المقدمة
يوضح هذا المستند كيفية أستكشاف أخطاء شهادة مسؤول Cisco Identity Services Admin (ISE) التي انتهت صلاحيتها وإصلاحها وتجديدها.
المتطلبات الأساسية
المتطلبات
cisco يوصي أن يتلقى أنت معرفة من هذا موضوع:
- نشر Cisco ISE.
- إدارة الشهادات في Cisco ISE.
المكونات المستخدمة
أسست المعلومة في هذا وثيقة على هذا برمجية صيغة:
- البرنامج 4 Cisco Identity Services Engine (ISE)، الإصدار 3.3 Patch4.
تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.
معلومات أساسية
يركز هذا المستند على النشر الموزع؛ ومع ذلك، يمكنك إستخدام خطة أستكشاف الأخطاء وإصلاحها نفسها على العقدة المستقلة.
في نشر ISE الموزع، تكون العقدة إما عقدة المسؤول الأساسية (PPAN) أو الثانوية.
يستخدم هذا المستند شهادة مسؤول ISE كشهادة موقعة ذاتيا لتوضيح تأثير انتهاء صلاحية الشهادة، ولكن لا يوصى بهذا النهج لنظام إنتاج. من الأفضل إستخدام شهادة موقعة من قبل السلطة لاستخدام المسؤول.
ملاحظة: توصيك Cisco بالاحتفاظ بشهادة المسؤول في حالة الصحة والتخطيط للتجديد مقدما، ابحث عن هذا الدليل لمساعدتك في تعقب شهادات نظام ISE وتجديدها (تكوين عمليات تجديد الشهادات على ISE).
شهادة مسؤول ISE (منتهية الصلاحية)
التحقق من حالة شهادة المسؤول
الخطوة 1. تحقق من حالة النشر. انتقل إلى الإدارة > النظام > النشر.
يمكنك التحقق من حالة العقد الثانوية، كما هو موضح، العقد الثانوية الثلاث هي (غير متزامنة).
حالة النشر
الخطوة 2. راجع التنبيهات. انتقل إلى لوحة المعلومات > التنبيهات > (انتهت صلاحية الشهادة).
لتأكيد أي عقدة وأي شهادة انتهت صلاحيتها.
ملاحظة: إذا انتهت صلاحية عقدة الإدارة الأساسية (PPAN) قبل أي عقدة ثانوية لا يمكنك رؤية أي تنبيهات من تلك العقدة، هذا ما حدث لعقدة الإدارة الثانوية (SPAN) في هذا التنبيه.
تنبيهات (انتهت صلاحية الشهادة)
الخطوة 3. تحقق من حالة شهادة المسؤول. انتقل إلى إدارة > نظام > شهادات > إدارة الشهادات > شهادات النظام > توسيع العقدة.
1. عقدة الإدارة الأساسية (PPAN):
حالة شهادة مسؤول PPAN
2. العقد الثانوية.
بالنسبة للعقد الثانوية، يمكن أن يكون 1 من خيارين وفي كلتا الحالتين يجب تطبيق خطة العمل نفسها:
أ. يمكن توسيع شهادة نظام العقدة والتأكيد على انتهاء صلاحية شهادة المسؤول:
حالة شهادة مسؤول العقدة الثانوية
ب. خطأ في الإلقاء ("خطأ في تحميل الشهادات. يتعذر الوصول إلى العقدة في هذا الوقت. حاول مرة أخرى لاحقا.) كما هو موضح ل (ISE-PSN2
يتعذر الوصول إلى العقدة الثانوية
خطة عمل
بعد تأكيد انتهاء صلاحية شهادة المسؤول للعقد الأربع جميعها، يجب تطبيق الخطوات التالية:
الخطوة 1. قم بإلغاء تسجيل جميع العقد الثانوية من النشر الموزع (فقط في حالة انتهاء صلاحية شهادة المسؤول).
انتقل إلى الإدارة > النظام > النشر > التحقق من [ √ ] العقد الثانوية وانقر فوق إلغاء التسجيل.
ملاحظة: إلغاء تسجيل العقدة يعني أنها تنتقل إلى وضع مستقل ثم يمكنك تجديد شهادة المسؤول على هذه العقدة.
إلغاء تسجيل العقد الثانوية
ملاحظة: تذكر إلغاء تسجيل العقد الثانوية فقط حيث انتهت صلاحية شهادة المسؤول بالفعل والاحتفاظ بالباقي. في هذا المستند، انتهت صلاحية كافة العقد الثانوية.
