دمج ISE 3.3 مع Stealthwatch 7.5.1 باستخدام CA الخارجي
المحتويات
المقدمة
يصف هذا وثيقة إجراء أن يدمج ISE 3.3 مع يأمن شبكة تحليلات (Stealthwatch) يستعمل pxGrid توصيل.
المتطلبات الأساسية
توصي Cisco بالمعرفة في هذه الموضوعات:
- محرك خدمات الهوية
- شبكة تبادل الأنظمة الأساسية (pxGrid)
- تحليلات الشبكة الآمنة (Stealthwatch)
- شهادات TLS/SSL.
- PKI على نظام التشغيل Windows Server 2016
المكونات المستخدمة
تستند المعلومات الواردة في هذا المستند إلى إصدارات البرامج والمكونات المادية التالية:
- Identity Services Engine (ISE)، الإصدار 3.3 Patch 4
- تحليلات الشبكة الآمنة (Stealthwatch) 7.5.1
- Windows Server 2016 كخادم مرجع شهادات خارجي (CA).
تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.
التكوين
القسم أ: تكوين شهادة تحليلات الشبكة الآمنة (Stealthwatch)
الجزء I - إنشاء CSR لشهادة عميل PxGrid لتحليل الشبكة الآمن
1. سجل الدخول إلى وحدة تحكم إدارة Stealthwatch (SMC).
2. من القائمة الرئيسية، حدد تكوين > عام > الإدارة المركزية.
3. في صفحة المخزون، انقر أيقونة (القطع الناقص) للمدير الذي تريد الاتصال به ب ISE.
4. أختر تحرير تكوين الجهاز.
5. انتقل إلى قسم هويات عملاء SSL/TLS الإضافية ضمن علامة التبويب جهاز.
6. انقر فوق إضافة جديد.
7. هل تحتاج إلى إنشاء CSR (طلب توقيع الشهادة)؟ أختر نعم. انقر فوق Next (التالي).
8. حدد طول مفتاح RSA وأكمل بقية الحقول في قسم إنشاء CSR.
9. انقر فوق إنشاء CSR. قد تستغرق عملية الإنشاء عدة دقائق.
10. انقر فوق تنزيل CSR وحفظ ملف CSR محليا.
الجزء الثاني - إنشاء شهادة عميل PxGrid لتحليل الشبكة الآمنة باستخدام مرجع مصدق خارجي
1. التنقل إلى MS Active Directory Certificate Service، https://server/certsrv/، حيث يكون الخادم هو IP أو DNS الخاص بخادم MS.
2. انقر فوق طلب شهادة.
3. أختر إرسال طلب شهادة متقدم.
4. انسخ محتويات ملف CSR الذي تم إنشاؤه في القسم السابق في حقل الطلب المحفوظ.
5. حدد pxGrid كقالب الشهادة، ثم انقر فوق إرسال.
ملاحظة: يحتاج قالب الشهادة PXgrid المستخدم إلى كل من مصادقة العميل ومصادقة الخادم في حقل "إستخدام المفتاح المحسن".
6. قم بتنزيل شهادة تم إنشاؤها بتنسيق Base-64 واحفظها بتنسيق pxGrid_client.cer.
الجزء III - إضافة شهادة عميل Secure Network Analytics pxGrid إلى المدير
1.انتقل إلى قسم هويات عميل SSL/TLS الإضافية في تكوين مدير في الإدارة المركزية.
2. يحتوي قسم هويات عملاء SSL/TLS الإضافية على نموذج لاستيراد شهادة العميل التي تم إنشاؤها.
3. قم بتسمية الشهادة باسم مألوف، ثم انقر تحديد الملف لتحديد موقع ملف الشهادة.
- حدد الجذر أو المصدر ملف CA .cer أو ملف سلسلة الشهادات (.pem / .cer / .crt ) تحت قسم ملف شهادة السلسلة.
5. انقر فوق إضافة هوية العميل لإضافة الشهادة إلى النظام.
6. انقر فوق تطبيق الإعدادات لحفظ التغييرات.
الجزء الرابع - إستيراد شهادة جذر المرجع المصدق إلى مخزن ثقة الإدارة
1. انتقل إلى الصفحة الرئيسية MS Active Directory Certificate Service وحدد تنزيل شهادة CA أو سلسلة الشهادات أو CRL.
