Einleitung
In diesem Dokument wird die Fehlerbehebung und Verlängerung eines abgelaufenen Cisco Identity Services Engine (ISE)-Administratorzertifikats beschrieben.
Voraussetzungen
Anforderungen
Cisco empfiehlt, dass Sie über Kenntnisse in den folgenden Bereichen verfügen:
- Bereitstellung der Cisco ISE:
- Zertifikatsverwaltung in der Cisco ISE.
Verwendete Komponenten
Die Informationen in diesem Dokument basieren auf der folgenden Softwareversion:
- Cisco Identity Services Engine (ISE) Version 3.3 Patch 4.
Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die möglichen Auswirkungen aller Befehle kennen.
Hintergrundinformationen
Das vorliegende Dokument behandelt die verteilte Bereitstellung. Sie können jedoch denselben Fehlerbehebungsplan für einen eigenständigen Knoten verwenden.
Bei der verteilten ISE-Bereitstellung ist der Knoten entweder der primäre Admin-Knoten (PPAN) oder der sekundäre Knoten.
In diesem Dokument wird das ISE-Administratorzertifikat als selbstsigniertes Zertifikat verwendet, um die Auswirkungen eines abgelaufenen Zertifikats darzustellen. Für ein Produktionssystem wird dieser Ansatz jedoch nicht empfohlen. Es ist besser, ein von der Zertifizierungsstelle signiertes Zertifikat für die Verwendung durch den Administrator zu verwenden.
Anmerkung: Cisco empfiehlt, dass Sie Ihr Administratorzertifikat im Status belassen und die Verlängerung im Voraus planen. In diesem Leitfaden finden Sie Informationen zum Nachverfolgen und Erneuern von ISE-Systemzertifikaten (Konfigurieren der Zertifikatverlängerung auf ISE).
ISE-Administratorzertifikat (abgelaufen)
Status des Administratorzertifikats überprüfen
Schritt 1: Überprüfen Sie den Bereitstellungsstatus. Navigieren Sie zu Administration > System > Deployment.
Sie können den Status der sekundären Knoten überprüfen, wie dargestellt, die drei sekundären Knoten sind (nicht synchronisiert).
Bereitstellungsstatus
2. Schritt: Prüfen Sie die Erinnerungen. Navigieren Sie zu Dashboard > Erinnerungen > (Zertifikat abgelaufen).
Um zu bestätigen, welcher Knoten und welches Zertifikat abgelaufen ist.
Anmerkung: Wenn der primäre Admin-Knoten (PPAN) vor einem sekundären Knoten abgelaufen ist, werden keine Alarme von diesem Knoten angezeigt. Dies ist bei diesem Alarm für den sekundären Admin-Knoten (SPAN) der Fall.
Alarme (Zertifikat abgelaufen)
Schritt 3: Überprüfen Sie den Status des Admin-Zertifikats. Navigieren Sie zu Administration > System > Certificates > Certificate Management > System Certificates > Expand node.
1. Primärer Administratorknoten (PPAN):
Status des PPAN-Administratorzertifikats
2. Sekundäre Knoten.
Für die sekundären Knoten kann es sich um eine von zwei Optionen handeln, und in beiden Fällen müssen Sie denselben Aktionsplan anwenden:
A. Kann das Knotensystemzertifikat erweitern und bestätigen, dass das Administratorzertifikat abgelaufen ist:
Status des sekundären Knotenadministratorzertifikats
B. Fehler auslösen ("Fehler beim Laden der Zertifikate. Knoten derzeit nicht erreichbar. Versuchen Sie es später erneut."), wie für (ise-psn2
Sekundärknoten nicht erreichbar
Aktionsplan
Nachdem Sie das Ablaufen des Admin-Zertifikats für alle vier Knoten bestätigt haben, müssen Sie die folgenden Schritte durchführen:
Schritt 1: Aufheben der Registrierung aller sekundären Knoten in der verteilten Bereitstellung (nur wenn das Admin-Zertifikat abgelaufen ist)
Navigieren Sie zu Administration > System > Deployment > Check [ √ ] der sekundären Knoten, und klicken Sie auf Registrierung aufheben.
Anmerkung: Die Registrierung des Knotens aufheben bedeutet, dass er in den eigenständigen Knoten verschoben wird. Anschließend können Sie das Admin-Zertifikat für diesen Knoten erneuern.