تم إلغاء تسجيل جميع العقد الثانوية
الخطوة 2. تجديد شهادة المسؤول لعقدة الإدارة الأساسية (PPAN).
- انتقل إلى إدارة > نظام > شهادات > إدارة الشهادات > شهادات النظام > انقر +إنشاء شهادة موقعة ذاتيا:
إنشاء شهادة مسؤول جديدة موقعة ذاتيا
2. حدد عقدة الإدارة الأساسية (PPAN) (ISE-PPAN) وقم بتعبئة معلومات الشهادة:
حدد عقدة الإدارة الأساسية (PPAN)
3. تحقق من [ √ ] إستخدام المسؤول.
إستخدام المسؤول
4. قم بتعيين وقت إعادة التشغيل لإعادة التشغيل الآن لعقدة المسؤول الأساسي (PPAN). قم بتعيين كافة العقد الموجودة في النشر إما لإعادة التشغيل الآن أو إعادة التشغيل لاحقا.
بعد تجديد شهادة مسؤول (شهادة تم تكوينها لاستخدام المسؤول) على عقدة الإدارة الأساسية (PPAN)، يجب إعادة تشغيل كافة العقد في النشر.
تعيين وقت إعادة التشغيل إلى الآن
5. انقر فوق إرسال.
ملاحظة: بعد تجديد شهادة مسؤول (شهادة تم تكوينها لاستخدام المسؤول) في عقدة الإدارة الأساسية (PPAN)، يجب إعادة تشغيل كافة العقد في النشر. يمكنك إما إعادة تشغيل كل عقدة فورا أو جدولة عمليات إعادة التشغيل لاحقا. تتيح لك هذه الميزة التأكد من عدم تعطيل أي عمليات قيد التشغيل بواسطة عمليات إعادة التشغيل التلقائية، مما يمنحك قدرا أكبر من التحكم في العملية.
يمكنك عرض وتحرير عمليات إعادة التشغيل المجدولة في نافذة إعادة تشغيل الإدارة > النظام > الشهادات > إعادة تشغيل عقدة شهادة الإدارة، والتي تتوفر من الإصدار 3.3 من Cisco ISE.
6. تحقق من شهادة المسؤول الجديدة لعقدة الإدارة الأساسية (PPAN).
انتقل إلى إدارة > نظام > شهادات > إدارة الشهادات > شهادات النظام > توسيع (ISE-PPAN).
شهادة مسؤول جديدة (ISE-PPAN)
الخطوة 3. تجديد شهادة المسؤول للعقد الثانوية.
1. تأكد من العقدة الثانوية في النشر المستقل بعد إلغاء تسجيلها من النشر الموزع.
استعرض العقدة عبر واجهة المستخدم الرسومية (https://<FQDN/IP) وانتقل إلى الإدارة > النظام > النشر.
(ISE-SPAN) على النشر المستقل
2. انتقل إلى الإدارة > النظام > الشهادات > إدارة الشهادات > شهادات النظام > انقر +إنشاء شهادة موقعة ذاتيا.
إنشاء شهادة مسؤول جديدة موقعة ذاتيا
3. حدد (ise-span) وقم بتعبئة معلومات الشهادة.
حدد العقدة
4. تحقق من [ √ ] إستخدام المسؤول.
إستخدام المسؤول
ملاحظة: يؤدي تغيير شهادة دور المسؤول على عقدة ISE إلى إعادة تشغيل الخدمات.
5. انقر فوق إرسال.
6. تحقق من شهادة المسؤول الجديدة على (ise-span).
انتقل إلى الإدارة > النظام > الشهادات > إدارة الشهادات > شهادات النظام > توسيع (ise-span).
شهادة مسؤول جديدة (ise-span)
الخطوة 4. سجل العقد الثانوية للنشر الموزع.
قم بإعداد شخصيات النشر والأدوار كما كانت عليه قبل (Admin و MNT و PSN وما إلى ذلك).
1. من واجهة المستخدم الرسومية (GUI) لعقدة الإدارة الأساسية (PPAN). انتقل إلى الإدارة > النظام > النشر > انقر فوق تسجيل.
واجهة المستخدم الرسومية (GUI) لعقدة الإدارة الأساسية (PPAN)
2. أدخل FQDN وبيانات اعتماد العقدة الثانوية (اسم المستخدم/كلمة المرور).