2. حدد تنسيق BASE-64، ثم انقر فوق تنزيل شهادة CA.
3. احفظ الشهادة ك CA_Root.cer.
4. سجل الدخول إلى وحدة تحكم إدارة Stealthwatch (SMC).
5. من القائمة الرئيسية، حدد تكوين > عام > الإدارة المركزية.
6. في صفحة المخزون، انقر فوق رمز (قطع ناقص) الخاص بالمدير.
7. أختر Edit Appliance Configuration.
8. حدد علامة التبويب عام.
9. انتقل إلى قسم Trust Store واستورد شهادة CA_Root.cer التي تم تصديرها من قبل.
10. انقر فوق إضافة جديد.
11. قم بتسمية الشهادة باسم مألوف، ثم انقر فوق تحديد الملف... لتحديد شهادة ISE CA التي تم تصديرها مسبقا.
12. انقر فوق إضافة شهادة لحفظ التغييرات.
13. انقر فوق تطبيق الإعدادات لحفظ التغييرات.
القسم ب: تكوين شهادة Cisco Identity Services Engine 3.3
الجزء I - إنشاء شهادة ISE Server pxGrid
إنشاء CSR لشهادة ISE Server pxGrid:
1. سجل الدخول إلى واجهة المستخدم الرسومية (GUI) لمحرك خدمات الهوية من Cisco.
2. انتقل إلى الإدارة > النظام > الشهادات > إدارة الشهادات > طلبات توقيع الشهادات.
3. حدد إنشاء طلب توقيع الشهادة (CSR).
4. يتم إستخدام تحديد pxGrid في الشهادة (الشهادات) للحقل.
5. حدد عقدة ISE التي يتم إنشاء الشهادة لها.
6. املأ تفاصيل الشهادات الأخرى حسب الحاجة.
7. انقر فوق إنشاء.
8. انقر فوق تصدير وحفظ الملف محليا.
الجزء الثاني - إنشاء شهادة خادم ISE Server PxGrid باستخدام مرجع مصدق خارجي
1. انتقل إلى خدمة شهادات MS Active Directory، https://server/certsrv/، حيث يكون الخادم IP أو DNS الخاص بخادم MS.
2. انقر فوق طلب شهادة.
3. أختر إرسال طلب شهادة متقدم.
4. انسخ محتويات CSR التي تم إنشاؤها في القسم السابق إلى حقل الطلب المحفوظ.
5. حدد pxGrid كقالب الشهادة، ثم انقر فوق إرسال.
ملاحظة: يحتاج قالب الشهادة PXgrid المستخدم إلى كل من مصادقة العميل ومصادقة الخادم في حقل "إستخدام المفتاح المحسن".
6. قم بتنزيل الشهادة التي تم إنشاؤها بتنسيق Base-64 واحفظها بتنسيق ISE_PXgrid.cer.
الجزء الثالث - إستيراد شهادة جذر CA إلى مخزن ثقة ISE
1. انتقل إلى الصفحة الرئيسية لخدمة شهادات MS Active Directory وحدد تنزيل شهادة CA أو سلسلة الشهادات أو CRL.
2. حدد تنسيق BASE-64، ثم انقر فوق تنزيل شهادة CA.
3. احفظ الشهادة ك ca_root.cer.
4. سجل الدخول إلى واجهة المستخدم الرسومية (GUI) لمحرك خدمات الهوية من Cisco.
5. حدد إدارة > نظام > شهادات > إدارة الشهادات >شهادات موثوق بها.
6. حدد إستيراد > ملف الشهادة وإستيراد الشهادة الجذر.
7. تأكد من تحديد خانة الاختيار ثقة للمصادقة داخل ISE.
8. انقر فوق إرسال.
الجزء الرابع - ربط شهادة ISE بطلب توقيع الشهادة (CSR)
1. سجل الدخول إلى واجهة المستخدم الرسومية (GUI) لمحرك خدمات الهوية من Cisco.
2. حدد إدارة > نظام > شهادات > إدارة الشهادات >طلبات توقيع الشهادات.
