NAC (CCA): Certificaatfouten op de CAM/CAS na upgrade naar 4.1.6 repareren
Inhoud
Inleiding Voorwaarden Vereisten
Gebruikte componenten Conventies
Procedure
Gerelateerde informatie
Inleiding
Dit document beschrijft hoe u certificeringsfouten kunt repareren op de CLIM-server (Clean Access Manager)/Clean Access Server (CAS) met versie 4.1.6.
Voorwaarden
Vereisten
Cisco raadt u aan kennis te hebben van het upgradeproces voor de Cisco Network Admission Control (NAC)-applicatie.
Gebruikte componenten
De informatie in dit document is gebaseerd op de Cisco NAC-applicatie versie 4.1.6 met CAM/CAS.
De informatie in dit document is gebaseerd op de apparaten in een specifieke
laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u de potentiële impact van elke opdracht begrijpen.
Conventies
Raadpleeg Cisco Technical Tips Conventions (Conventies voor technische tips van Cisco) voor meer informatie over documentconventies.
Procedure
Deze certificaatfouten worden gevonden in /perfigo/logs/perfigo-redirect.log.log.0 of /perfigo/logs/perfigo-log0.log.0.
Hier is een voorbeeld van een certificaatfout:
SEVERE: RMISocketFactory:Creating RMI socket failed to host 10.1.20.10:sun.security.validator.ValidatorException:
Certificate chaining error
Aug 1, 2008 1:41:22 PM com.perfigo.wlan.web.admin.ConnectorClient connect SEVERE: Communication Exception : java.rmi.ConnectIOException: Exception creating connection to: 10.1.20.10; nested exception is:
javax.net.ssl.SSLHandshakeException:
sun.security.validator.ValidatorException: Certificate chaining error
Deze fouten zijn het gevolg van beveiligingsverbeteringen die zijn aangebracht in punt 4.1.6. In punt 4.1.6 treden de CAS en CAM op als client en server aan elkaar en moeten zij elkaar
vertrouwen. Elk vereist de wortel- en tussencertificaten van de andere. Als de CAS bijvoorbeeld een veelvormig certificaat heeft en de CAM een Perfigo-certificaat (tijdelijk) heeft, hebben zowel de CAS als de CAM de Versimaire keten (wortel en tussenpersonen) en de Perfigowortel nodig.
Voltooi deze stappen om de certificaatfouten vast te stellen:
Back-up van geïnstalleerde certificaten die geen tijdelijke certificaten zijn.Open in de CAM de webinterface en ga naar Administration > CCA Manager > SSL > X509
Certificate.
Ga in de CAS rechtstreeks naar de webinterface via https://<CAS IP>/admin, en ga vervolgens naar Administration > SSL > X509
1.
Kies CSR/Private Key/certificaatmodel uit de vervolgkeuzelijst kiezen.Klik op Exporteren naast het momenteel geïnstalleerde certificaat en slaat dit bestand op.Klik op Exporteren naast de momenteel geïnstalleerde Private Key, en bewaar dit bestand.
Als de CAS en de CAM na de back-up nog geen tijdelijke certificaten gebruiken, genereert u deze.Open in de CAM de webinterface en ga naar Administration > CCA Manager > SSL >
X509 Certificate.Ga in de CAS rechtstreeks naar de webinterface via https://<CAS IP>/admin, en ga vervolgens naar Administration > SSL > X509 Certificate.Klik in de vervolgkeuzelijst Optie tijdelijk certificaat genereren.Vul de genoemde velden in en klik op Generate.Opmerking: hiervoor hoeft de computer niet langer opnieuw te worden opgestart.
2.
Verwijder alle Trusted certificaatautoriteiten van de CAS en de CAM. Deze stap maakt het makkelijker om beveiliging te beheren en te verbeteren.Ga in het CAM naar Administration >
CCA Manager > SSL > Trusted certificaatautoriteiten.Ga bij de CAS naar Administration >
SSL > Trusted certificaatautoriteiten.Maak een filter om het Perfigo-certificaat uit te sluiten.
3.
Kies een onderscheidende naam in de vervolgkeuzelijst Toevoegen filter.
Kies bevat geen van de vervolgkeuzelijst naast Naam die wordt weergegeven.
Typ de weergave in het tekstveld en klik vervolgens op Filter.
Kies 100 in de vervolgkeuzelijst naast de knop Geselecteerd verwijderen.Klik op het aankruisvakje onder de vervolgkeuzelijst Geselecteerde verwijderen om alle
certificeringsinstanties (CA’s) in de lijst te selecteren.Klik op Verwijderen op Geselecteerd om alle CA’s in de lijst te verwijderen.Klik vervolgens op het vakje en klik op Geselecteerd
verwijderen totdat alle CA's zijn verwijderd.
Nadat u alle CA's hebt verwijderd, moeten de wortel- en tussencertificaten worden geïmporteerd.Ga in het CAM naar Administration > CCA Manager > SSL > Trusted certificaatautoriteiten.Ga bij de CAS naar Administration > SSL > Trusted
certificaatautoriteiten.Klik op Bladeren en kies eerst het Woot certificaat.Toelichting: Het onderwerp en de emittent moeten op dezelfde waarde worden ingesteld.Klik op Importeren en de CA moet in de onderstaande lijst worden weergegeven.Volg dezelfde procedure voor intermediaire certificaten.
4.
Installeer de CAS- en CAM-certificaten waarvan u in de eerste stap een back-up hebt
gemaakt.Open in de CAM de webinterface en ga naar Administration > CCA Manager > SSL
> X509 Certificate.Ga in de CAS rechtstreeks naar de webinterface via https://<CAS IP>/admin, en ga vervolgens naar Administration > SSL > X509 Certificate.Selecteer het importcertificaat in de vervolgkeuzelijst.Klik op Bladeren en kies het certificaat dat uit stap 1 is opgeslagen.Klik op Upload.Klik nogmaals op Bladeren en kies de privé-toets die uit stap 1 is opgeslagen.Kies Private Key in de vervolgkeuzelijst Bestandstype en klik vervolgens op Upload.Klik op Controleer en installeer geüploade certificaten.Opmerking: Deze foutmelding wordt niet volgens deze procedures vastgesteld:
SEVERE: SSLFilter:access deniedCN=cas1.domain.com,
OU=Information Technologies, O=Company, ST=State,
C=US:Netscape cert type does not permit use for SSL client
5.
Als de logbestanden dit bericht bevatten, moet u contact opnemen met de
certificeringsaanbieder. Het certificaat moet opnieuw worden afgegeven met het veld Type Netscape OpenSSL-server en de SSL-client.
Gerelateerde informatie
Cisco NAC-ondersteuningspagina voor applicaties
●
Technische ondersteuning en documentatie – Cisco Systems
●
