Probleme mit der Prime-Infrastruktur 3.5+ aufgrund des TOFU-Zertifikats

Download-Optionen

  • PDF     (373.5 KB)
    Mit Adobe Reader auf verschiedenen Geräten anzeigen
  • ePub     (207.1 KB)
    In verschiedenen Apps auf iPhone, iPad, Android, Sony Reader oder Windows Phone anzeigen
  • Mobi (Kindle)     (106.3 KB)
    Auf einem Kindle-Gerät oder einer Kindle-App auf mehreren Geräten anzeigen
Aktualisiert:18. März 2020
Dokument-ID:215335

Inklusive Sprache

In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.

Informationen zu dieser Übersetzung

Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.

    Einleitung

    In diesem Dokument wird das Integrationsproblem beschrieben, das aufgrund einer fehlenden TOFU-Zertifikatsübereinstimmung (Trust-on-first-use) nach der Generierung einer neuen CSR (Certificate Signing Request) in der Cisco Prime-Infrastruktur (primär/sekundär) auftritt. Außerdem wird beschrieben, wie Fehler behoben und behoben werden können.

    Voraussetzungen

    Anforderungen

    Cisco empfiehlt, dass Sie über Kenntnisse in folgenden Bereichen verfügen:

    • Cisco Prime-Infrastruktur
    • Hohe Verfügbarkeit

    Verwendete Komponenten

    Die Informationen in diesem Dokument basieren auf Cisco Prime-Infrastruktur Version 3.5 und höher.

    Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die möglichen Auswirkungen aller Befehle kennen.

    Hintergrundinformationen

    Dies sind die Referenzdokumente, die Informationen zur Hochverfügbarkeit und Zertifikatgenerierung in der Cisco Prime-Infrastruktur bereitstellen.

    Leitfaden für hohe Verfügbarkeit: https://www.cisco.com/c/en/us/td/docs/net_mgmt/prime/infrastructure/3-6/admin/guide/bk_CiscoPrimeInfrastructure_3_6_AdminGuide/bk_CiscoPrimeInfrastructure_3_6_AdminGuide_chapter_01011.html

    Administratoranleitung: https://www.cisco.com/c/en/us/td/docs/net_mgmt/prime/infrastructure/3-6/admin/guide/bk_CiscoPrimeInfrastructure_3_6_AdminGuide/bk_CiscoPrimeInfrastructure_3_6_AdminGuide_chapter_0100.html

    Problem

    TOFU - Das vom Remotehost empfangene Zertifikat ist vertrauenswürdig, wenn die Verbindung zum ersten Mal hergestellt wird.

    TOFU-Zertifikat auf der Prime-Infrastruktur oder dem Remote-Host, mit dem Prime verbunden ist, kann sich ändern, wenn ein neues Zertifikat generiert wird oder wenn der Server erneut auf dem VM-Host bereitgestellt wird.

    Beim Generieren und Importieren eines neuen CSR auf dem primären Infrastrukturserver (primär/sekundär) werden die neuen TOFU-Zertifikatinformationen an Remote-Server gesendet, wenn die Verbindung nach einem Neustart des Diensts neu initiiert wird.

    Wenn der Remotehost ein anderes Zertifikat für eine nachfolgende Verbindung nach der ersten sendet, wird die Verbindung abgelehnt.

    Ein Remote-Host kann ein (primärer oder sekundärer Server in HA-Bereitstellung, ISE-Server (Integrated Service Engine)) sein, bei dem die alte TOFU noch vorhanden ist.

    Dies führt zu einem Registrierungsfehler zwischen dem primären und sekundären Server, dem Prime- und dem ISE-Server.

    Im Abschnitt zur Fehlerbehebung werden die Fehlermeldungen beschrieben, die in den Protokollen der Systemüberwachung in solchen Szenarien zu finden sind.

    Fehlerbehebung

    Im Protokoll des primären Integritätsmonitors werden diese Fehlermeldungen mit dem Hinweis auf die Diskrepanz im sekundären Zertifikat gefunden.

    [system] [HealthMonitorThread] TOFU failed. 
    Check local trust Trust-on-first-use is configure for this connection. 
    Current certificate of the remote host is different from what was used earlier 
    - CN=prime-sec, OU=Prime Infra, O=Cisco Systems, L=SJ, ST=CA, C=US 
    javax.net.ssl.SSLHandshakeException: java.security.cert.CertificateException: 
    Trust-on-first-use is configure for this connection. 
    Current certificate of the remote host is different from what was used earlier 
    - CN=prime-sec

    Diese Fehlermeldungen finden Sie in den Prime-Infrastruktur-Protokollen, die auf die Diskrepanz im ISE-Serverzertifikat hinweisen.