3. حدد CSR الذي تم إنشاؤه في القسم السابق، ثم انقر فوق شهادة الربط.
4. في نموذج الشهادة الموقعة ل Bind CA، أختر شهادة ISE_PXgrid.cer التي تم إنشاؤها مسبقا.
5. قم بتسمية الشهادة باسم مألوف، ثم انقر فوق إرسال.
7. انقر فوق نعم إذا طلب النظام إستبدال الشهادة.
8. حدد إدارة > نظام > شهادات > شهادات النظام.
9. يمكنك رؤية شهادة pxGrid المنشأة موقعة من المرجع المصدق الخارجي في القائمة.
تم نشر الشهادات الآن، قم بالمتابعة للتكامل.
التجميع
قبل الشروع في التكامل، تأكد من أن:
بالنسبة إلى Cisco ISE تحت الإدارة > خدمات pxGrid > الإعدادات والتحقق تلقائيا من الموافقة على الحسابات الجديدة المستندة إلى الشهادة لطلب العميل للموافقة التلقائية على الحفظ.
على وحدة تحكم إدارة Stealthwatch (SMC)، لفتح صفحة إعداد تكوين ISE:
1. حدد تكوين > عمليات التكامل > Cisco ISE.
2. في الركن العلوي الأيسر من الصفحة، انقر فوق إضافة تكوين جديد.
3. أدخل اسم نظام المجموعة، وحدد الشهادة ومنتج التكامل، وعقدة pxGrid IP وانقر فوق حفظ.
التحقق من الصحة
قم بتحديث صفحة تكوين ISE على وحدة تحكم إدارة Stealthwatch (SMC).
1. ارجع إلى صفحة تكوين ISE في Web App وقم بتحديث الصفحة.
2. تأكد من أن مؤشر حالة العقدة الموجود بجانب حقل عنوان IP القابل للتطبيق هو Green، مما يشير إلى إنشاء اتصال بمجموعة ISE أو ISE-PIC.
في Cisco ISE، انتقل إلى الإدارة >خدمات PXgrid > إدارة العملاء > العملاء.
يؤدي هذا إلى إنشاء SMC كعميل pxgrid مع الحالة تمكين.
للتحقق من الاشتراك في الموضوع على Cisco ISE، انتقل إلى الإدارة >خدمات pxGrid > التشخيصات > WebSocket > المواضيع
ينتج عن ذلك SMC مشترك في هذه الموضوعات.
موضوع TrustSec Sgt
موضوع دليل جلسة ISE
موضوع روابط ISE SXP
Cisco ISE Pxgrid-server.تسجيل الدخول إلى مستوى التتبع.
2025-02-08 18:07:11,086 TRACE [pxgrid-http-pool15][[]] cpm.pxgridwebapp.ws.pubsub.SubscriptionDistributor -::::::16d51630eee14e99b25c0fb4988db515:- Drop. exclude=[id=6,client=~ise-fanout-avasteise271,server=wss://avasteise271.avaste.local:8910/pxgrid/ise/pubsub]
2025-02-08 18:07:11,087 TRACE [pxgrid-http-pool22][[]] cpm.pxgridwebapp.ws.pubsub.StompPubsubEndpoint -:::::::- Received frame=[command=CONNECT,headers=[accept-version=1.1,1.2, heart-beat=0,0]], content=null
2025-02-08 18:07:11,102 TRACE [pxgrid-http-pool19][[]] cpm.pxgridwebapp.ws.pubsub.StompPubsubEndpoint -:::::::- Received frame=[command=SUBSCRIBE,headers=[destination=/topic/com.cisco.ise.config.trustsec.security.group, id=0]], content=null
2025-02-08 18:07:11,110 DEBUG [pxgrid-http-pool22][[]] cisco.cpm.pxgridwebapp.config.MyX509Filter -:::::::- Authenticating null
2025-02-08 18:07:11,111 DEBUG [pxgrid-http-pool22][[]] cisco.cpm.pxgridwebapp.config.MyX509Filter -:::::::- Certs up to date. user=~ise-pubsub-avasteise271
2025-02-08 18:07:11,111 DEBUG [pxgrid-http-pool22][[]] cisco.cpm.pxgridwebapp.config.MyX509Filter -:::::::- preAuthenticatedPrincipal = ~ise-pubsub-avasteise271, trying to authenticate
2025-02-08 18:07:11,111 DEBUG [pxgrid-http-pool22][[]] cisco.cpm.pxgridwebapp.config.MyX509Filter -:::::::- X.509 client authentication certificate subject:CN=avasteise271.avaste.local, OU=AAA, O=Ciscco, L=Bangalore, ST=KA, C=IN, issuer:CN=Avaste-ISE, DC=avaste, DC=local
