Cisco Identity Services Engine アップグレード ガイド リリース 1.2
分散展開の Cisco ISE、リリース 1.2 へのアップグレード
分散展開の Cisco ISE、リリース 1.2 へのアップグレード
発行日;2014/01/08   |   ドキュメントご利用ガイド   |   ダウンロード ;   この章 pdf   ,   ドキュメント全体 pdf    |   フィードバック

分散展開の Cisco ISE、リリース 1.2 へのアップグレード

この章では、分散展開を Cisco ISE リリース 1.2 にアップグレードする方法について説明します。

分散展開のアップグレード

次の図に示すように、一般的な Cisco ISE 分散展開は、プライマリおよびセカンダリの管理ノードとモニタリング ノード、いくつかのポリシー サービス ノード、IPN ノードから構成されます。

図 1. Cisco ISE リリース 1.1.x 管理展開



上の図に示した分散展開をアップグレードするには、次の手順に従います。

分散展開のノードのアップグレード

Cisco ISE、リリース 1.2 へのアップグレード時には、最初にセカンダリ管理ノードをリリース 1.2 にアップグレードします。 たとえば、図 2 に示すように、1 つのプライマリ管理ノード(ノード A)、1 つのセカンダリ管理ノード(ノード B)、1 つのインライン ポスチャ ノード(IPN)(ノード C)、および 4 つのポリシー サービス ノード(PSN)(ノード D、ノード E、ノード F、およびノード G)、1 つのプライマリ モニタリング ノード(ノード H)、および 1 つのセカンダリ モニタリング ノード(ノード I)を含む展開がセットアップされている場合、次のアップグレード手順に進むことができます。


(注)  


アップグレードの前にノードを手動で登録解除する必要はありません。 application upgrade コマンドを使用してノードをリリース 1.2 にアップグレードします。 アップグレード プロセスは自動的にノードを登録解除し、新しい展開に移行します。 アップグレードの前に手動でノードの登録をキャンセルする場合は、アップグレード プロセスを開始する前に、プライマリ ノード管理用のライセンス ファイルがあることを確認します。 手元にこのファイルがない場合(たとえば、シスコ パートナー ベンダーによってライセンスはインストールされていない場合)、Cisco TAC に連絡してください。


はじめる前に
  • 展開にセカンダリ管理ノードがない場合は、アップグレード プロセスを開始する前に、セカンダリ管理ノードにするポリシー サービス ノードを 1 つ設定します。
  • プライマリ管理ノードから設定および ADE-OS データのオンデマンド バックアップを手動で実行します。
  • モニタリング データのオンデマンド バックアップを実行します。
  • アップグレード前に IPN 設定を記録し、アップグレード後に IPN を再設定できるようにします。 (このために、手動で設定の詳細を確認することや、IPN ユーザ インターフェイスから既存のコンフィギュレーションのスクリーン ショットを取得できます)。
  • 全 Cisco ISE 展開をアップグレードする場合は、ドメイン ネーム システム(DNS)のサーバ解決(順ルックアップおよび逆ルックアップ)が必須です。そうでない場合、アップグレードは失敗します。
手順
    ステップ 1   CLI からセカンダリ管理ノード(ノード B)をアップグレードします。

    アップグレード プロセスでは、展開からのノード B の登録解除、そしてリリース 1.2 へのアップグレードが自動的に行われます。 再起動すると、ノード B は、新規のプライマリ ノードになります。 各展開でモニタリング ノードが少なくとも 1 つ必要になるため、アップグレード プロセスは古い展開の該当ノードでイネーブルになっていなくても、ノード B のモニタリング ペルソナをイネーブルにします。 ポリシー サービス ペルソナが古い展開のノード B でイネーブルであった場合、この設定は新規導入へのアップグレード後も維持されます。

