (对 ISE 服务器持续进行发布/订用查询)。
这个证书可以是证书颁发机构 (CA) 签名证书或自签名证书。AsyncOS 提供此选项的目的在于,
生成自签名 WSA 客户端证书,或者在需要 CA 签名证书时,转而生成证书签名请求 (CSR)。同
样, ISE 服务器提供此选项的目的在于,生成自签名管理员证书和 pxGrid 证书,或者在需要
CA 签名证书时,转而生成 CSR。
生成自签名 WSA 客户端证书,或者在需要 CA 签名证书时,转而生成证书签名请求 (CSR)。同
样, ISE 服务器提供此选项的目的在于,生成自签名管理员证书和 pxGrid 证书,或者在需要
CA 签名证书时,转而生成 CSR。
请注意,以下警告同时涵盖 WSA 相关的证书和 ISE 相关的证书:
•
对于自签名证书, ISE pxGrid 证书和管理员证书必须包含在 ISE 服务器上的受信任证书列
表中, WSA 客户端证书还必须包含在 ISE 受信任证书列表中。
表中, WSA 客户端证书还必须包含在 ISE 受信任证书列表中。
•
对于 CA 签名证书:
–
正确的 CA 根证书必须包含在 ISE 服务器上的受信任证书列表中 (“管理”
[Administration] > “证书” [Certificates] > “受信任证书” [Trusted Certificates])。
[Administration] > “证书” [Certificates] > “受信任证书” [Trusted Certificates])。
–
正确的 CA 根证书必须包含在 WSA 上的受信任证书列表中 (“网络” [Network] >
“证书管理” [Certificate Management] > “管理受信任根证书” [Manage Trusted
Root Certificates])。如果相关列表中未包含 CA 根证书,请将主要 pxGrid 证书和管理
员证书的 CA 根证书上传至 ISE 配置页面。
员证书的 CA 根证书上传至 ISE 配置页面。
相关主题
•
•
•
集成身份服务引擎服务所需执行的任务
步骤
任务
相关主题和程序的链接
1
配置 WSA 客户端证书。
•
创建 CA 签名或自签名 WSA 客户端证书或将其上传至 WSA。
下载相关证书,以将其上传至 ISE 服务器。请参阅
下载相关证书,以将其上传至 ISE 服务器。请参阅
2
将 WSA 客户端证书添加
至 ISE 服务器。
至 ISE 服务器。
•
在 ISE 服务器上,导入上一步中从 WSA 下载的 WSA 客户端
证书,将其添加至受信任证书列表。(依次导航至管理
[Administration] > 证书 [Certificates] > 受信任证书 [Trusted
Certificates] > 导入 [Import]。)
证书,将其添加至受信任证书列表。(依次导航至管理
[Administration] > 证书 [Certificates] > 受信任证书 [Trusted
Certificates] > 导入 [Import]。)