2025-02-08 18:07:11,111 DEBUG [pxgrid-http-pool22][[]] cisco.cpm.pxgridwebapp.config.MyX509Filter -:::::::- Authentication success: PreAuthenticatedAuthenticationToken [Principal=org.springframework.security.core.userdetails.User [Username=~ise-pubsub-avasteise271, Password=[PROTECTED], Enabled=true, AccountNonExpired=true, credentialsNonExpired=true, AccountNonLocked=true, Granted Authorities=[ROLE_USER]], Credentials=[PROTECTED], Authenticated=true, Details=WebAuthenticationDetails [RemoteIpAddress=10.127.197.128, SessionId=null], Granted Authorities=[ROLE_USER]]
2025-02-08 18:07:11,112 DEBUG [pxgrid-http-pool22][[]] cisco.cpm.pxgridwebapp.data.AuthzDaoImpl -:::::::- requestNodeName=SMC serviceName=com.cisco.ise.pubsub operation=subscribe /topic/com.cisco.ise.config.trustsec.security.group
2025-02-08 18:07:11,321 DEBUG [pxgrid-http-pool19][[]] cpm.pxgridwebapp.ws.pubsub.SubscriptionDistributor -:::::::- Adding subscription=[id=0,topic=/topic/com.cisco.ise.config.trustsec.security.group,filter=]
2025-02-08 18:07:11,322 DEBUG [pxgrid-http-pool20][[]] cisco.cpm.pxgridwebapp.config.AuthzEvaluator -:::::::- Permitted user=SMC service=com.cisco.ise.config.trustsec operation=gets
2025-02-08 18:07:11,322 INFO [pxgrid-http-pool19][[]] cpm.pxgridwebapp.ws.pubsub.StompPubsubEndpoint -:::::::- Pubsub subscribe. subscription=[id=0,topic=/topic/com.cisco.ise.config.trustsec.security.group,filter=] session=[id=8,client=SMC,server=wss://avasteise271.avaste.local:8910/pxgrid/ise/pubsub]
2025-02-08 18:07:11,323 TRACE [pxgrid-http-pool19][[]] cpm.pxgridwebapp.ws.pubsub.StompPubsubEndpoint -:::::::- Received frame=[command=SUBSCRIBE,headers=[destination=/topic/com.cisco.ise.session, id=1]], content=null
2025-02-08 18:07:11,323 TRACE [WsIseClientConnection-1010][[]] cpm.pxgrid.ws.client.WsEndpoint -::::::0a3f23311137425aa726884769e2629c:- Send. session=[id=e7b912e0-ef20-405f-a4ae-a973712d2ac5,client=~ise-admin-avasteise271,server=wss://avasteise271.avaste.local:8910/pxgrid/ise/pubsub] frame=[command=SEND,headers=[content-length=438, trace-id=0a3f23311137425aa726884769e2629c, destination=/topic/com.cisco.ise.pxgrid.admin.log],content-len=438] content={"timestamp":1739018231322,"level":"INFO","type":"PUBSUB_SERVER_SUBSCRIBE","host":"avasteise271","client":"SMC","server":"wss://avasteise271.avaste.local:8910/pxgrid/ise/pubsub","message":"Pubsub subscribe. subscription\u003d[id\u003d0,topic\u003d/topic/com.cisco.ise.config.trustsec.security.group,filter\u003d\u003cnull\u003e] session\u003d[id\u003d8,client\u003dSMC,server\u003dwss://avasteise271.avaste.local:8910/pxgrid/ise/pubsub]"}
