Problem med ClearPass validering av flera Root CA med samma common name

jan 5, 2024

Använder du ClearPass från HPE Aruba Networking tillsammans med PKI-tjänster där root CA certifikatet kommer att behöva förnyas i framtiden?

I så fall behöver du veta följande om hur ClearPass hanterar flera CA-certifikat med samma common name. Detta är inte dokumenterat i ClearPass dokumentation och utfallet beror även på om CA certifikatet är ett intermediate- eller rootcertifikat.

Det värsta tänkbara scenariot är att en förnyelse av det interna root CA certifikatet görs av en PKI-admin. Det nya CA-certifikatet skickas till ClearPass-administratören som i sin tur installerar det i ClearPass och EAP-TLS slutar plötsligt att fungera.
Ett annat utfall av ovanstående är att valideringen av gamla certifikat fortfarande fungerar, men inga nyligen utfärdade certifikat med det nya root certifikatet kan autentisera.

Problemet är att för närvarande kommer ClearPass att utvärdera alla betrodda intermediate CA certifikat med samma common name, men bara ett av rootcertifikaten om det finns mer än ett certifikat installerat.

För att lösa detta problem har jag lagt in en feature request i Arubas Innovation Zone att alla rootcertifikat ska inkluderas i utvärderingen av certifikatskedjan: https://innovate.arubanetworks.com/ideas/SEC-I-2038

Tycker att detta är en viktig förändring i beteendet hos ClearPass, gå då in på länken ovan och rösta på förslaget!

Nedan följer en fördjupning i aspekterna kring problemet, främst ur ett perspektiv för mellanstora företag.

Många privata PKI-implementeringar som gjorts de senaste 20 åren har gjorts på Windows CA-servrar och underhålls av Windows-serverteamet. Dock är den allmänna PKI-kunskapen bland tekniker är generellt sett ganska låg och CA-servrar kan vara mer eller mindre obevakade.

I den här situationen är det rimligt att tro att en förnyelse av ett CA-certifikat kommer att göras på det enklaste sättet i Windows, d.v.s. bara förnya CA-certifikatet med guiden i CA-serverns admin-gränssnitt. Denna process kommer att skapa ett nytt nytt certifikat med ett nytt nyckelpar. Det är också rimligt att tro att det inte är allt för många kunder som har en full testmiljö med PKI, Active Directory, ClearPass och annan utrustning att testa. Vanligare är att vissa delar av infrastrukturen är delad.

En förnyelse av en mellanliggande CA kan redan ha ägt rum inom en organisation och ett nytt CA-certifikat har installerats framgångsrikt i ClearPass och valideringen har bekräftats fungera bra.

Om root certifikatet är på väg att nå sin giltighetstid och förnyas med CA-förnyelsefunktionen, kommer den nya roten att ha samma gemensamma namn men nya nycklar. När det nya rootcertifikatet distribueras till ClearPass kommer validering inte att vara möjlig med både det gamla och nya root CA certifikatet. Endast ett av certifikaten kommer att inkluderas i valideringen.

Många av de installerade root CA servrarna har aldrig gått ut än då de installerats med förhållandevis långa giltighetstider, så detta problem kommer att bli allt vanligare och om den mellanliggande certifikatutfärdaren har förnyats kan både ClearPass och PKI-administratörer luras att förnyelsen av roten kommer att vara lika smidig som den mellanliggande förnyelsen var.

Med tanke på att PKI-kunskaperna i allmänhet är låga, förnyelse glöms ibland bort och görs i sista minuten och beteendet för ClearPass validering av flera CA-certifikat med samma common name inte är dokumenterat är mitt förslag att beteendet bör vara detsamma för validering av rotcertifikat som det nu är för mellanliggande certifikat.

Följs generella PKI rekommendationer gällande förnyelse av CA certifikaten kommer det att finnas ett behov av att ha två aktiva rootcertifikat under en tid. Eventuellt minst 1-2 år om detta är giltighetstid för kundcertifikat så alla klientcertifikat hinner gå ut.