Solucionar problemas de certificados de administración de ISE caducados

Opciones de descarga

  • PDF     (3.0 MB)
    Visualice con Adobe Reader en una variedad de dispositivos
  • ePub     (3.1 MB)
    Visualice en diferentes aplicaciones en iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (2.1 MB)
    Visualice en dispositivo Kindle o aplicación Kindle en múltiples dispositivos
Actualizado:29 de enero de 2025
ID del documento:222732

Lenguaje no discriminatorio

El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.

Acerca de esta traducción

Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).

    Introducción

    Este documento describe cómo resolver problemas y renovar un certificado de administrador caducado de Cisco Identity Services Engine (ISE).

    Prerequisites

    Requirements

    Cisco recomienda que conozca estos temas:

    • Implementación de Cisco ISE.
    • Gestión de certificados en Cisco ISE.

    Componentes Utilizados

    La información de este documento se basa en las siguientes versiones de software:

    • Parche 4 de Cisco Identity Services Engine (ISE) versión 3.3.

    La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si tiene una red en vivo, asegúrese de entender el posible impacto de cualquier comando.

    Antecedentes

    Este documento se centra en la implementación distribuida; sin embargo, puede utilizar el mismo plan de solución de problemas en un nodo independiente.

    En la implementación distribuida de ISE, el nodo es el nodo de administración principal (PPAN) o secundario.

    Este documento utiliza el certificado ISE Admin como certificado autofirmado para demostrar el impacto del certificado caducado, pero este enfoque no se recomienda para un sistema de producción. Es mejor utilizar el certificado firmado por la autoridad para el uso del administrador.

    Nota: Cisco recomienda mantener el certificado de administrador en estado correcto y planificar la renovación por adelantado. Encontrará esta guía que le ayudará a realizar un seguimiento y renovar los certificados del sistema ISE (Configurar renovaciones de certificados en ISE).

    Certificado de administración de ISE (caducado)

    Validar estado del certificado de administrador

    Paso 1. Compruebe el estado de despliegue. Navegue hasta Administración > Sistema > Despliegue.

    Puede verificar el estado de los nodos secundarios, como se muestra, los tres nodos secundarios son (No sincronizado).

    Deployment StatusEstado de implementación

    Paso 2. Revise las alarmas. Navegue hasta Panel > Alarmas > (Certificado expirado).

    Para confirmar qué nodo y qué certificado ha caducado.

    Nota: Si el nodo de administración principal (PPAN) ha caducado antes que cualquier nodo secundario, no podrá ver ninguna alarma de dicho nodo, eso es lo que ha ocurrido con el nodo de administración secundario (SPAN) en esta alarma.

    Alarms (Certificate Expired)Alarmas (certificado caducado)

    Paso 3. Compruebe el estado del certificado de administración. Vaya a Administration > System > Certificates > Certificate Management > System Certificates > Expand node.

    1. Nodo de administración principal (PPAN):

    PPAN Admin Certificate StatusEstado del certificado de administración de PPAN

    2. Nodos secundarios.

    Para los nodos secundarios podría ser 1 de 2 opciones y en ambos casos debe aplicar el mismo plan de acción:

    A. Puede Expandir el certificado del sistema de nodo y confirmar que el certificado de administración ha caducado:

    Secondary Node Admin Certificate StatusEstado del certificado de administrador del nodo secundario

    B. Error de lanzamiento ("Error al cargar certificados. No se puede alcanzar el nodo en este momento. Inténtelo de nuevo más tarde.") como se muestra para (ise-psn2

    Secondary Node Not ReachableNodo secundario no alcanzable

    Plan de acción

    Después de confirmar que el certificado de administrador ha caducado para los 4 nodos, debe seguir estos pasos:

    Paso 1. Anule el registro de todos los nodos secundarios de la implementación distribuida (solo si el certificado de administrador ha caducado).

    Vaya a Administration > System > Deployment > Check [ √ ] de los nodos secundarios y haga clic en Deregister.

    Nota: Anular el registro del nodo significa que se mueve a independiente y, a continuación, puede renovar el certificado de administrador en este nodo.

    Deregister Secondary NodesAnulación del registro de nodos secundarios

    Nota: Recuerde anular el registro solo de los nodos secundarios en los que el certificado de administrador ya haya caducado y conservar el resto. En este documento, todos los nodos secundarios han caducado.

    All Secondary Nodes are DeregisteredSe anulará el registro de todos los nodos secundarios

    Paso 2. Renueve el certificado de administrador del nodo de administración principal (PPAN).

    1. Vaya a Administración > Sistema > Certificados > Administración de certificados > Certificados del sistema > Haga clic en +Generar certificado con firma automática:

    Generate new Self-Signed Admin CertificateGenerar nuevo certificado de administrador autofirmado

    2. Seleccione el nodo de administración principal (PPAN) (ise-ppan) y rellene la información del certificado:

    Select the Primary Admin Node (PPAN)Seleccione el nodo de administración principal (PPAN)

    3. Marque [ √ ] el uso de Admin.

    Admin UsageUso del administrador

    4. Establezca el Tiempo de reinicio en Reiniciar ahora para el nodo de administración principal (PPAN). Establezca todos los nodos de la implementación en Reiniciar ahora o Reiniciar más tarde.

    Después de renovar un certificado de administrador (un certificado configurado para el uso del administrador) en el nodo de administración principal (PPAN), se deben reiniciar todos los nodos de la implementación.