Sekundäre Knoten abmelden
Anmerkung: Vergessen Sie nicht, nur die Registrierung sekundärer Knoten aufzuheben, bei denen das Administratorzertifikat bereits abgelaufen ist, und den Rest beizubehalten. In diesem Dokument sind alle sekundären Knoten abgelaufen.
Alle sekundären Knoten sind deregistriert
Schritt 2: Erneuern Sie das Administratorzertifikat des primären Administratorknotens (PPAN).
- Navigieren Sie zu Administration > System > Certificates > Certificate Management > System Certificates > Click +Generate Self Signed Certificate:
Neues selbstsigniertes Administratorzertifikat generieren
2. Wählen Sie den Primären Admin-Knoten (PPAN) (ise-ppan) aus, und geben Sie die Zertifikatinformationen ein:
Wählen Sie den primären Admin-Knoten (PPAN) aus.
3. Aktivieren Sie [ √ ] die Verwendung von Admin.
Admin-Nutzung
4. Legen Sie die Neustartzeit für den primären Admin-Knoten (PPAN) auf Jetzt neu starten fest. Legen Sie für alle Knoten in der Bereitstellung entweder "Jetzt neu starten" oder "Später neu starten" fest.
Nachdem Sie ein Administratorzertifikat (ein für die Verwendung durch den Administrator konfiguriertes Zertifikat) auf dem primären Administratorknoten (PPAN) erneuert haben, müssen alle Knoten in Ihrer Bereitstellung neu gestartet werden.
Neustartzeit jetzt festlegen
5. Klicken Sie auf Senden.
Anmerkung: Nachdem Sie ein Admin-Zertifikat (ein für die Verwendung durch den Administrator konfiguriertes Zertifikat) auf dem primären Admin-Knoten (PPAN) erneuert haben, müssen alle Knoten in Ihrer Bereitstellung neu gestartet werden. Sie können entweder jeden Knoten sofort neu starten oder die Neustarts zu einem späteren Zeitpunkt planen. Mit dieser Funktion können Sie sicherstellen, dass keine laufenden Prozesse durch die automatischen Neustarts unterbrochen werden, sodass Sie den Prozess besser kontrollieren können.
Sie können die geplanten Neustarts im Fenster Administration > System > Certificates > Admin Certificate Node Restart (Verwaltung > Zertifikatsknoten-Neustart) anzeigen und bearbeiten, das in Cisco ISE Version 3.3 zur Verfügung steht.
6. Überprüfen Sie das neue Administratorzertifikat des primären Administratorknotens (PPAN).
Navigieren Sie zu Administration > System > Certificates > Certificate Management > System Certificates > Expand (ise-span).
Neues Administratorzertifikat (ise-ppan)
Schritt 3: Erneuern Sie das Administratorzertifikat der sekundären Knoten.
1. Bestätigen Sie den sekundären Knoten bei einer eigenständigen Bereitstellung, nachdem Sie die Registrierung bei der verteilten Bereitstellung aufgehoben haben.
Navigieren Sie über die GUI (https://<FQDN/IP>) zum Knoten, und navigieren Sie zu Administration > System > Deployment.
(ise-span) bei Standalone-Bereitstellung
2. Navigieren Sie zu Administration > System > Certificates > Certificate Management > System Certificates > Click +Generate Self Signed Certificate.
Neues selbstsigniertes Administratorzertifikat generieren
3. Wählen Sie die (ise-span) und füllen Sie die Zertifikatinformationen.
Wählen Sie den Knoten
4. Aktivieren Sie [ √ ] die Verwendung von Admin.
Admin-Nutzung
Anmerkung: Wenn Sie das Zertifikat des Admin-Rollenzertifikats auf dem ISE-Knoten ändern, werden die Dienste neu gestartet.
5. Klicken Sie auf Senden.
6. Überprüfen Sie das neue Admin-Zertifikat auf (ise-span).
Navigieren Sie zu Verwaltung > System > Zertifikate > Zertifikatsverwaltung > Systemzertifikate > Erweitern (Spannweite).
Neues Administratorzertifikat (ise-span)
Schritt 4: Registrieren der sekundären Knoten für die verteilte Bereitstellung
Richten Sie Ihre Bereitstellungspersonen und -rollen wie zuvor ein (Admin, MNT, PSN usw.).
1. Navigieren Sie von der PPAN-GUI (Primary Admin Node) zu Administration > System > Deployment > Click Register.
Primäre Administrationsknoten-GUI (PPAN)
2. Geben Sie den FQDN und die Zugangsdaten des sekundären Knotens (Benutzername/Passwort) ein.
Geben Sie den DNS-auflösbaren vollqualifizierten Domänennamen (Fully Qualified Domain Name, FQDN) des eigenständigen Knotens ein, den Sie registrieren möchten. Der FQDN des (PPAN) und des registrierten Knotens müssen voneinander auflösbar sein.