    ステップ 2   モニタリング ノードの 1 つ(ノード H)を新規展開にアップグレードします。

    セカンダリ モニタリング ノードの前にプライマリ モニタリング ノードをアップグレードすることをお勧めします(古い展開でプライマリ管理ノードがプライマリ モニタリング ノードとしても動作している場合にはこれは不可能です)。 プライマリ モニタリング ノードが起動し、新規展開からログを収集します。この詳細は、プライマリ管理ノードのダッシュボードから表示できます。

    古い展開でモニタリング ノードが 1 つだけある場合は、アップグレードする前に、古い展開のプライマリ管理ノードであるノード A のモニタリング ペルソナをイネーブルにします。 ノード ペルソナの変更により、Cisco ISE アプリケーションが再起動します。 ノード A が再起動するまで待ちます。 新規展開にモニタリング ノードをアップグレードすると、運用データを新しい展開に移行する必要があるために、他のノードよりも時間がかかります。

    新規展開のプライマリ管理ノードであるノード B が、古い展開でイネーブルにされたモニタリング ペルソナを持たない場合、モニタリング ペルソナをディセーブルにします。 ノード ペルソナの変更により、Cisco ISE アプリケーションが再起動します。 プライマリ管理ノードが起動するまで待ちます。

    ステップ 3   CLI から、ポリシー サービス ノード(ノード D、E、F、および G)を Cisco ISE、リリース 1.2 にアップグレードします。 複数の PSN ノードを同時にアップグレードできますが、すべての PSN を同時にアップグレードした場合、ネットワークでダウン タイムが発生します。

    アップグレード後に、新規展開のプライマリ ノード(ノード B)に PSN が登録され、プライマリ ノード(ノード B)からのデータがすべての PSN に複製されます。 PSN ではそのペルソナ、ノード グループ情報、およびプローブのプロファイリング設定が維持されます。

    ステップ 4   プライマリ管理ノードから IPN ノード(ノード C)を登録解除します。
    ステップ 5   IPN アプライアンス(ノード C)のイメージを再作成します。
    ステップ 6   イメージが再作成された IPN ノード(ノード C)で IPN ISO 1.2 をインストールします。
    ステップ 7   IPN ノード(ノード C)を新規展開のプライマリ管理ノード(ノード B)に登録します。
    ステップ 8   古い展開に 2 番目のモニタリング ノード(ノード I)がある場合、次のことを行う必要があります。
    1. 古い展開のプライマリ ノードであるノード A のモニタリング ペルソナをイネーブルにします。

      展開でモニタリング ノードは少なくとも 1 つ必要です。 古い展開から第 2 のモニタリング ノードをアップグレードする前に、プライマリ ノード自身でこのペルソナをイネーブルにします。 ノード ペルソナの変更により、Cisco ISE アプリケーションが再起動します。 プライマリ ISE ノードが再起動するまで待ちます。

    2. セカンダリ モニタリング ノード(ノード I)を古い展開からの新しい展開にアップグレードします。

    プライマリ管理ノード(ノード A)を除いて、他のすべてのノードについては新規展開にアップグレードする必要はありません。

    ステップ 9   最後に、プライマリ管理ノード(ノード A)を Cisco ISE、リリース 1.2 にアップグレードします。

    このノードは、リリース 1.2 にアップグレードされ、新しい展開にセカンダリ管理ノードとして追加されます。 セカンダリ管理ノード(ノード A)を新規展開のプライマリ ノードに昇格させることができます。 プライマリ ノードとしてノード B を保持する場合、プライマリ管理ノードとセカンダリ管理ノードの両 UDI を含むライセンスを取得します。

    アップグレードが完了した後、リリース 1.2 にアップグレードされたモニタリング ノードに古いログが含まれる場合、application configure ise コマンドを実行し、該当するモニタリング ノードで 11(M&T データベースの統計情報の更新)を選択します。


    アップグレード後、新規展開は次の図のようになります。

    図 2. リリース 1.2 にアップグレードされた完全な展開



    CLI トランスクリプトの正常なアップグレード

    次の例は、正常なセカンダリ管理ノードのアップグレードの CLI トランスクリプトです。

    ise-vm30/admin# application upgrade ise-upgradebundle-1.1.x-to-1.2.0.899.i386.tar.gz  myrepository
    Save the current ADE-OS running configuration? (yes/no) [yes] ? yes
    Generating configuration...
    Saved the ADE-OS running configuration to startup successfully
    Initiating Application Upgrade...
    % Warning: Do not use Ctrl-C or close this terminal window until upgrade completes.
    STEP 1: Stopping ISE application...
    STEP 2: De-registering node from current deployment.
    STEP 3: Taking backup of the configuration data...
    STEP 4: Running ISE configuration DB schema upgrade...
    
