Integration von ISE 3.3 mit StealthWatch 7.5.1 mithilfe einer externen Zertifizierungsstelle

Einleitung

In diesem Dokument werden Verfahren zur Integration von ISE 3.3 mit Secure Network Analytics (StealthWatch) unter Verwendung von pxGrid-Verbindungen beschrieben.

Voraussetzungen

Cisco empfiehlt Fachwissen in folgenden Bereichen:

• Identity Services Engine
• Platform Exchange Grid (pxGrid)
• Sichere Netzwerkanalysen (StealthWatch)
• TLS/SSL-Zertifikate
• PKI auf Windows Server 2016

Verwendete Komponenten

Die Informationen in diesem Dokument basierend auf folgenden Software- und Hardware-Versionen:

• Identity Services Engine (ISE) Version 3.3 Patch 4
• Secure Network Analytics (StealthWatch) 7.5.1
• Windows Server 2016 als externer CA-Server (Certificate Authority)

Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die möglichen Auswirkungen aller Befehle kennen.

Konfigurieren

Abschnitt A: Secure Network Analytics (StealthWatch)-Zertifikatkonfiguration

Teil I - Erstellen einer CSR-Anfrage für das Secure Network Analytics pxGrid Client-Zertifikat

1. Melden Sie sich bei der StealthWatch Management Console (SMC) an.

2. Wählen Sie im Hauptmenü Configure > Global > Central Management.

3. Klicken Sie auf der Inventarseite auf das Symbol (Ellipsis) für den Manager, den Sie mit der ISE verbinden möchten.

4. Wählen Sie Einheit-Konfiguration bearbeiten.

5. Navigieren Sie zum Abschnitt Zusätzliche SSL/TLS-Client-Identitäten unter der Registerkarte Appliance.

6. Klicken Sie auf Neu hinzufügen.

7. Müssen Sie eine CSR (Certificate Signing Request) generieren? Wählen Sie Ja aus. Klicken Sie auf Next (Weiter).

8. Wählen Sie eine RSA-Schlüssellänge aus, und füllen Sie die übrigen Felder im Abschnitt "CSR generieren" aus.

9. Klicken Sie auf CSR erstellen. Der Generierungsprozess kann einige Minuten dauern.

10. Klicken Sie auf CSR herunterladen und die CSR-Datei lokal speichern.

Teil II - Erstellen eines Secure Network Analytics pxGrid-Clientzertifikats mit einer externen Zertifizierungsstelle

1. Navigieren Sie zum MS Active Directory-Zertifikatdienst, https://server/certsrv/, wobei der Server die IP-Adresse oder der DNS des MS-Servers ist.

2. Klicken Sie auf Zertifikat anfordern.

3. Wählen Sie diese Option, um eine Anforderung für ein erweitertes Zertifikat zu senden.

4. Kopieren Sie den Inhalt der CSR-Datei, die im vorherigen Abschnitt generiert wurde, in das Feld Gespeicherter Antrag.

5. Wählen Sie pxGrid als Zertifikatvorlage aus, und klicken Sie dann auf Senden.

Anmerkung: Die verwendete Zertifikatvorlage pxGrid benötigt sowohl die Client- als auch die Serverauthentifizierung im Feld "Enhanced Key Usage" (Erweiterte Schlüsselverwendung).

6. Laden Sie ein generiertes Zertifikat im Base-64-Format herunter und speichern Sie es unter pxGrid_client.cer.

TEIL III - Hinzufügen des Secure Network Analytics-Client-Zertifikats pxGrid zum Manager

1. Navigieren Sie zum Abschnitt Zusätzliche SSL/TLS-Client-Identitäten der Manager-Konfiguration in der zentralen Verwaltung.

2. Der Abschnitt Zusätzliche SSL/TLS-Client-Identitäten enthält ein Formular zum Importieren des erstellten Client-Zertifikats.

3. Geben Sie dem Zertifikat einen Anzeigenamen, und klicken Sie dann auf Datei auswählen, um die Zertifikatsdatei zu suchen.

4. Wählen Sie im Bereich "Chain Certificate file" die CER-Datei der Stamm- oder Ausstellerzertifizierungsstelle oder die Zertifikatkettendatei (.pem / .cer / .crt ) aus.

