Archivo por años: 2022

ISE 3.1: Error al importar un certificado wildcard en un segundo nodo de gestión

En un despliegue de cluster con dos nodos actuando como PAN, MnT y PSN. La importación de un nodo de tipo wildcard para los portales falla, se importa correctamente en el primer nodo, pero no en el segundo. Al intentar volver a importarlo en el segundo nodo, falla con el siguiente mensaje:

“You are attempting to import/generate/update a certificate which exactly matches with existing certificate in the system having same subject and same public key. Please retry the operation with certificate having either a different subject or a different public key than existing certificate.”

Para solucionar este problema, intenta con estos pasos:

  1. Crea un certificado autofirmado y mueve los usos del certificado wildcard a este nuevo certificado.
  2. El certificado de tipo wildcard afectado, aparece como «not in use».
  3. Elimina el certificado de tipo wildcard afectado y vuelve a importarlo sin seleccionar un uso.
  4. El certificado debería importarse en ambos nodos en esta ocasión.
  5. Edita el certificado wildcard que se acaba de importar y asigna los usos deseados.
  6. Elimina los certificados que no estén en uso.

Espero que estos pasos ayuden a otros a solucionar este problema.

Reglas de firewall para Cisco ISE, puertos por usados por persona

La siguiente tabla muestra las reglas necesarias en un firewall para las comunicaciones de ISE. La información recogida en este post no es oficial, ha sido recogida del manual de Cisco en la URL: https://www.cisco.com/c/en/us/td/docs/security/ise/3-1/install_guide/b_ise_InstallationGuide31/b_ise_InstallationGuide31_chapter_7.html se presenta dicha información en formato tabla y agregando el orígen y el destino para cada regla, en aquellas en las que ha sido posible identificarlos.

Puedes descargar la tabla en formato excel desde este enlace.

Sigue leyendo

Error de autenticación 802.1x mediante certificado en ISE

En un cliente hemos encontrado el siguiente problema, la autenticación de usuarios 802.1x mediante certificado falla y aparece el siguiente error en el live log de ISE:

OpenSSLErrorMessage SSL alert: code=0x22E=558 ; source=local ; type=fatal ; message=»certificate unknown.ssl/statem/statem_srvr.c:3800 error:1417C086:SSL routines:tls_process_client_certificate:certificate verify failed [error=337100934 lib=20 func=380 reason=134]»

Hay poca documentación al respecto, en este hilo de free radius se apunta a las EKU del certificado como motivo. Dado que la autenticación de máquina sí que funcionaba tras comparar los certificados y realizar varias pruebas con las propiedades de EKU, llegamos a la conclusión de que el error derivaba de que el certificado tenía marcada como crítica la clave EKU. Una vez no configurada como crítica la clave EKU la autenticación funciona perfectamente, este error también se extendía a equipos IPHONE, softphone AVAYA y posiblemente a otros dispositivos que usen las librerías de OPENSSL para la comprobación del certificado.

Configurar túnel site to site FlexVPN con IP dinámica (DHCP) con routers Cisco

Esta configuración es muy sencilla cuando se encajan todas las piezas. Se debe utilizar FlexVPN en modo cliente/servidor, se puede elegir diferentes modos de autenticación: certificado, radius, tacacs+…En este artículo se utilizará la más sencilla, usuario y contraseñas locales.

Se utilizará un laboratorio ejecutado en el fantástico eve-ng :). El laboratorio utilizado es el siguiente:

Sigue leyendo