    ISE Database schema upgrade completed.
    STEP 5: Running ISE configuration data upgrade...
    - Data upgrade step 1/79, ConfiguratorUpgradeService(1.2.0.155)... Done in 2 seconds.
    - Data upgrade step 2/79, NSFUpgradeService(1.2.0.180)... Done in 0 seconds.
    - Data upgrade step 3/79, GuestUpgradeService(1.2.0.195)... Done in 1 seconds.
    - Data upgrade step 4/79, ProfilerUpgradeService(1.2.0.196)... Done in 7 seconds.
    - Data upgrade step 5/79, SystemConfigUpgradeService(1.2.0.201)... Done in 0 seconds.
    - Data upgrade step 6/79, NSFUpgradeService(1.2.0.217)... Done in 9 seconds.
    - Data upgrade step 7/79, NSFUpgradeService(1.2.0.224)... Done in 2 seconds.
    - Data upgrade step 8/79, GuestUpgradeService(1.2.0.225)... Done in 0 seconds.
    - Data upgrade step 9/79, NSFUpgradeService(1.2.0.229)... Done in 0 seconds.
    - Data upgrade step 10/79, ProfilerUpgradeService(1.2.0.256)... Done in 0 seconds.
    - Data upgrade step 11/79, RBACUpgradeService(1.2.0.257)... Done in 14 seconds.
    - Data upgrade step 12/79, ProfilerUpgradeService(1.2.0.257)... ............Done in 816 seconds.
    - Data upgrade step 13/79, GuestUpgradeService(1.2.0.263)... Done in 3 seconds.
    - Data upgrade step 14/79, ProfilerUpgradeService(1.2.0.265)... Done in 0 seconds.
    - Data upgrade step 15/79, GuestUpgradeService(1.2.0.268)... Done in 0 seconds.
    - Data upgrade step 16/79, NSFUpgradeService(1.2.0.270)... Done in 0 seconds.
    - Data upgrade step 17/79, DictionaryUpgradeRegistration(1.2.0.272)... Done in 26 seconds.
    - Data upgrade step 18/79, GuestUpgradeService(1.2.0.276)... Done in 0 seconds.
    - Data upgrade step 19/79, NSFUpgradeService(1.2.0.281)... Done in 1 seconds.
    - Data upgrade step 20/79, GuestUpgradeService(1.2.0.290)... Done in 1 seconds.
    - Data upgrade step 21/79, NSFUpgradeService(1.2.0.291)... Done in 1 seconds.
    - Data upgrade step 22/79, NSFUpgradeService(1.2.0.298)... Done in 0 seconds.
    - Data upgrade step 23/79, PolicySetUpgradeService(1.2.0.310)... Done in 3 seconds.
    - Data upgrade step 24/79, GuestUpgradeService(1.2.0.311)... Done in 0 seconds.
    - Data upgrade step 25/79, GlobalExceptionUpgradeRegistration(1.2.0.311)... Done in 4 seconds.
    - Data upgrade step 26/79, GuestUpgradeService(1.2.0.319)... Done in 0 seconds.
    - Data upgrade step 27/79, ProfilerUpgradeService(1.2.0.319)... Done in 2 seconds.
    - Data upgrade step 28/79, NetworkAccessUpgrade(1.2.0.326)... Done in 0 seconds.
    - Data upgrade step 29/79, GuestUpgradeService(1.2.0.341)... Done in 2 seconds.
    - Data upgrade step 30/79, NSFUpgradeService(1.2.0.344)... Done in 0 seconds.
    - Data upgrade step 31/79, RBACUpgradeService(1.2.0.344)... Done in 38 seconds.
    - Data upgrade step 32/79, NSFUpgradeService(1.2.0.349)... Done in 0 seconds.
    - Data upgrade step 33/79, AuthzUpgradeService(1.2.0.351)... Done in 0 seconds.
    - Data upgrade step 34/79, RegisterPostureTypes(1.2.0.363)... ..Done in 121 seconds.
    - Data upgrade step 35/79, NSFUpgradeService(1.2.0.366)... Done in 0 seconds.
    - Data upgrade step 36/79, NetworkAccessUpgrade(1.2.0.366)... Done in 2 seconds.
    - Data upgrade step 37/79, GuestUpgradeService(1.2.0.370)... Done in 1 seconds.
    - Data upgrade step 38/79, NSFUpgradeService(1.2.0.379)... Done in 0 seconds.
    - Data upgrade step 39/79, AuthzUpgradeService(1.2.0.391)... Done in 0 seconds.
    - Data upgrade step 40/79, GuestUpgradeService(1.2.0.400)... Done in 0 seconds.
    - Data upgrade step 41/79, NSFUpgradeService(1.2.0.420)... Done in 0 seconds.
    - Data upgrade step 42/79, NSFUpgradeService(1.2.0.430)... Done in 0 seconds.
    - Data upgrade step 43/79, RBACUpgradeService(1.2.0.445)... Done in 26 seconds.