2025-02-08 18:07:11,323 TRACE [pxgrid-http-pool22][[]] cpm.pxgridwebapp.ws.pubsub.StompPubsubEndpoint -::::::0a3f23311137425aa726884769e2629c:- Received frame=[command=SEND,headers=[content-length=438, trace-id=0a3f23311137425aa726884769e2629c, destination=/topic/com.cisco.ise.pxgrid.admin.log],content-len=438], content={"timestamp":1739018231322,"level":"INFO","type":"PUBSUB_SERVER_SUBSCRIBE","host":"avasteise271","client":"SMC","server":"wss://avasteise271.avaste.local:8910/pxgrid/ise/pubsub","message":"Pubsub subscribe. subscription\u003d[id\u003d0,topic\u003d/topic/com.cisco.ise.config.trustsec.security.group,filter\u003d\u003cnull\u003e] session\u003d[id\u003d8,client\u003dSMC,server\u003dwss://avasteise271.avaste.local:8910/pxgrid/ise/pubsub]"}
2025-02-08 18:07:11,323 TRACE [pxgrid-http-pool22][[]] cpm.pxgridwebapp.ws.pubsub.StompPubsubEndpoint -::::::0a3f23311137425aa726884769e2629c:- Set last activity time for session=[id=7,client=~ise-admin-avasteise271,server=wss://avasteise271.avaste.local:8910/pxgrid/ise/pubsub] from StompPubsubEndpoint, last activity time set to 1739018231323
2025-02-08 18:07:11,324 TRACE [pxgrid-http-pool22][[]] cpm.pxgridwebapp.ws.pubsub.StompPubsubEndpoint -::::::0a3f23311137425aa726884769e2629c:- Authorized to send (cached). session=[id=7,client=~ise-admin-avasteise271,server=wss://avasteise271.avaste.local:8910/pxgrid/ise/pubsub] topic=/topic/com.cisco.ise.pxgrid.admin.log
2025-02-08 18:07:11,324 TRACE [pxgrid-http-pool22][[]] cpm.pxgridwebapp.ws.pubsub.SubscriptionDistributor -::::::0a3f23311137425aa726884769e2629c:- Distribute from=[id=7,client=~ise-admin-avasteise271,server=wss://avasteise271.avaste.local:8910/pxgrid/ise/pubsub] topic=/topic/com.cisco.ise.pxgrid.admin.log content={"timestamp":1739018231322,"level":"INFO","type":"PUBSUB_SERVER_SUBSCRIBE","host":"avasteise271","client":"SMC","server":"wss://avasteise271.avaste.local:8910/pxgrid/ise/pubsub","message":"Pubsub subscribe. subscription\u003d[id\u003d0,topic\u003d/topic/com.cisco.ise.config.trustsec.security.group,filter\u003d\u003cnull\u003e] session\u003d[id\u003d8,client\u003dSMC,server\u003dwss://avasteise271.avaste.local:8910/pxgrid/ise/pubsub]"}
2025-02-08 18:07:11,324 TRACE [pxgrid-http-pool22][[]] cpm.pxgridwebapp.ws.pubsub.SubscriptionDistributor -::::::0a3f23311137425aa726884769e2629c:- Distribute distributed. subscription=[id=0,topic=/topic/com.cisco.ise.pxgrid.admin.log,filter=]
2025-02-08 18:07:11,324 TRACE [pxgrid-http-pool22][[]] cpm.pxgridwebapp.ws.pubsub.SubscriptionDistributor -::::::0a3f23311137425aa726884769e2629c:- Set last activity time for session=[id=7,client=~ise-admin-avasteise271,server=wss://avasteise271.avaste.local:8910/pxgrid/ise/pubsub] from SubscriptionDistributor, last acitivity time set to 1739018231324
2025-02-08 18:07:11,324 TRACE [pxgrid-http-pool22][[]] cpm.pxgridwebapp.ws.pubsub.SubscriptionDistributor -::::::0a3f23311137425aa726884769e2629c:- Distribute distributed. subscription=[id=2,topic=/topic/wildcard,filter=]
2025-02-08 18:07:11,324 TRACE [pxgrid-http-pool22][[]] cpm.pxgridwebapp.ws.pubsub.SubscriptionDistributor -::::::0a3f23311137425aa726884769e2629c:- Set last activity time for session=[id=0,client=~ise-fanout-avasteise271,server=wss://localhost:8910/pxgrid/ise/pubsub] from SubscriptionDistributor, last acitivity time set to 1739018231324
