[ISE/事例紹介]:クライアント証明書でEAP-TLS認証に失敗する(Unknown CA)

hidyano · ‎2018-12-13

問題

クライアント証明書を使った認証方式を利用時に認証に失敗すると言ったお問い合わせを頂くことがございます。

ご紹介する事例については特に独自に構築した CA 局で署名した環境や証明書更新時などに遭遇する可能性が考えれられます。

以下に紹介する事例は、あくまでひとつの事例として参考にいいただければと思います。

１．まず、ISE の認証レポート(Operations > Reports の Reports > Endpoints and Users > RADIUS Authentications) や

Live logs(Operations > Live Logs)で対象のレポートを確認ください。

２，以下のようにイベントの詳細、理由、考えうる解決策、原因など確認頂けます。

Screen Shot 2018-12-13 at 12.06.00.png

上記の場合は、"EAP-TLS failed SSL/TLS handshake because of an unknown CA in the client certificate chain" で、

クライアント証明書を署名した CA 局が不明(Unknown)なために信用できる証明書であることが判断できず、

Handshake で失敗しているということがわかります。

クライアント証明書を署名している CA 局の証明書を ISE が信頼できるようにしていただくことが考えられます。

例：CA 証明書を ISE の Trusted Certificates(Administration > System > Certificates > Certificate Management > Trusted Certificates)にインポート頂く。

ISE でクライアント証明書を署名している CA 局を信頼済みの状況で同様の事例を確認された際には、

お手数ですが、Japan TAC までお問い合わせいただければと思います。