أدخل اسم المجال المؤهل بالكامل (FQDN) القابل للتحليل بواسطة DNS للعقدة المستقلة التي ستقوم بتسجيلها. يجب حل FQDN الخاص ب (PPAN) والعقدة التي يتم تسجيلها من بعضها البعض.
إدخال وصول العقدة الثانوية
3. تمكين الأشخاص والخدمات الصحيحة.
تسجيل العقدة الثانوية (ISE-SPAN)
الخطوة 5. تحقق من حالة النشر.
انتقل إلى الإدارة > النظام > النشر.
(ISE-SPAN) تمت إضافتها إلى النشر
استكشاف الأخطاء وإصلاحها
إستخدام الحالة 1: العقدة الثانوية التي تم إلغاء تسجيلها عالقة على الحالة الموزعة (ISE-PSN1)
التحقق من الحالة
الخطوة 1. تأكيد حالة النشر الموزعة.
من واجهة المستخدم الرسومية (GUI) لعقدة الإدارة الأساسية (PPAN). انتقل إلى الإدارة > النظام > النشر. يمكنك تأكيد أن هذه العقدة (ISE-PSN1) تم إلغاء تسجيلها بالفعل.
(PPAN) عقد النشر
الخطوة 2. تأكيد حالة عقدة (ISE-PSN1).
استعرض العقدة الثانوية من خلال واجهة المستخدم الرسومية (https://ise-psn1.kdlab.local) وتصفح تسجيل الدخول > حول ISE والخادم.
تم تثبيت العقدة الثانوية (ISE-PSN1) في حالة النشر الموزع
الحل
الخطوة 1. قم بإلغاء تسجيل عقدة (ISE-PSN1) يدويا.
قم بفرض عقدة (ISE-PSN1) للنشر المستقل عبر واجهة المستخدم الرسومية (GUI) (https://<ise-psn1 IP>/deployment-rpc/deregister-node).
إلغاء تسجيل العقدة يدويا - GUI
الخطوة 2. تحقق من (ISE-PSN1) الآن في النشر المستقل.
(ISE-PSN1) في النشر المستقل
الخطوة 3. بمجرد أن تتمكن من تأكيد العقدة في الحالة المستقلة، تابع الخطوات نفسها في قسم خطة العمل:
- تجديد شهادة المسؤول للعقدة (ISE-PSN1).
- قم بتسجيل عقدة (ise-psn1) في النشر الموزع.
- تحقق من حالة النشر.
(ISE-PSN1) تمت إضافتها إلى النشر
أستخدم الحالة 2: واجهة المستخدم الرسومية (GUI) للعقدة الثانوية غير المسجلة التي يتعذر الوصول إليها (ISE-PSN2)
التحقق من الحالة
الخطوة 1. تأكيد حالة النشر الموزعة.
من واجهة المستخدم الرسومية (GUI) لعقدة الإدارة الأساسية (PPAN). انتقل إلى الإدارة > النظام > النشر. يمكنك تأكيد أن هذه العقدة (ISE-PSN2) تم إلغاء تسجيلها بالفعل.
(PPAN) عقد النشر
الخطوة 2. تأكد من (ISE-PSN2) حالة العقدة.
نظرا لانتهاء صلاحية شهادة المسؤول في بعض الحالات، يمكنك إصابة هذه الأعراض:
- (ISE-PSN2) واجهة المستخدم الرسومية (GUI) التي يتعذر الوصول إليها.
- (ise-psn2) CLI (show application status ise) ISE تطبيق متعطل على (تهيئة أو عدم التشغيل).
- (ISE-PSN2) CLI (show tech) العقدة الموجودة بالفعل في النشر المستقل.
(ISE-PSN2) في النشر المستقل
الحل
الخطوة 1. تجديد شهادة المسؤول للعقدة (ISE-PSN2).
- تسجيل الدخول إلى (ISE-PSN2) عبر CLI.
- أدخل اسم تكوين التطبيق.
- أدخل 31 ([31] إنشاء شهادة مسؤول موقعة ذاتيا).
- هل تريد المتابعة؟ y/[n]: Y
- هل تريد إستبدال الشهادة الموجودة بعد التوليد؟ y/[n]: Y
شهادة مسؤول تجديد (ISE-PSN1)
6. تحقق من شهادة المسؤول الجديدة على (ISE-PSN2).
شهادة مسؤول جديدة (ISE-PSN2)
الخطوة 2. سجل عقدة (ise-psn2) في النشر الموزع.
الخطوة 3. تحقق من حالة النشر.
النشر في المزامنة مرة أخرى!
المراجع
ذو صلة