2025-02-08 18:07:11,324 TRACE [sub-sender-0][[]] cpm.pxgridwebapp.ws.pubsub.SubscriptionSender -::::::0a3f23311137425aa726884769e2629c:- Send. subscription=[id=2,topic=/topic/wildcard,filter=] from=[id=7,client=~ise-admin-avasteise271,server=wss://avasteise271.avaste.local:8910/pxgrid/ise/pubsub] to=[id=0,client=~ise-fanout-avasteise271,server=wss://localhost:8910/pxgrid/ise/pubsub] message=[command=MESSAGE,headers=[content-length=438, trace-id=0a3f23311137425aa726884769e2629c, destination=/topic/com.cisco.ise.pxgrid.admin.log, message-id=161972],content-len=438]
2025-02-08 18:07:11,324 TRACE [sub-sender-0][[]] cpm.pxgridwebapp.ws.pubsub.SubscriptionSender -::::::0a3f23311137425aa726884769e2629c:- Complete stompframe published : {"timestamp":1739018231322,"level":"INFO","type":"PUBSUB_SERVER_SUBSCRIBE","host":"avasteise271","client":"SMC","server":"wss://avasteise271.avaste.local:8910/pxgrid/ise/pubsub","message":"Pubsub subscribe. subscription\u003d[id\u003d0,topic\u003d/topic/com.cisco.ise.config.trustsec.security.group,filter\u003d\u003cnull\u003e] session\u003d[id\u003d8,client\u003dSMC,server\u003dwss://avasteise271.avaste.local:8910/pxgrid/ise/pubsub]"} استكشاف الأخطاء وإصلاحها
مشكلة في تحليل DNS
يؤدي ذلك إلى ظهور رسالة خطأ باسم حالة الاتصال؛ فشل الاتصال بالخدمة. عنوان شبكة الخدمة: يتعذر حل https:isehostnameme.domain.com:891pxgridiisessxpxp":
الحل
يلزم إصلاح هذا بشكل مثالي على خادم DNS لعمليات البحث العكسية والتدريجية للأمام الخاصة ب ISE FQDN. ولكن من الممكن إضافة حل بديل مؤقت للحل المحلي:
1. سجل الدخول إلى وحدة تحكم إدارة Stealthwatch (SMC).
2. من القائمة الرئيسية، حدد تكوين > عام > الإدارة المركزية.
3. في صفحة المخزون، انقر أيقونة (القطع الناقص) للمدير.
4. أختر تحرير تكوين الجهاز.
5. علامة التبويب خدمات الشبكة وإضافة إدخال حل محلي ل ISE FQDN هذه.
خطأ CA غير معروف أو شهادة موثوق بها مفقودة
وهذا ينتج رسالة خطأ حيث يقوم ISE بتقديم شهادة غير موثوق بها من قبل هذا المدير":
يمكن رؤية مرجع سجل مماثل لملف SMCMsvcvisese-client.log. المسار: catlancopepe/var/logs/containesvcvisese-client.log
snasmc1 docker/svc-ise-client[1453]: java.util.concurrent.ExecutionException: javax.net.ssl.SSLException: org.bouncycastle.tls.TlsFatalAlert: certificate_unknown(46)
snasmc1 docker/svc-ise-client[1453]: at java.base/java.util.concurrent.CompletableFuture.reportGet(CompletableFuture.java:395)
snasmc1 docker/svc-ise-client[1453]: at java.base/java.util.concurrent.CompletableFuture.get(CompletableFuture.java:2022)
snasmc1 docker/svc-ise-client[1453]: at org.springframework.web.socket.client.jetty.JettyWebSocketClient.lambda$doHandshakeInternal$0(JettyWebSocketClient.java:186)
snasmc1 docker/svc-ise-client[1453]: at java.base/java.util.concurrent.FutureTask.run(FutureTask.java:264)
snasmc1 docker/svc-ise-client[1453]: at java.base/java.lang.Thread.run(Thread.java:829)
snasmc1 docker/svc-ise-client[1453]: Caused by: javax.net.ssl.SSLException: org.bouncycastle.tls.TlsFatalAlert: certificate_unknown(46)
