Problemas de integración de Prime Infrastructure 3.5+ debido al certificado TOFU

Opciones de descarga

  • PDF     (372.3 KB)
    Visualice con Adobe Reader en una variedad de dispositivos
Actualizado:18 de marzo de 2020
ID del documento:215335

Lenguaje no discriminatorio

El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.

Acerca de esta traducción

Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).

    Introducción

    Este documento describe el problema de integración que ocurre debido a la discordancia de certificados de confianza en el primer uso (TOFU) después de que se genere una nueva solicitud de firma de certificado (CSR) en Cisco Prime Infrastructure (principal/secundaria), y explica cómo resolver problemas.

    Prerequisites

    Requirements

    Cisco recomienda que tenga conocimiento sobre estos temas:

    • Infraestructura Cisco Prime
    • Alta disponibilidad

    Componentes Utilizados

    La información de este documento se basa en Cisco Prime Infrastructure versión 3.5 y posterior.

    La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si tiene una red en vivo, asegúrese de entender el posible impacto de cualquier comando.

    Antecedentes

    Estos son los documentos de referencia que proporcionan información sobre la alta disponibilidad y la generación de certificados en la infraestructura Cisco Prime.

    Guía de alta disponibilidad: https://www.cisco.com/c/en/us/td/docs/net_mgmt/prime/infrastructure/3-6/admin/guide/bk_CiscoPrimeInfrastructure_3_6_AdminGuide/bk_CiscoPrimeInfrastructure_3_6_AdminGuide_chapter_01011.html

    Guía del administrador: https://www.cisco.com/c/en/us/td/docs/net_mgmt/prime/infrastructure/3-6/admin/guide/bk_CiscoPrimeInfrastructure_3_6_AdminGuide/bk_CiscoPrimeInfrastructure_3_6_AdminGuide_chapter_0100.html

    Problema

    TOFU: el certificado recibido del host remoto es de confianza cuando se realiza la conexión por primera vez.

    El certificado TOFU en la infraestructura principal o en el host remoto al que está conectado Prime puede cambiar si se genera un nuevo certificado o si el servidor se implementa de nuevo en el host de VM.

    Al generar e importar un nuevo CSR en un servidor de infraestructura principal (primario/secundario), se envía la nueva información del certificado TOFU a los servidores remotos cuando se reinicia la conectividad después de un reinicio del servicio.

    Si el host remoto envía un certificado diferente para cualquier conexión posterior después de la primera, la conexión se rechazará.

    El host remoto podría ser (servidor principal o secundario en implementación de HA, servidor de motor de servicios integrados (ISE)) donde el antiguo TOFU aún está presente.

    Esto provoca un error de registro entre los servidores principal y secundario, Prime e ISE.

    La sección de solución de problemas describe los mensajes de error que se pueden encontrar en los registros del monitor de estado en tales escenarios.

    Troubleshoot

    En el registro del monitor de estado primario, se pueden encontrar estos mensajes de error que señalan la discordancia en el certificado secundario.

    [system] [HealthMonitorThread] TOFU failed. 
    Check local trust Trust-on-first-use is configure for this connection. 
    Current certificate of the remote host is different from what was used earlier 
    - CN=prime-sec, OU=Prime Infra, O=Cisco Systems, L=SJ, ST=CA, C=US 
    javax.net.ssl.SSLHandshakeException: java.security.cert.CertificateException: 
    Trust-on-first-use is configure for this connection. 
    Current certificate of the remote host is different from what was used earlier 
    - CN=prime-sec

    Estos mensajes de error se pueden encontrar en los registros de la infraestructura principal que señalan la discordancia en el certificado del servidor ISE.

    [system] [seqtaskexecutor-3069] TOFU failed. 
    Check local trust Trust-on-first-use is configure for this connection. 
    Current certificate of the remote host is different from what was used earlier 
    - CN=ISE-server
    javax.net.ssl.SSLHandshakeException: java.security.cert.
    CertificateException: Trust-on-first-use is configure for this connection. 
    Current certificate of the remote host is different from what was used earlier 
    - CN=ISE-server

    En el registro del monitor de estado secundario, se pueden encontrar estos mensajes de error que señalan la discordancia en el certificado principal.

    [system] [HealthMonitorThread] TOFU failed. 
    Check local trust Trust-on-first-use is configure for this connection. 
    Current certificate of the remote host is different from what was used earlier 
    - CN=prime-pri, OU=Prime Infra, O=Cisco Systems, L=SJ, ST=CA, C=US 

    javax.net.ssl.SSLHandshakeException: java.security.cert.CertificateException: 
    Trust-on-first-use is configure for this connection. 
    Current certificate of the remote host is different from what was used earlier 
    - CN=prime-pri

    Solución

    Es necesario enumerar los certificados TOFU actuales en prime, a partir de los cuales la entrada de certificado antigua para el host remoto correspondiente debe identificarse y eliminarse antes de intentar la integración desde prime nuevamente.

    Configuración

    Ver lista de validación de certificados

    El comando ncs certvalidation tofu-certs listcerts se puede utilizar para ver la lista de validación de certificados.