5. Klicken Sie auf Add Client Identity (Client-Identität hinzufügen), um das Zertifikat dem System hinzuzufügen.

6. Klicken Sie auf Einstellungen übernehmen, um die Änderungen zu speichern.

TEIL IV - Importieren des CA-Stammzertifikats in den Manager Trust Store

1. Navigieren Sie zur Homepage des MS Active Directory-Zertifikatdiensts, und wählen Sie CA-Zertifikat, Zertifikatskette oder Zertifikatsperrliste herunterladen aus.

2. Wählen Sie Base-64-Format und klicken Sie dann auf CA-Zertifikat herunterladen.

3. Speichern Sie das Zertifikat als CA_Root.cer.

4. Melden Sie sich bei der StealthWatch Management Console (SMC) an.

5. Wählen Sie im Hauptmenü Configure > Global > Central Management.

6. Klicken Sie auf der Seite "Inventar" auf das (Auslassungszeichen) Symbol für den Manager.

7. Wählen Sie Einheit-Konfiguration bearbeiten.

8. Wählen Sie die Registerkarte Allgemein.

9. Navigieren Sie zum Abschnitt Trust Store, und importieren Sie das zuvor exportierte Zertifikat "CA_Root.cer".

10. Klicken Sie auf Neu hinzufügen.

11. Geben Sie dem Zertifikat einen Anzeigenamen, und klicken Sie dann auf Datei auswählen ..., um das zuvor exportierte ISE-Zertifizierungsstellenzertifikat auszuwählen.

12. Klicken Sie auf Zertifikat hinzufügen, um die Änderungen zu speichern.

13. Klicken Sie auf Einstellungen übernehmen, um die Änderungen zu speichern.

Abschnitt B: Zertifikatskonfiguration der Cisco Identity Services Engine 3.3

TEIL I - Generieren eines ISE-Server-pxGrid-Zertifikats

Generieren Sie einen CSR für ein pxGrid-Zertifikat des ISE-Servers:

1. Melden Sie sich bei der Cisco Identity Services Engine (ISE)-GUI an.

2. Navigieren Sie zu Administration > System > Certificates > Certificate Management > Certificate Signing Requests.

3. Wählen Sie Zertifikatsignierungsanforderung (CSR) generieren aus.

4. Wählen Sie pxGrid im Feld Zertifikat(e) wird verwendet für.

5. Wählen Sie den ISE-Knoten, für den das Zertifikat generiert wird.

6. Geben Sie bei Bedarf weitere Angaben zu den Zertifikaten ein.

7. Klicken Sie auf Generieren.

8. Klicken Sie auf Exportieren und die Datei lokal speichern.

TEIL II - Erstellen eines ISE-Server-pxGrid-Zertifikats mithilfe einer externen Zertifizierungsstelle

1. Navigieren Sie zum MS Active Directory-Zertifikatdienst, https://server/certsrv/, wobei Server die IP-Adresse oder der DNS des MS-Servers ist.

2. Klicken Sie auf Zertifikat anfordern.

3. Wählen Sie diese Option, um eine Anforderung für ein erweitertes Zertifikat zu senden.

4. Kopieren Sie den Inhalt der CSR-Anfrage aus dem vorherigen Abschnitt in das Feld "Gespeicherter Antrag".

5. Wählen Sie pxGrid als Zertifikatvorlage aus, und klicken Sie dann auf Senden.

Anmerkung: Die verwendete Zertifikatvorlage pxGrid benötigt sowohl die Client- als auch die Serverauthentifizierung im Feld "Enhanced Key Usage" (Erweiterte Schlüsselverwendung).

6. Laden Sie das generierte Zertifikat im Base-64-Format herunter und speichern Sie es unter ISE_pxGrid.cer.

TEIL III - Importieren des CA-Stammzertifikats in den ISE Trust Store

1. Navigieren Sie zur Homepage des MS Active Directory-Zertifikatdiensts, und wählen Sie Download a CA certificate, certificate chain or CRL (Zertifizierungsstellenzertifikat herunterladen) aus.