snasmc1 docker/svc-ise-client[1453]: at org.bouncycastle.jsse.provider.ProvSSLEngine.unwrap(ProvSSLEngine.java:505)
snasmc1 docker/svc-ise-client[1453]: at java.base/javax.net.ssl.SSLEngine.unwrap(SSLEngine.java:637)
snasmc1 docker/svc-ise-client[1453]: at org.eclipse.jetty.io.ssl.SslConnection.unwrap(SslConnection.java:398)
snasmc1 docker/svc-ise-client[1453]: at org.eclipse.jetty.io.ssl.SslConnection$DecryptedEndPoint.fill(SslConnection.java:721)
snasmc1 docker/svc-ise-client[1453]: at org.eclipse.jetty.client.http.HttpReceiverOverHTTP.process(HttpReceiverOverHTTP.java:180)
snasmc1 docker/svc-ise-client[1453]: at org.eclipse.jetty.client.http.HttpReceiverOverHTTP.receive(HttpReceiverOverHTTP.java:91)
snasmc1 docker/svc-ise-client[1453]: at org.eclipse.jetty.client.http.HttpChannelOverHTTP.receive(HttpChannelOverHTTP.java:91)
snasmc1 docker/svc-ise-client[1453]: at org.eclipse.jetty.client.http.HttpConnectionOverHTTP.onFillable(HttpConnectionOverHTTP.java:194)
snasmc1 docker/svc-ise-client[1453]: at org.eclipse.jetty.io.AbstractConnection$ReadCallback.succeeded(AbstractConnection.java:314)
snasmc1 docker/svc-ise-client[1453]: at org.eclipse.jetty.io.FillInterest.fillable(FillInterest.java:100)
snasmc1 docker/svc-ise-client[1453]: at org.eclipse.jetty.io.ssl.SslConnection$DecryptedEndPoint.onFillable(SslConnection.java:558)
snasmc1 docker/svc-ise-client[1453]: at org.eclipse.jetty.io.ssl.SslConnection.onFillable(SslConnection.java:379)
snasmc1 docker/svc-ise-client[1453]: at org.eclipse.jetty.io.ssl.SslConnection$2.succeeded(SslConnection.java:146)
snasmc1 docker/svc-ise-client[1453]: at org.eclipse.jetty.io.FillInterest.fillable(FillInterest.java:100)
snasmc1 docker/svc-ise-client[1453]: at org.eclipse.jetty.io.SelectableChannelEndPoint$1.run(SelectableChannelEndPoint.java:53)
snasmc1 docker/svc-ise-client[1453]: at org.eclipse.jetty.util.thread.QueuedThreadPool.runJob(QueuedThreadPool.java:936)
snasmc1 docker/svc-ise-client[1453]: at org.eclipse.jetty.util.thread.QueuedThreadPool$Runner.run(QueuedThreadPool.java:1080)
snasmc1 docker/svc-ise-client[1453]: ... 1 more
snasmc1 docker/svc-ise-client[1453]: Suppressed: javax.net.ssl.SSLHandshakeException: org.bouncycastle.tls.TlsFatalAlert: certificate_unknown(46)الحل
1. سجل الدخول إلى وحدة تحكم إدارة Stealthwatch (SMC).
2. من القائمة الرئيسية، حدد تكوين > عام > الإدارة المركزية.
3. في صفحة المخزون، انقر أيقونة (القطع الناقص) للمدير.
4. أختر تحرير تكوين الجهاز.
5. حدد علامة التبويب عام.
6. انتقل إلى قسم المخزن الموثوق وتأكد أن مصدر شهادة PxGrid من Cisco ISE هو جزء من مخزن التوثيق.
العيوب المعروفة
| معرف الخطأ | الوصف |
| معرف تصحيح الأخطاء من Cisco 18119 | يقوم ISE بتحديد حزمة ITLS Server Hello غير مدعومة لتشفير ITLS |
| معرف تصحيح الأخطاء من Cisco 01634 | تعذر عزل الأجهزة باستخدام حالة EPS |
محفوظات المراجعة
| المراجعة | تاريخ النشر | التعليقات |
|---|---|---|
1.0 |
18-Mar-2025
|
الإصدار الأولي |
التعليقات