    Este resultado proviene del servidor principal de Cisco Prime Infrastructure [IP=1XX.XX.XX.XX]:

    prime-pri/admin# ncs certvalidation tofu-certs listcerts

    Host certificate are automatically added to this list on first connection, 
    if trust-on-first-use is configured - ncs certvalidation certificate-check ...

    host=1X.XX.XX.XX_8082;  subject= /C=US/ST=CA/L=SJ/O=Cisco Systems/OU=Prime Infra/CN=prime-pri
    host=1Z.ZZ.ZZ.ZZ_443;  subject= /C=US/ST=CA/L=SJ/O=Cisco Systems/OU=Prime Infra/CN=ISE-server
    host=1YY.YY.YY.YY_8082;  subject= /C=US/ST=CA/L=SJ/O=Cisco Systems/OU=Prime Infra/CN=prime-sec

    prime-pri/admin#

    Este resultado proviene del servidor secundario de Cisco Prime Infrastructure [IP=1YY.YY.YY.YY]

    prime-sec/admin# ncs certvalidation tofu-certs listcerts

    Host certificate are automatically added to this list on first connection, 
    if trust-on-first-use is configured - ncs certvalidation certificate-check ...

    host=1YY.YY.YY.YY_8082;  subject= /C=US/ST=CA/L=SJ/O=Cisco Systems/OU=Prime Infra/CN=prime-sec
    host=127.0.0.1_8082;  subject= /C=US/ST=CA/L=SJ/O=Cisco Systems/OU=Prime Infra/CN=prime-sec
    host=1X.XX.XX.XX_8082; subject= /C=US/ST=CA/L=SJ/O=Cisco Systems/OU=Prime Infra/CN=prime-pri

    prime-sec/admin#

    Eliminar certificado

    Utilice el comando ncs certvalidation tofu-certs deletecert host <host> para eliminar la validación del certificado.

    En el servidor principal, compruebe y elimine las entradas antiguas para los certificados TOFU de ISE y del servidor secundario, respectivamente.

    • ncs certvalidation tofu-certs deletecert host 1YY.YY.YY.YY_8082
    • ncs certvalidation tofu-certs deletecert host 1Z.ZZ.ZZ.ZZ_443

    Desde el servidor secundario, verifique y elimine las entradas antiguas para el certificado de tofu del servidor primario con el uso del comando ncs certvalidation tofu-certs deletecert host 1X.XX.XX.XX_8082.

    Reinicializar HA de principal a secundario

    Paso 1. Inicie sesión en Cisco Prime Infrastructure con un ID de usuario y una contraseña que tengan privilegios de administrador.

    Paso 2. En el menú, navegue hasta Administración > Configuración > Alta disponibilidad. Cisco Prime Infrastructure muestra la página de estado de HA. 

    Paso 3. Seleccione HA Configuration y complete los campos de la siguiente manera:

    1. Servidor secundario: Introduzca la dirección IP o el nombre de host del servidor secundario.
    2. Clave de autenticación: Introduzca la contraseña de la clave de autenticación que estableció durante la instalación del servidor secundario.
    3. Dirección de correo electrónico Introduzca la dirección (o la lista de direcciones separadas por comas) a la que se debe enviar la notificación sobre los cambios de estado de HA. Si ya ha configurado notificaciones de correo electrónico mediante la página Configuración del servidor de correo (consulte "Configuración de los parámetros del servidor de correo electrónico"), las direcciones de correo electrónico que introduzca aquí se agregarán a la lista de direcciones ya configuradas para el servidor de correo.
    4. Tipo de conmutación por error: Seleccione Manual o Automático. Se recomienda que seleccione Manual.

    Se recomienda utilizar el servidor DNS para resolver el nombre de host en una dirección IP. Si utiliza el archivo /etc/hosts en lugar del servidor DNS, debe introducir la dirección IP secundaria en lugar del nombre de host.

    Paso 4. Si utiliza la función de IP virtual, seleccione la casilla de verificación Enable Virtual IP y, a continuación, complete los campos adicionales de la siguiente manera:

    1. IP virtual IPV4: Introduzca la dirección IPv4 virtual que desea que utilicen ambos servidores HA.
    2. IP virtual IPV6: (Opcional) Introduzca la dirección IPv6 que desea que utilicen ambos servidores HA.

    El direccionamiento IP virtual no funcionará a menos que ambos servidores estén en la misma subred. No debe utilizar el bloque de direcciones IPV6 fe80, ya que se ha reservado para el direccionamiento de unidifusión local del vínculo.

    Paso 5. Haga clic en Verificar Preparación para asegurarse de que los parámetros ambientales relacionados con HA estén listos para la configuración.

    Paso 6. Haga clic en Registrarse para ver la barra de progreso de hito, para verificar la finalización al 100% del registro Pre-HA, la replicación de la base de datos y el registro Post-HA como se muestra aquí. Cisco Prime Infrastructure inicia el proceso de registro de HA. Cuando el registro se completa correctamente, el Modo de configuración mostrará el valor de Activo principal.

    Volver a configurar servidores ISE

    Paso 1. Navegue hasta Administración > Servidores > Servidores ISE

    Paso 2. Navegue hasta Seleccionar un comando > Agregar servidor ISE y haga clic en Ir
    Paso 3. Introduzca la dirección IP, el nombre de usuario y la contraseña del servidor ISE

    Paso 4. Confirme la contraseña del servidor ISE.

    Paso 5. Haga clic en Guarde.

    Verificación

    El comando ncs certvalidation tofu-certs listcerts se puede utilizar para verificar el nuevo certificado. 

    Información Relacionada

    TAC Authored

    Con la colaboración de ingenieros de Cisco

    • Annangarachari R
      Cisco TAC Engineer

    ¿Resultó útil este documento?

    FeedbackComentarios

    Contacte a Cisco

    Este documento se aplica a estos productos