2. Wählen Sie Base-64-Format und klicken Sie dann auf CA-Zertifikat herunterladen.

3. Speichern Sie das Zertifikat als CA_Root.cer.

4. Melden Sie sich bei der Cisco Identity Services Engine (ISE)-GUI an.

5. Wählen Sie Administration > System > Certificates > Certificate Management > Trusted Certificates.

6. Wählen Sie Importieren > Zertifikatsdatei und Importieren Sie das Stammzertifikat.

7. Stellen Sie sicher, dass das Kontrollkästchen Bei Authentifizierung innerhalb der ISE vertrauen aktiviert ist.

8. Klicken Sie auf Senden.

TEIL IV - Bindung des ISE-Zertifikats an die Certificate Signing Request (CSR)

1. Melden Sie sich bei der Cisco Identity Services Engine (ISE)-GUI an.

2. Wählen Sie Administration > System > Certificates > Certificate Management > Certificate Signing Requests.

3. Wählen Sie den im vorherigen Abschnitt erstellten CSR, und klicken Sie dann auf Zertifikat binden.

4. Wählen Sie im Formular "Bind CA Signed Certificate" (Signiertes Zertifikat der Bindungszertifizierungsstelle) das zuvor generierte Zertifikat ISE_pxGrid.cer.

5. Geben Sie dem Zertifikat einen Anzeigenamen, und klicken Sie dann auf Senden.

7. Klicken Sie auf Ja, wenn das System das Zertifikat ersetzen soll.

8. Wählen Sie Administration > System > Certificates > System Certificates.

9. Sie können das erstellte pxGrid-Zertifikat in der Liste sehen, das von der externen Zertifizierungsstelle signiert wurde.

Zertifikate werden jetzt bereitgestellt. Fahren Sie mit der Integration fort.

Integration

Bevor Sie mit der Integration beginnen, stellen Sie Folgendes sicher:

Für Cisco ISE unter Administration > pxGrid Services > Settings and Check Neue zertifikatbasierte Konten für Client-Anforderung zum automatischen Genehmigen und Speichern automatisch genehmigen.

So öffnen Sie auf der StealthWatch Management Console (SMC) die Seite ISE Configuration Setup (ISE-Konfiguration einrichten):

1. Wählen Sie Configure > Integrations > Cisco ISE.

2. Klicken Sie in der oberen rechten Ecke der Seite auf Neue Konfiguration hinzufügen.

3. Geben Sie den Clusternamen ein, wählen Sie das Zertifikat & Integrationsprodukt, die pxGrid-Knoten-IP aus, und klicken Sie auf Speichern.

Überprüfung

Aktualisieren Sie die ISE-Konfigurationsseite auf der StealthWatch Management Console (SMC).

1. Kehren Sie zur ISE-Konfigurationsseite in der Web-App zurück, und aktualisieren Sie die Seite.

2. Vergewissern Sie sich, dass die Knotenstatusanzeige neben dem entsprechenden IP-Adressfeld grün leuchtet und anzeigt, dass eine Verbindung zum ISE- oder ISE-PIC-Cluster hergestellt wurde.

Navigieren Sie auf der Cisco ISE zu Administration > pxGrid Services > Client Management > Clients.

Dadurch wird der SMC als pxgrid-Client mit dem Status Enabled (Aktiviert) generiert.

Um das Themenabonnement auf der Cisco ISE zu überprüfen, navigieren Sie zu Administration > pxGrid Services > Diagnostics > WebSocket > Topics.

Dadurch wird eine SMC erstellt, die für diese Themen abonniert ist.

TrustSec SGT-Thema

ISE-Sitzungsverzeichnisthema

ISE SXP-Bindungen - Thema

Cisco ISE Pxgrid-server.log auf TRACE-Ebene.