    - Data upgrade step 44/79, GuestUpgradeService(1.2.0.478)... Done in 0 seconds.
    - Data upgrade step 45/79, RBACUpgradeService(1.2.0.481)... Done in 1 seconds.
    - Data upgrade step 46/79, CertMgmtUpgradeService(1.2.0.485)... Done in 1 seconds.
    - Data upgrade step 47/79, ProfilerUpgradeService(1.2.0.495)... Done in 0 seconds.
    - Data upgrade step 48/79, RBACUpgradeService(1.2.0.496)... Done in 9 seconds.
    - Data upgrade step 49/79, NSFUpgradeService(1.2.0.500)... Done in 0 seconds.
    - Data upgrade step 50/79, NetworkAccessUpgrade(1.2.0.585)... Done in 4 seconds.
    - Data upgrade step 51/79, GuestUpgradeService(1.2.0.618)... Done in 1 seconds.
    - Data upgrade step 52/79, NetworkAccessUpgrade(1.2.0.621)... Done in 2 seconds.
    - Data upgrade step 53/79, NSFUpgradeService(1.2.0.624)... Done in 0 seconds.
    - Data upgrade step 54/79, NetworkAccessUpgrade(1.2.0.625)... Done in 0 seconds.
    - Data upgrade step 55/79, VendorUpgradeRegistration(1.2.0.638)... Done in 0 seconds.
    - Data upgrade step 56/79, CertMgmtUpgradeService(1.2.0.665)... Done in 1 seconds.
    - Data upgrade step 57/79, ProfilerUpgradeService(1.2.0.700)... Done in 0 seconds.
    - Data upgrade step 58/79, RegisterPostureTypes(1.2.0.706)... Done in 1 seconds.
    - Data upgrade step 59/79, NetworkAccessUpgrade(1.2.0.708)... Done in 0 seconds.
    - Data upgrade step 60/79, GuestUpgradeService(1.2.0.716)... Done in 1 seconds.
    - Data upgrade step 61/79, NetworkAccessUpgrade(1.2.0.716)... Done in 1 seconds.
    - Data upgrade step 62/79, RegisterPostureTypes(1.2.0.728)... Done in 1 seconds.
    - Data upgrade step 63/79, NSFUpgradeService(1.2.0.729)... Done in 0 seconds.
    - Data upgrade step 64/79, AuthzUpgradeService(1.2.0.729)... Done in 1 seconds.
    - Data upgrade step 65/79, GuestUpgradeService(1.2.0.737)... Done in 0 seconds.
    - Data upgrade step 66/79, NetworkAccessUpgrade(1.2.0.738)... Done in 0 seconds.
    - Data upgrade step 67/79, GuestUpgradeService(1.2.0.747)... Done in 10 seconds.
    - Data upgrade step 68/79, NSFUpgradeService(1.2.0.754)... Done in 0 seconds.
    - Data upgrade step 69/79, RBACUpgradeService(1.2.0.757)... Done in 34 seconds.
    - Data upgrade step 70/79, NetworkAccessUpgrade(1.2.0.762)... Done in 0 seconds.
    - Data upgrade step 71/79, NetworkAccessUpgrade(1.2.0.764)... Done in 0 seconds.
    - Data upgrade step 72/79, NetworkAccessUpgrade(1.2.0.774)... Done in 0 seconds.
    - Data upgrade step 73/79, NSFUpgradeService(1.2.0.775)... Done in 0 seconds.
    - Data upgrade step 74/79, NSFUpgradeService(1.2.0.826)... Done in 0 seconds.
    - Data upgrade step 75/79, GuestUpgradeService(1.2.0.852)... .......Done in 445 seconds.
    - Data upgrade step 76/79, ProfilerUpgradeService(1.2.0.866)... Done in 0 seconds.
    - Data upgrade step 77/79, CertMgmtUpgradeService(1.2.0.873)... Done in 0 seconds.
    - Data upgrade step 78/79, NSFUpgradeService(1.2.0.881)... Done in 0 seconds.
    - Data upgrade step 79/79, GuestUpgradeService(1.2.0.882)... Done in 2 seconds.
    STEP 6: Running ISE configuration data upgrade for node specific data...
     STEP 7: Making this node PRIMARY of the new deployment. When other nodes are upgraded it will be added to this deployment.
    STEP 8: Running ISE MnT DB upgrade...
    Upgrading Session Directory...
    Completed.
    - Mnt Schema Upgrade completed, executing sanity check...
     % Mnt Db Schema Sanity success
    Generating Database statistics for optimization ....
    - Preparing database for 64 bit migration...
    % NOTICE: The appliance will reboot twice to upgrade software and ADE-OS to 64 bit. During this time progress of the upgrade is visible on console. It could take up to 30 minutes for this to complete.
    Rebooting to do Identity Service Engine upgrade...
    