    [system] [seqtaskexecutor-3069] TOFU failed. 
    Check local trust Trust-on-first-use is configure for this connection. 
    Current certificate of the remote host is different from what was used earlier 
    - CN=ISE-server
    javax.net.ssl.SSLHandshakeException: java.security.cert.
    CertificateException: Trust-on-first-use is configure for this connection. 
    Current certificate of the remote host is different from what was used earlier 
    - CN=ISE-server

    Im Protokoll der sekundären Integritätsüberwachung wurden diese Fehlermeldungen gefunden, die auf die Nichtübereinstimmung im primären Zertifikat hinweisen.

    [system] [HealthMonitorThread] TOFU failed. 
    Check local trust Trust-on-first-use is configure for this connection. 
    Current certificate of the remote host is different from what was used earlier 
    - CN=prime-pri, OU=Prime Infra, O=Cisco Systems, L=SJ, ST=CA, C=US 

    javax.net.ssl.SSLHandshakeException: java.security.cert.CertificateException: 
    Trust-on-first-use is configure for this connection. 
    Current certificate of the remote host is different from what was used earlier 
    - CN=prime-pri

    Lösung

    Die aktuellen TOFU-Zertifikate auf Prime müssen aufgelistet werden, woraus der alte Zertifikatseintrag für den entsprechenden Remote-Host identifiziert und entfernt werden sollte, bevor Sie die Integration von Prime erneut versuchen.

    Konfiguration

    Zertifikatsvalidierungsliste anzeigen

    Mit dem Befehl ncs certvalidation tofu-certs listcerts können Sie die Zertifikatsvalidierungsliste anzeigen.

    Diese Ausgabe stammt vom primären Server der Cisco Prime-Infrastruktur [IP=1XX.XX.XX.XX]:

    prime-pri/admin# ncs certvalidation tofu-certs listcerts

    Host certificate are automatically added to this list on first connection, 
    if trust-on-first-use is configured - ncs certvalidation certificate-check ...

    host=1X.XX.XX.XX_8082;  subject= /C=US/ST=CA/L=SJ/O=Cisco Systems/OU=Prime Infra/CN=prime-pri
    host=1Z.ZZ.ZZ.ZZ_443;  subject= /C=US/ST=CA/L=SJ/O=Cisco Systems/OU=Prime Infra/CN=ISE-server
    host=1YY.YY.YY.YY_8082;  subject= /C=US/ST=CA/L=SJ/O=Cisco Systems/OU=Prime Infra/CN=prime-sec

    prime-pri/admin#

    Diese Ausgabe stammt vom sekundären Cisco Prime-Infrastruktur-Server [IP=1YY.YY.YY.YY].

    prime-sec/admin# ncs certvalidation tofu-certs listcerts

    Host certificate are automatically added to this list on first connection, 
    if trust-on-first-use is configured - ncs certvalidation certificate-check ...

    host=1YY.YY.YY.YY_8082;  subject= /C=US/ST=CA/L=SJ/O=Cisco Systems/OU=Prime Infra/CN=prime-sec
    host=127.0.0.1_8082;  subject= /C=US/ST=CA/L=SJ/O=Cisco Systems/OU=Prime Infra/CN=prime-sec
    host=1X.XX.XX.XX_8082; subject= /C=US/ST=CA/L=SJ/O=Cisco Systems/OU=Prime Infra/CN=prime-pri

    prime-sec/admin#

    Zertifikat löschen

    Verwenden Sie den Befehl ncs certvalidation tofu-certs deletecert host <host>, um die Zertifikatsvalidierung zu löschen.

    Überprüfen und löschen Sie vom primären Server die alten Einträge für ISE- bzw. TOFU-Zertifikate des sekundären Servers.

    • ncs certvalidation tofu-certs deletecert host 1YY.YY.YY.YY_8082
    • ncs certvalidation tofu-certs deletecert host 1Z.ZZ.ZZ.ZZ_443

    Überprüfen und löschen Sie vom sekundären Server die alten Einträge für das Tofu-Zertifikat des primären Servers mithilfe des Befehls ncs certvalidation tofu-certs deletecert host 1X.XX.XX.XX_8082.