2025-02-08 18:07:11,086 TRACE  [pxgrid-http-pool15][[]] cpm.pxgridwebapp.ws.pubsub.SubscriptionDistributor -::::::16d51630eee14e99b25c0fb4988db515:- Drop. exclude=[id=6,client=~ise-fanout-avasteise271,server=wss://avasteise271.avaste.local:8910/pxgrid/ise/pubsub]
2025-02-08 18:07:11,087 TRACE  [pxgrid-http-pool22][[]] cpm.pxgridwebapp.ws.pubsub.StompPubsubEndpoint -:::::::- Received frame=[command=CONNECT,headers=[accept-version=1.1,1.2, heart-beat=0,0]], content=null
2025-02-08 18:07:11,102 TRACE  [pxgrid-http-pool19][[]] cpm.pxgridwebapp.ws.pubsub.StompPubsubEndpoint -:::::::- Received frame=[command=SUBSCRIBE,headers=[destination=/topic/com.cisco.ise.config.trustsec.security.group, id=0]], content=null
2025-02-08 18:07:11,110 DEBUG  [pxgrid-http-pool22][[]] cisco.cpm.pxgridwebapp.config.MyX509Filter -:::::::- Authenticating null
2025-02-08 18:07:11,111 DEBUG  [pxgrid-http-pool22][[]] cisco.cpm.pxgridwebapp.config.MyX509Filter -:::::::- Certs up to date. user=~ise-pubsub-avasteise271
2025-02-08 18:07:11,111 DEBUG  [pxgrid-http-pool22][[]] cisco.cpm.pxgridwebapp.config.MyX509Filter -:::::::- preAuthenticatedPrincipal = ~ise-pubsub-avasteise271, trying to authenticate
2025-02-08 18:07:11,111 DEBUG  [pxgrid-http-pool22][[]] cisco.cpm.pxgridwebapp.config.MyX509Filter -:::::::- X.509 client authentication certificate subject:CN=avasteise271.avaste.local, OU=AAA, O=Ciscco, L=Bangalore, ST=KA, C=IN, issuer:CN=Avaste-ISE, DC=avaste, DC=local
2025-02-08 18:07:11,111 DEBUG  [pxgrid-http-pool22][[]] cisco.cpm.pxgridwebapp.config.MyX509Filter -:::::::- Authentication success: PreAuthenticatedAuthenticationToken [Principal=org.springframework.security.core.userdetails.User [Username=~ise-pubsub-avasteise271, Password=[PROTECTED], Enabled=true, AccountNonExpired=true, credentialsNonExpired=true, AccountNonLocked=true, Granted Authorities=[ROLE_USER]], Credentials=[PROTECTED], Authenticated=true, Details=WebAuthenticationDetails [RemoteIpAddress=10.127.197.128, SessionId=null], Granted Authorities=[ROLE_USER]]
2025-02-08 18:07:11,112 DEBUG  [pxgrid-http-pool22][[]] cisco.cpm.pxgridwebapp.data.AuthzDaoImpl -:::::::- requestNodeName=SMC serviceName=com.cisco.ise.pubsub operation=subscribe /topic/com.cisco.ise.config.trustsec.security.group
2025-02-08 18:07:11,321 DEBUG  [pxgrid-http-pool19][[]] cpm.pxgridwebapp.ws.pubsub.SubscriptionDistributor -:::::::- Adding subscription=[id=0,topic=/topic/com.cisco.ise.config.trustsec.security.group,filter=]
2025-02-08 18:07:11,322 DEBUG  [pxgrid-http-pool20][[]] cisco.cpm.pxgridwebapp.config.AuthzEvaluator -:::::::- Permitted user=SMC service=com.cisco.ise.config.trustsec operation=gets
2025-02-08 18:07:11,322 INFO   [pxgrid-http-pool19][[]] cpm.pxgridwebapp.ws.pubsub.StompPubsubEndpoint -:::::::- Pubsub subscribe. subscription=[id=0,topic=/topic/com.cisco.ise.config.trustsec.security.group,filter=] session=[id=8,client=SMC,server=wss://avasteise271.avaste.local:8910/pxgrid/ise/pubsub]
2025-02-08 18:07:11,323 TRACE  [pxgrid-http-pool19][[]] cpm.pxgridwebapp.ws.pubsub.StompPubsubEndpoint -:::::::- Received frame=[command=SUBSCRIBE,headers=[destination=/topic/com.cisco.ise.session, id=1]], content=null
2025-02-08 18:07:11,323 TRACE  [WsIseClientConnection-1010][[]] cpm.pxgrid.ws.client.WsEndpoint -::::::0a3f23311137425aa726884769e2629c:- Send. session=[id=e7b912e0-ef20-405f-a4ae-a973712d2ac5,client=~ise-admin-avasteise271,server=wss://avasteise271.avaste.local:8910/pxgrid/ise/pubsub] frame=[command=SEND,headers=[content-length=438, trace-id=0a3f23311137425aa726884769e2629c, destination=/topic/com.cisco.ise.pxgrid.admin.log],content-len=438] content={"timestamp":1739018231322,"level":"INFO","type":"PUBSUB_SERVER_SUBSCRIBE","host":"avasteise271","client":"SMC","server":"wss://avasteise271.avaste.local:8910/pxgrid/ise/pubsub","message":"Pubsub subscribe. subscription\u003d[id\u003d0,topic\u003d/topic/com.cisco.ise.config.trustsec.security.group,filter\u003d\u003cnull\u003e] session\u003d[id\u003d8,client\u003dSMC,server\u003dwss://avasteise271.avaste.local:8910/pxgrid/ise/pubsub]"}