    次の例は、正常な PSN(モニタリング)ノードのアップグレードの CLI トランスクリプトです。

    ise-vm31/admin# application upgrade ise-upgradebundle-1.1.x-to-1.2.0.899.i386.tar.gz  myrepository
    
    Save the current ADE-OS running configuration? (yes/no) [yes] ? yes
    Generating configuration...
    Saved the ADE-OS running configuration to startup successfully
    Initiating Application Upgrade...
    % Warning: Do not use Ctrl-C or close this terminal window until upgrade completes.
    STEP 1: Stopping ISE application...
    STEP 2: De-registering node from current deployment.
    STEP 3: Taking backup of the configuration data...
    STEP 4: Registering this node to primary  of new deployment...
    STEP 5: Downloading configuration data from primary  of new deployment...
    STEP 6: Importing configuration data...
    STEP 7: Running ISE configuration data upgrade for node specific data...
    STEP 8: Running ISE MnT DB upgrade...
    Upgrading Session Directory...
    Completed.
    - Mnt Schema Upgrade completed, executing sanity check...
     % Mnt Db Schema Sanity success
    Generating Database statistics for optimization ....
    - Preparing database for 64 bit migration...
    % NOTICE: The appliance will reboot twice to upgrade software and ADE-OS to 64 bit. During this time progress of the upgrade is visible on console. It could take up to 30 minutes for this to complete.
    Rebooting to do Identity Service Engine upgrade...
    