    HA von primär zu sekundär erneut initialisieren

    Schritt 1: Melden Sie sich mit einer Benutzer-ID und einem Kennwort mit Administratorberechtigungen bei der Cisco Prime-Infrastruktur an.

    Schritt 2: Navigieren Sie im Menü zu Administration > Settings > High Availability. Die Cisco Prime-Infrastruktur zeigt die HA-Statusseite an. 

    Schritt 3. Wählen Sie HA-Konfiguration, und füllen Sie die Felder wie folgt aus:

    1. Sekundärer Server: Geben Sie die IP-Adresse oder den Hostnamen des sekundären Servers ein.
    2. Authentifizierungsschlüssel: Geben Sie das Kennwort für den Authentifizierungsschlüssel ein, das Sie während der Installation des sekundären Servers festgelegt haben.
    3. E-Mail-Adresse: Geben Sie die Adresse (oder eine kommagetrennte Liste von Adressen) ein, an die Benachrichtigungen über Änderungen des HA-Status gesendet werden sollen. Wenn Sie E-Mail-Benachrichtigungen bereits auf der Mail Server-Konfigurationsseite konfiguriert haben (siehe "E-Mail Server-Einstellungen konfigurieren"), werden die hier eingegebenen E-Mail-Adressen an die Liste der bereits für den Mail-Server konfigurierten Adressen angehängt.
    4. Failover-Typ: Wählen Sie Manual (Manuell) oder Automatic (Automatisch). Es wird empfohlen, die Option Manual (Manuell) auszuwählen.

    Es wird empfohlen, einen DNS-Server zu verwenden, um den Hostnamen in eine IP-Adresse aufzulösen. Wenn Sie /etc/hosts-Datei anstelle des DNS-Servers verwenden, sollten Sie die sekundäre IP-Adresse anstelle des Hostnamens eingeben.

    Schritt 4: Wenn Sie die Virtual IP-Funktion verwenden, aktivieren Sie das Kontrollkästchen Virtuelle IP aktivieren, und füllen Sie die zusätzlichen Felder wie folgt aus:

    1. Virtuelle IPv4: Geben Sie die virtuelle IPv4-Adresse ein, die von beiden HA-Servern verwendet werden soll.
    2. Virtuelle IPv6: (Optional) Geben Sie die IPv6-Adresse ein, die von beiden HA-Servern verwendet werden soll.

    Die virtuelle IP-Adressierung funktioniert nur, wenn sich beide Server im gleichen Subnetz befinden. Sie sollten den IPv6-Adressblock fe80 nicht verwenden. Er wurde für die link-lokale Unicast-Adressierung reserviert.

    Schritt 5: Klicken Sie auf Check Readiness (Bereitschaft prüfen), um sicherzustellen, dass die Umgebungsbedingungen für hohe Verfügbarkeit für die Konfiguration bereit sind.

    Schritt 6: Klicken Sie auf Registrieren, um die Statusanzeige des Meilensteins anzuzeigen, um zu überprüfen, ob die Pre-HA-Registrierung, die Datenbankreplikation und die Post-HA-Registrierung zu 100 % abgeschlossen sind, wie hier gezeigt. Die Cisco Prime-Infrastruktur initiiert den HA-Registrierungsprozess. Wenn die Registrierung erfolgreich abgeschlossen wurde, zeigt der Konfigurationsmodus den Wert von Primary Active (Primär aktiv) an.

    ISE-Server neu konfigurieren

    Schritt 1: Navigieren Sie zu Administration > Servers > ISE Servers.

    Schritt 2. Navigieren Sie zu Select a command > Add ISE Server, und klicken Sie auf Los
    Schritt 3: Geben Sie die IP-Adresse, den Benutzernamen und das Kennwort des ISE-Servers ein.

    Schritt 4: Bestätigen Sie das ISE-Serverkennwort.

    Schritt 5: Klicken Sie auf Save (Speichern).

    Überprüfung

    Der Befehl ncs certvalidation tofu-certs listcerts kann verwendet werden, um das neue Zertifikat zu überprüfen. 

    Zugehörige Informationen

    TAC Authored

    Beiträge von Cisco Ingenieuren

    • Annangarachari R
      Cisco TAC Engineer

    War dieses Dokument hilfreich?

    FeedbackFeedback

    Cisco kontaktieren

    Dieses Dokument gilt für folgende Produkte.