Zugriff auf sekundären Knoten eingeben
3. Aktivieren Sie die richtigen Personen und Dienste.
Sekundären Knoten registrieren (ise-span)
Schritt 5: Überprüfen des Bereitstellungsstatus
Navigieren Sie zu Administration > System > Deployment.
(ise-span) Zur Bereitstellung hinzugefügt
Fehlerbehebung
Anwendungsfall 1: Deregistrierter sekundärer Knoten, der im verteilten Zustand feststeckt (ise-psn1)
Status überprüfen
Schritt 1: Bestätigen Sie den Status der verteilten Bereitstellung.
Von der primären Administrationsknoten-GUI (PPAN) aus. Navigieren Sie zu Administration > System > Deployment. Sie können bestätigen, dass dieser Knoten (ise-psn1) bereits deregistriert ist.
(PPAN) Bereitstellungsknoten
Schritt 2: Bestätigen Sie den Status des Knotens (ise-psn1).
Durchsuchen Sie den sekundären Knoten über die GUI (https://ise-psn1.kdlab.local), und navigieren Sie zu Login > About ISE and Server.
Sekundärknoten (ise-psn1) mit festem Status für verteilte Bereitstellung
Problemumgehung
Schritt 1: Deaktivieren Sie den (ise-psn1)-Knoten manuell.
Setzen Sie den (ise-psn1)-Knoten über die GUI (https://<ise-psn1 IP>/deployment-rpc/deregister-node) in eine Standalone-Bereitstellung um.
Manuelles Aufheben der Registrierung des Knotens - GUI
Schritt 2: Überprüfen Sie die (ise-psn1) jetzt bei Standalone-Bereitstellung.
(ise-psn1) bei Standalone-Bereitstellung
Schritt 3: Nachdem Sie den Status des Knotens als eigenständiger Knoten bestätigt haben, fahren Sie mit den gleichen Schritten im Abschnitt "Aktionsplan" fort:
- Erneuern Sie das Administratorzertifikat des (ise-psn1)-Knotens.
- Registrieren Sie den (ise-psn1)-Knoten für die verteilte Bereitstellung.
- Überprüfen des Bereitstellungsstatus
(ise-psn1) Zur Bereitstellung hinzugefügt
Anwendungsfall 2: Nicht registrierte GUI des sekundären Knotens nicht erreichbar (ise-psn2)
Status überprüfen
Schritt 1: Bestätigen Sie den Status der verteilten Bereitstellung.
Von der primären Administrationsknoten-GUI (PPAN) aus. Navigieren Sie zu Administration > System > Deployment. Sie können bestätigen, dass dieser Knoten (ise-psn2) bereits deregistriert ist.
(PPAN) Bereitstellungsknoten
Schritt 2: Bestätigen Sie das (ise-psn2) Knotenstatus.
Da das Administratorzertifikat in einigen Fällen abgelaufen ist, können Sie die folgenden Symptome feststellen:
- (ise-psn2) GUI nicht erreichbar.
- (ise-psn2) CLI (show application status ise) ISE-Anwendung hängt fest (wird initialisiert oder wird nicht ausgeführt).
- (ise-psn2) CLI (show tech) des Knotens, der sich bereits in einer Standalone-Bereitstellung befindet
(ise-psn2) bei Standalone-Bereitstellung
Problemumgehung
Schritt 1: Erneuern Sie das Administratorzertifikat des (ise-psn2)-Knotens.
- Melden Sie sich bei (ise-psn2) über die CLI an.
- Geben Sie application configure ise ein.
- Geben Sie 31 ein ([31] Erstellen Sie ein selbstsigniertes Administratorzertifikat).
- Möchten Sie fortfahren? y/[n]: y
- Möchten Sie das vorhandene Zertifikat nach der Generierung ersetzen? y/[n]: y
Erneuern (ise-psn1) des Administratorzertifikats
6. Überprüfen Sie das neue Admin-Zertifikat auf (ise-psn2).
Neues Administratorzertifikat (ise-psn2)
Schritt 2: Registrieren Sie den (ise-psn2)-Knoten für die verteilte Bereitstellung.
Schritt 3: Überprüfen des Bereitstellungsstatus
Die Bereitstellung in Sync Again!
Referenzen
Relevant