    分散展開のインライン ポスチャ ノードのアップグレード

    Cisco ISE、リリース 1.2 に直接インライン ポスチャ ノードをアップグレードできません。 Cisco ISE 3300 シリーズ アプライアンスのイメージを再作成して、そこに ISE-IPN 1.2 ISO をインストールする必要があります。 このセクションでは、リリース 1.2 に IPN ノードをアップグレードする手順について説明します。

    はじめる前に
    • ISE-IPN 1.2 ISO イメージがあることを確認します。
    • 展開で IPN の高可用性ペアがある場合は、Cisco ISE、リリース 1.1. x の展開から IPN ノードを登録解除する前に、高可用性ペアをキャンセルします。
    • ノードを登録解除するに、IPN ノードのすべての設定データを記録します。 また、データを記録するために、(プライマリ管理ユーザ インタフェースから)各 IPN タブのスクリーン ショットを保存することもできます。 このデータが手元にあれば、IPN ノードの再登録のプロセスが早く終わります。
    手順
      ステップ 1   プライマリ管理ノードから IPN ノードを登録解除します。

      CLI にアクセスし、コマンド show application status ise を入力することによって、IPN ノードが Cisco ISE ノードのステータスに戻ったことを確認します。 ノードが戻っていない場合は、コマンド プロンプトで次のように入力できます。pep switch outof-pep。 ただしこれは、最後の手段としてのみを使用することをお勧めします。

      ステップ 2   Cisco ISE 3300 シリーズ アプライアンスのイメージを再作成します。 詳細については、『Cisco Identity Services Engine Hardware Installation Guide, Release 1.2』を参照してください。
      ステップ 3   アプライアンスに ISE-IPN 1.2 ISO イメージをインストールします。 詳細については、『Cisco Identity Services Engine Hardware Installation Guide, Release 1.2』を参照してください。
      ステップ 4   IPN ノード CLI から証明書を設定します。
      ステップ 5   ノードを IPN ノードとしてプライマリ管理ノードに登録し、再設定します。
      ステップ 6   IPN の設定を確認し、設定を保存します。

      分散展開の IPN ノードのアクティブ/スタンバイ ペアのアップグレード

      インライン ポスチャ ノードのアクティブ/スタンバイ ペアをリリース 1.2 にアップグレードするには、まず高可用性ペアをキャンセルし、ISE-IPN 1.2 ISO イメージを再作成してノードにインストールします。

      手順
        ステップ 1   プライマリ管理ノードにログインします。
        ステップ 2   アクティブ/スタンバイ高可用性ペアをキャンセルします。
        1. [管理(Administration)] > [システム(System)] > [展開(Deployment)] を選択します。
        2. アクティブな IPEP ノードの隣にあるチェックボックスをオンにして [編集(Edit)] をクリックします。
        3. [フェールオーバー(Failover)] タブをクリックします。
        4. [HA 有効(HA Enabled)] チェックボックスをオフにします。
        5. [保存(Save)] をクリックします。
        ステップ 3   [保存(Save)] をクリックします。
        ステップ 4   プライマリ管理ノードから IPN ノードを登録解除します。

        CLI にアクセスし、コマンド show application status ise を入力することによって、IPN ノードが Cisco ISE ノードのステータスに戻ったことを確認します。 ノードが戻っていない場合は、コマンド プロンプトで次のように入力できます。pep switch outof-pep。 ただしこれは、最後の手段としてのみを使用することをお勧めします。

        ステップ 5   スタンドアロン IPN ノードのイメージの再作成。 詳細については、『Cisco Identity Services Engine Hardware Installation Guide, Release 1.2』を参照してください。
        ステップ 6   IPN ノードに ISE-IPN 1.2 ISO イメージをインストールします。 詳細については、『Cisco Identity Services Engine Hardware Installation Guide, Release 1.2』を参照してください。
        ステップ 7   CLI から IPN ノードの証明書を設定します。
        ステップ 8   プライマリ管理ノードに IPN ノードを登録します。
        ステップ 9   アクティブ/スタンバイ ペアで IPN ノードを再構成します。
        ステップ 10   IPN の設定を確認し、設定を保存します。