2025-02-08 18:07:11,323 TRACE  [pxgrid-http-pool22][[]] cpm.pxgridwebapp.ws.pubsub.StompPubsubEndpoint -::::::0a3f23311137425aa726884769e2629c:- Received frame=[command=SEND,headers=[content-length=438, trace-id=0a3f23311137425aa726884769e2629c, destination=/topic/com.cisco.ise.pxgrid.admin.log],content-len=438], content={"timestamp":1739018231322,"level":"INFO","type":"PUBSUB_SERVER_SUBSCRIBE","host":"avasteise271","client":"SMC","server":"wss://avasteise271.avaste.local:8910/pxgrid/ise/pubsub","message":"Pubsub subscribe. subscription\u003d[id\u003d0,topic\u003d/topic/com.cisco.ise.config.trustsec.security.group,filter\u003d\u003cnull\u003e] session\u003d[id\u003d8,client\u003dSMC,server\u003dwss://avasteise271.avaste.local:8910/pxgrid/ise/pubsub]"}
2025-02-08 18:07:11,323 TRACE  [pxgrid-http-pool22][[]] cpm.pxgridwebapp.ws.pubsub.StompPubsubEndpoint -::::::0a3f23311137425aa726884769e2629c:- Set last activity time for session=[id=7,client=~ise-admin-avasteise271,server=wss://avasteise271.avaste.local:8910/pxgrid/ise/pubsub] from StompPubsubEndpoint, last activity time set to 1739018231323
2025-02-08 18:07:11,324 TRACE  [pxgrid-http-pool22][[]] cpm.pxgridwebapp.ws.pubsub.StompPubsubEndpoint -::::::0a3f23311137425aa726884769e2629c:- Authorized to send (cached). session=[id=7,client=~ise-admin-avasteise271,server=wss://avasteise271.avaste.local:8910/pxgrid/ise/pubsub] topic=/topic/com.cisco.ise.pxgrid.admin.log
2025-02-08 18:07:11,324 TRACE  [pxgrid-http-pool22][[]] cpm.pxgridwebapp.ws.pubsub.SubscriptionDistributor -::::::0a3f23311137425aa726884769e2629c:- Distribute from=[id=7,client=~ise-admin-avasteise271,server=wss://avasteise271.avaste.local:8910/pxgrid/ise/pubsub] topic=/topic/com.cisco.ise.pxgrid.admin.log content={"timestamp":1739018231322,"level":"INFO","type":"PUBSUB_SERVER_SUBSCRIBE","host":"avasteise271","client":"SMC","server":"wss://avasteise271.avaste.local:8910/pxgrid/ise/pubsub","message":"Pubsub subscribe. subscription\u003d[id\u003d0,topic\u003d/topic/com.cisco.ise.config.trustsec.security.group,filter\u003d\u003cnull\u003e] session\u003d[id\u003d8,client\u003dSMC,server\u003dwss://avasteise271.avaste.local:8910/pxgrid/ise/pubsub]"}
2025-02-08 18:07:11,324 TRACE  [pxgrid-http-pool22][[]] cpm.pxgridwebapp.ws.pubsub.SubscriptionDistributor -::::::0a3f23311137425aa726884769e2629c:- Distribute distributed. subscription=[id=0,topic=/topic/com.cisco.ise.pxgrid.admin.log,filter=]
2025-02-08 18:07:11,324 TRACE  [pxgrid-http-pool22][[]] cpm.pxgridwebapp.ws.pubsub.SubscriptionDistributor -::::::0a3f23311137425aa726884769e2629c:- Set last activity time for session=[id=7,client=~ise-admin-avasteise271,server=wss://avasteise271.avaste.local:8910/pxgrid/ise/pubsub] from SubscriptionDistributor, last acitivity time set to 1739018231324
2025-02-08 18:07:11,324 TRACE  [pxgrid-http-pool22][[]] cpm.pxgridwebapp.ws.pubsub.SubscriptionDistributor -::::::0a3f23311137425aa726884769e2629c:- Distribute distributed. subscription=[id=2,topic=/topic/wildcard,filter=]
2025-02-08 18:07:11,324 TRACE  [pxgrid-http-pool22][[]] cpm.pxgridwebapp.ws.pubsub.SubscriptionDistributor -::::::0a3f23311137425aa726884769e2629c:- Set last activity time for session=[id=0,client=~ise-fanout-avasteise271,server=wss://localhost:8910/pxgrid/ise/pubsub] from SubscriptionDistributor, last acitivity time set to 1739018231324
2025-02-08 18:07:11,324 TRACE  [sub-sender-0][[]] cpm.pxgridwebapp.ws.pubsub.SubscriptionSender -::::::0a3f23311137425aa726884769e2629c:- Send. subscription=[id=2,topic=/topic/wildcard,filter=] from=[id=7,client=~ise-admin-avasteise271,server=wss://avasteise271.avaste.local:8910/pxgrid/ise/pubsub] to=[id=0,client=~ise-fanout-avasteise271,server=wss://localhost:8910/pxgrid/ise/pubsub] message=[command=MESSAGE,headers=[content-length=438, trace-id=0a3f23311137425aa726884769e2629c, destination=/topic/com.cisco.ise.pxgrid.admin.log, message-id=161972],content-len=438]
2025-02-08 18:07:11,324 TRACE  [sub-sender-0][[]] cpm.pxgridwebapp.ws.pubsub.SubscriptionSender -::::::0a3f23311137425aa726884769e2629c:- Complete stompframe published : {"timestamp":1739018231322,"level":"INFO","type":"PUBSUB_SERVER_SUBSCRIBE","host":"avasteise271","client":"SMC","server":"wss://avasteise271.avaste.local:8910/pxgrid/ise/pubsub","message":"Pubsub subscribe. subscription\u003d[id\u003d0,topic\u003d/topic/com.cisco.ise.config.trustsec.security.group,filter\u003d\u003cnull\u003e] session\u003d[id\u003d8,client\u003dSMC,server\u003dwss://avasteise271.avaste.local:8910/pxgrid/ise/pubsub]"}

