解決済み: 他ベンダー製品で発行された証明書をCisco ISEの認証に用いることが出来るか。

cja56910tf · ‎2023-12-20

他社製認証サーバをCisco ISEにリプレースする提案を検討しています。

認証サーバは無線LANの認証で使用しており、ADサーバまたは他社製認証サーバで発行された証明書を用いて EAP-TLS 認証を用いています。無線APとWLCはCisco製です。

Cisco ISEで新しく証明書を発行してクライアントに配布するのは面倒・手間がかかるので、Cisco ISEへのリプレース後も、ADサーバまたは他社製認証サーバで発行された証明書をCisco ISEに取り込んで/信頼させて EAP-TLS認証に使用し続ける事は出来ないかとお客様より相談されているのですが、そのような事がISEで可能なのかどうかご存知の方がおられましたらご教授いただけませんでしょうか。

MyHomeNWLab · ‎2023-12-25

下記の2点を意識して証明書の信頼設定して頂ければ、ISE以外で発行された証明書でもEAP-TLSは利用可能だと存じます。

* Cisco ISE側での設定: クライアント証明書の配布機関 (CAの証明書)を信頼設定 ※ISEのTrusted Certificatesの設定

* 端末側での設定: Cisco ISEのEAP Authenticationに用いるサーバー証明書を信頼設定 ※ISEのSystem Certificatesにある証明書

私の検証環境での話ですが、
Azure上で動作するSCEPmanと呼ばれるサードパーティーのサービスでクライアント証明書をSCEPで発行して、
Intuneでクライアント証明書やEAP-TLSの設定を端末に配布してCisco ISE & C9800でEAP-TLSの動作確認はしてます。

また、ISE側のEAP-TLSの設定方法に関しては、Wired (有線)の方ではありますが「サクセスちゃんねる」の動画が参考になります。

【 Cisco ISE 攻略シリーズ】 dot1x の EAP-TLS【 CCIE 5冠監修】 - YouTube
https://www.youtube.com/watch?v=lj7czYig0Gc

元の投稿で解決策を見る

MyHomeNWLab · ‎2023-12-25

下記の2点を意識して証明書の信頼設定して頂ければ、ISE以外で発行された証明書でもEAP-TLSは利用可能だと存じます。

* Cisco ISE側での設定: クライアント証明書の配布機関 (CAの証明書)を信頼設定 ※ISEのTrusted Certificatesの設定

* 端末側での設定: Cisco ISEのEAP Authenticationに用いるサーバー証明書を信頼設定 ※ISEのSystem Certificatesにある証明書

私の検証環境での話ですが、
Azure上で動作するSCEPmanと呼ばれるサードパーティーのサービスでクライアント証明書をSCEPで発行して、
Intuneでクライアント証明書やEAP-TLSの設定を端末に配布してCisco ISE & C9800でEAP-TLSの動作確認はしてます。

また、ISE側のEAP-TLSの設定方法に関しては、Wired (有線)の方ではありますが「サクセスちゃんねる」の動画が参考になります。

【 Cisco ISE 攻略シリーズ】 dot1x の EAP-TLS【 CCIE 5冠監修】 - YouTube
https://www.youtube.com/watch?v=lj7czYig0Gc

cja56910tf · ‎2023-12-25

こんにちは。

とても丁寧かつ分かりやすい投稿をいただき、誠にありがとうございます。

実環境での動作実例まであり、とても心強く安心出来ました。これで自信を持って提案を進める事が出来ます。

ご指南・ご教授、ありがとうございました！！！