        インライン ポスチャ ノードの証明書の設定

        サポートされるいずれかのアプライアンス プラットフォームで ISE-IPN 1.2 ISO イメージをインストールし、セットアップ プログラムを実行した後、展開に追加する前に、インライン ポスチャ ノードの証明書を設定する必要があります。

        はじめる前に
        • IPN ノードは、プライマリ管理ノードを認定した同じ CA から認定される必要があります。
        • Command-Line Interface (CLI) からのみ、インライン ポスチャ ノードの証明書を設定できます。
        • インライン ポスチャ ノードのアクティブ/スタンバイ ペアを展開する場合は、アクティブおよびスタンバイの両インライン ポスチャ ノードで証明書を設定します。
        手順
          ステップ 1   CLI を使用してインライン ポスチャ ノードにログインします。
          ステップ 2   IPN ノードの証明書署名要求(CSR)を生成します。
          ステップ 3   DER または Base-64 形式の署名付き証明書をダウンロードし、FTP サーバにコピーします。
          ステップ 4   インライン ポスチャ ノードの CLI から次のコマンドを入力します。

          pep certificate server add

          ステップ 5   再起動するアプリケーションで y を入力します。
          ステップ 6   最後の CSR に証明書をバインドするために y を入力します。
          ステップ 7   CA 署名付き証明書の名前を入力します。 IPN のアプリケーションを再起動します。 これで、プライマリ管理ノードにこの IPN ノードを登録できます。

          インライン ポスチャ ノードの証明書署名要求の生成

          Cisco ISE の展開に IPN を追加する前に、IPN はプライマリ管理ノードを認定した同じ CA から認定されることが必要です。

          はじめる前に

          IPN の CLI にログインする必要があります。

          手順
            ステップ 1   次のコマンドを入力します。

            pep certificate server generatecsr

            ステップ 2   n を入力して CSR を含む既存の秘密キー ファイルを使用するか、y を入力して新しいキー ファイルを生成します。
            ステップ 3   必要なキー サイズを入力します。
            ステップ 4   証明書に署名するダイジェストのタイプを入力します。
            ステップ 5   国番号(2 桁の番号)を入力します。
            ステップ 6   都道府県、市町村、構成、組織ユニット値を入力します。
            ステップ 7   共通名を入力します。 共通名はホスト名と同じです。 完全修飾名(FQDN)を入力します。 たとえば、ホスト名が IPEP1、DNS ドメイン名が cisco.com である場合、共通名として IPEP1.cisco.com を入力します。
            ステップ 8   自分の電子メール アドレスを入力します。
            ステップ 9   END CERTIFICATE REQUEST タグの後に、空白行を含むテキスト ブロック全体をコピーします(復帰を含みます)。
            ステップ 10   プライマリ管理ノードの証明書に署名した CA に CSR を送信します。

            Microsoft の CA を使用している場合は、署名要求の送信中に証明書のテンプレートとして [Web Server] を選択します。

            (注)     

            IPN ノードでは、リリース 1.2 でサーバ認証のみがサポートされます。 証明書に署名するために他の CA を使用する場合は、キーの拡張用途でサーバ認証のみが指定されていることを確認します。

            CA から署名付き証明書を受信します。


            次の作業

            DER または Base-64 形式の署名付き証明書をダウンロードし、FTP サーバにコピーします。

            FTP サーバへの署名付き証明書のコピー

            はじめる前に

            インライン ポスチャ ノードで証明書署名要求(CSR)を生成し、CA に送る必要があります。

            手順
              ステップ 1   インライン ポスチャ ノードの CLI から次のコマンドを入力します。

              copy ftp:// a.b.c.d/ipep1.cer disk:

              a.b.c.d は FTP サーバの IP アドレス、ipep1.cer は IPN ノードに追加する CA 署名付き証明書です。

              ステップ 2   FTP サーバのユーザ名とパスワードを入力します。

              次の作業

              インライン ポスチャ ノードに署名付き証明書を追加します。

              ISE 3400 シリーズ アプライアンスと古いアプライアンスの置き換え

              ここでは、古いアプライアンスを Cisco ISE 3400 シリーズ アプライアンスと交換する方法について説明します。

              リリース 1.2 を実行するアプライアンスと既存のノードの置き換え

              ここでは、Cisco ISE 1.1.x ノードを新しい Cisco ISE、リリース 1.2 アプライアンスと交換する場合に、リリース 1.2 にアップグレードするときに、必要な手順を説明します。 管理ノードおよびモニタリング ノードのみをプライマリ ロールおよびセカンダリ ロールでハイ アベイラビリティ用に設定できます。 ロード バランシングとフェールオーバーの目的で、ポリシー サービス ノードをグループ化できます。

              はじめる前に

              アプライアンスを新しい SNS-3400 シリーズ アプライアンスと交換する場合は、プライマリとセカンダリの管理ノードとして設定する新しい SNS-3400 シリーズのアプライアンスの UDI を使用してライセンスを取得します。

              手順
                ステップ 1   既存のセカンダリ管理ノードをリリース 1.2 にアップグレードします。

                このノードは自動的に、古い展開から自身の登録を解除し、新しいプライマリ管理ノードになります。

                ステップ 2   「分散展開」セクションの「ノードのアップグレード」の説明に従って、新規導入の監視、ポリシー、インライン ポスチャ、プライマリ管理のノードをアップグレードします。
                ステップ 3   交換する古いアプライアンスのノードを登録解除します。
                ステップ 4   新規インストールを実行し、新しい Cisco ISE、リリース 1.2 アプライアンスを、新規のプライマリ管理ノードでを登録します。 詳細については、『Cisco Identity Services Engine Hardware Installation Guide, Release 1.2』および『Cisco Identity Services Engine User Guide, Release 1.2』を参照してください。
                ステップ 5   新しい SNS-3400 シリーズ アプライアンスの 1 つを新しいプライマリ管理 ISE ノードに昇格させます。 新しいアプライアンスの UDI で取得したライセンスをインストールします。

                リリース 1.2 を実行するアプライアンスとすべてのノードの置き換え

                ここでは、リリース 1.2 にアップグレードする場合に、すべての Cisco ISE、リリース 1.1.x ノードを新しい SNS-3400 シリーズ アプライアンスに交換するために必要な手順について説明しています。 管理ノードおよびモニタリング ノードのみをプライマリ ロールおよびセカンダリ ロールでハイ アベイラビリティ用に設定できます。 ロード バランシングとフェールオーバーの目的で、ポリシー サービス ノードをグループ化できます。

                はじめる前に

                プライマリおよびセカンダリの管理ノードとして設定する新しい SNS-3400 シリーズ アプライアンスの UDI を使用してライセンスを取得します。

                手順
                  ステップ 1   Cisco ISE の設定データおよびモニタリング データのバックアップを実行します。
                  ステップ 2   新規インストールを実行し、新規展開でプライマリ管理ノードにする新しい SNS-3400 シリーズのアプライアンスの 1 つを設定します。 詳細については、『Cisco Identity Services Engine Hardware Installation Guide, Release 1.2』を参照してください。
                  ステップ 3   新しいプライマリおよびセカンダリ管理ノード(SNS-3400 シリーズ アプライアンス)の UDI に基づいて、新規展開のプライマリ管理ノードにライセンスをインストールします。
                  ステップ 4   新規展開のプライマリ ノードで Cisco ISE 設定を復元します。
                  ステップ 5   モニタリング ノードとして指定するアプライアンスで、新規インストールを実行し、モニタリングのバックアップを復元して、新規展開のプライマリ管理ノードに登録します。
                  ステップ 6   新規インストールを実行し、新規展開のプライマリ管理ノードに他の SNS-3400 シリーズ アプライアンスを登録して、プライマリ管理ノードのユーザ インターフェイスから設定を行います。 詳細については、『Cisco Identity Services Engine Hardware Installation Guide, Release 1.2』および『Cisco Identity Services Engine User Guide, Release 1.2』を参照してください。