Fehlerbehebung

DNS-Auflösung

Daraus ergibt sich die Fehlermeldung "Connection Status; Fehler beim Verbinden mit dem Dienst. Servicenetzwerkadresse: https:isehostnameme.domain.com:891pxgridiisessxpxp kann nicht aufgelöst werden":

Lösung

Im Idealfall muss dies auf dem DNS-Server behoben werden, damit Forward- und Reverse-Lookups für diesen ISE-FQDN durchgeführt werden können. Für eine lokale Lösung kann jedoch eine temporäre Problemumgehung hinzugefügt werden:

1. Melden Sie sich bei der StealthWatch Management Console (SMC) an.

2. Wählen Sie im Hauptmenü Configure > Global > Central Management.

3. Klicken Sie auf der Seite "Inventar" auf das Symbol (Ellipse) für den Manager.

4. Wählen Sie Einheit-Konfiguration bearbeiten.

5. Network Services-Registerkarte und fügen Sie einen lokalen Auflösungseintrag für diesen ISE FQDN hinzu.

Unbekannter Zertifizierungsstellenfehler oder fehlendes vertrauenswürdiges Zertifikat

Dies erzeugt eine Fehlermeldung, die lautet: "ISE präsentiert ein Zertifikat, das von diesem Manager nicht vertrauenswürdig ist":

Ein ähnlicher Protokollverweis ist in der Datei "oSMCMsvcvisese-client.log" zu finden. Pfad: catlancopepe/var/logs/containesvcvisese-client.log

snasmc1 docker/svc-ise-client[1453]: java.util.concurrent.ExecutionException: javax.net.ssl.SSLException: org.bouncycastle.tls.TlsFatalAlert: certificate_unknown(46)
snasmc1 docker/svc-ise-client[1453]: at java.base/java.util.concurrent.CompletableFuture.reportGet(CompletableFuture.java:395)
snasmc1 docker/svc-ise-client[1453]: at java.base/java.util.concurrent.CompletableFuture.get(CompletableFuture.java:2022)
snasmc1 docker/svc-ise-client[1453]: at org.springframework.web.socket.client.jetty.JettyWebSocketClient.lambda$doHandshakeInternal$0(JettyWebSocketClient.java:186)
snasmc1 docker/svc-ise-client[1453]: at java.base/java.util.concurrent.FutureTask.run(FutureTask.java:264)
snasmc1 docker/svc-ise-client[1453]: at java.base/java.lang.Thread.run(Thread.java:829)
snasmc1 docker/svc-ise-client[1453]: Caused by: javax.net.ssl.SSLException: org.bouncycastle.tls.TlsFatalAlert: certificate_unknown(46)
snasmc1 docker/svc-ise-client[1453]: at org.bouncycastle.jsse.provider.ProvSSLEngine.unwrap(ProvSSLEngine.java:505)
snasmc1 docker/svc-ise-client[1453]: at java.base/javax.net.ssl.SSLEngine.unwrap(SSLEngine.java:637)
snasmc1 docker/svc-ise-client[1453]: at org.eclipse.jetty.io.ssl.SslConnection.unwrap(SslConnection.java:398)
snasmc1 docker/svc-ise-client[1453]: at org.eclipse.jetty.io.ssl.SslConnection$DecryptedEndPoint.fill(SslConnection.java:721)
snasmc1 docker/svc-ise-client[1453]: at org.eclipse.jetty.client.http.HttpReceiverOverHTTP.process(HttpReceiverOverHTTP.java:180)
snasmc1 docker/svc-ise-client[1453]: at org.eclipse.jetty.client.http.HttpReceiverOverHTTP.receive(HttpReceiverOverHTTP.java:91)
snasmc1 docker/svc-ise-client[1453]: at org.eclipse.jetty.client.http.HttpChannelOverHTTP.receive(HttpChannelOverHTTP.java:91)
snasmc1 docker/svc-ise-client[1453]: at org.eclipse.jetty.client.http.HttpConnectionOverHTTP.onFillable(HttpConnectionOverHTTP.java:194)
snasmc1 docker/svc-ise-client[1453]: at org.eclipse.jetty.io.AbstractConnection$ReadCallback.succeeded(AbstractConnection.java:314)
snasmc1 docker/svc-ise-client[1453]: at org.eclipse.jetty.io.FillInterest.fillable(FillInterest.java:100)
snasmc1 docker/svc-ise-client[1453]: at org.eclipse.jetty.io.ssl.SslConnection$DecryptedEndPoint.onFillable(SslConnection.java:558)
snasmc1 docker/svc-ise-client[1453]: at org.eclipse.jetty.io.ssl.SslConnection.onFillable(SslConnection.java:379)
snasmc1 docker/svc-ise-client[1453]: at org.eclipse.jetty.io.ssl.SslConnection$2.succeeded(SslConnection.java:146)
snasmc1 docker/svc-ise-client[1453]: at org.eclipse.jetty.io.FillInterest.fillable(FillInterest.java:100)
snasmc1 docker/svc-ise-client[1453]: at org.eclipse.jetty.io.SelectableChannelEndPoint$1.run(SelectableChannelEndPoint.java:53)
snasmc1 docker/svc-ise-client[1453]: at org.eclipse.jetty.util.thread.QueuedThreadPool.runJob(QueuedThreadPool.java:936)
snasmc1 docker/svc-ise-client[1453]: at org.eclipse.jetty.util.thread.QueuedThreadPool$Runner.run(QueuedThreadPool.java:1080)
snasmc1 docker/svc-ise-client[1453]: ... 1 more
snasmc1 docker/svc-ise-client[1453]: Suppressed: javax.net.ssl.SSLHandshakeException: org.bouncycastle.tls.TlsFatalAlert: certificate_unknown(46)

Lösung

1. Melden Sie sich bei der StealthWatch Management Console (SMC) an.

2. Wählen Sie im Hauptmenü Configure > Global > Central Management.

3. Klicken Sie auf der Inventarseite auf das (Auslassungszeichen) Symbol für den Manager.

4. Wählen Sie Einheit-Konfiguration bearbeiten.

5. Wählen Sie die Registerkarte Allgemein.

6. Navigieren Sie zum Abschnitt "Trust Store", und stellen Sie sicher, dass der Aussteller des PXGridid-Zertifikats der Cisco ISE Teil des Trust Store ist.

Bekannte Fehler