    Set Restart Time to NowEstablezca la hora de reinicio en Now

    5. Haga clic en Enviar.

    Nota: Después de renovar un certificado de administrador (un certificado configurado para el uso del administrador) en el nodo de administración principal (PPAN), se deben reiniciar todos los nodos de la implementación. Puede reiniciar cada nodo inmediatamente o programar los reinicios más tarde. Esta función le permite asegurarse de que los reinicios automáticos no interrumpen ningún proceso en ejecución, lo que le proporciona un mayor control sobre el proceso.

    Puede ver y editar los reinicios programados en la ventana Administration > System > Certificates > Admin Certificate Node Restart, que está disponible en Cisco ISE Release 3.3.

    6. Compruebe el nuevo certificado de administrador del nodo de administración principal (PPAN).

    Vaya a Administration > System > Certificates > Certificate Management > System Certificates > Expand (ise-ppan).

    New Admin Certificate (ise-ppan)Nuevo certificado de administrador (ise-ppan)

    Paso 3. Renueve el certificado de administrador de los nodos secundarios.

    1. Confirme el nodo secundario en la implementación independiente después de darse de baja de la implementación distribuida.

    Navegue por el nodo a través de la GUI (https://<FQDN/IP>) y navegue hasta Administration > System > Deployment.

    (ise-span) on Standalone Deployment(ise-span) en la implementación independiente

    2. Vaya a Administración > Sistema > Certificados > Administración de certificados > Certificados del sistema > Haga clic en +Generar certificado con firma automática.

    Generate new Self-Signed Admin CertificateGenerar nuevo certificado de administrador autofirmado

    3. Seleccione el (ise-span) y rellene la información del certificado.

    Select the NodeSeleccione el nodo

    4. Marque [ √ ] el uso de Admin.

    Admin UsageUso del administrador

    Nota: Al cambiar el certificado del certificado del rol de administrador en el nodo ISE, se reinician los servicios.

    5. Haga clic en Enviar.

    6. Compruebe el nuevo certificado de administrador en (ise-span).

    Vaya a  Administration > System > Certificates > Certificate Management > System Certificates > Expandir (ise-span).

    New Admin Certificate (ise-span)Nuevo certificado de administrador (ise-span)

    Paso 4. Registre los nodos secundarios en la implementación distribuida.

    Configure las personas y los roles de implementación tal y como estaban antes (Admin, MNT, PSN, etc.).

    1. En la GUI del nodo de administración principal (PPAN), vaya a Administración > Sistema > Implementación > Haga clic en Registrar.

    Primary Admin Node (PPAN) GUIGUI del nodo de administración principal (PPAN)

    2. Introduzca el FQDN y las credenciales del nodo secundario (Nombre de usuario/Contraseña).

    Introduzca el nombre de dominio completo (FQDN) que se puede resolver mediante DNS del nodo independiente que va a registrar. El FQDN del (PPAN) y el nodo que se está registrando deben poder resolverse entre sí.

    Enter Secondary Node AccessIntroducir acceso al nodo secundario

    3. Habilite la persona y los servicios correctos.

    Register Secondary Node (ise-span)Registrar nodo secundario (ise-span)

    Paso 5. Verifique el estado de implementación.

    Vaya a Administration > System > Deployment.

    (ise-span) Added to the Deployment(ise-span) Añadido a la implementación

    Troubleshoot

    Caso práctico 1: Nodo secundario no registrado bloqueado en estado distribuido (ise-psn1)

    Validar el estado

    Paso 1. Confirme el estado de despliegue distribuido.

    Desde la GUI del nodo de administración principal (PPAN), vaya a Administration > System > Deployment. Puede confirmar que este nodo (ise-psn1) ya está dado de baja.

    (PPAN) Deployment Nodes(PPAN) Nodos de implementación

    Paso 2. Confirme el estado del nodo (ise-psn1).

    Navegue por el nodo secundario a través de la GUI (https://ise-psn1.kdlab.local) y navegue Login > About ISE and Server.

    Secondary Node (ise-psn1) Stuck on Distributed Deployment StatusNodo secundario (ise-psn1) bloqueado en el estado de implementación distribuida

    Solución Aternativa

    Paso 1. Anule el registro del nodo (ise-psn1) manualmente.

    Aplique el nodo (ise-psn1) a la implementación independiente mediante la GUI (https://<ise-psn1 IP>/deployment-rpc/deregister-node).

    Deregister the Node Manually - GUIAnulación manual del registro del nodo: GUI

    Paso 2. Verifique el (ise-psn1) ahora en la implementación independiente.

    (ise-psn1) on Standalone Deployment(ise-psn1) en implementaciones independientes

    Paso 3. Una vez que pueda confirmar el nodo en estado autónomo, continúe con los mismos pasos en la sección Plan de Acción:

    1. Renueve el certificado de administrador del nodo (ise-psn1).
    2. Registre el nodo (ise-psn1) en la implementación distribuida.
    3. Verifique el estado de la implementación.

    (ise-psn1) Added to the Deployment(ise-psn1) Añadido a la implementación

    Caso práctico 2: GUI de nodo secundario anulada y no accesible (ise-psn2)

    Validar el estado

    Paso 1. Confirme el estado de despliegue distribuido.

    Desde la GUI del nodo de administración principal (PPAN), vaya a Administration > System > Deployment. Puede confirmar que este nodo (ise-psn2) ya está dado de baja.

    (PPAN) Deployment Nodes(PPAN) Nodos de implementación

    Paso 2. Confirme el (ise-psn2) del nodo.

    Debido a que el certificado de administración ha caducado en algunos casos, puede notar estos síntomas:

    • (ise-psn2) GUI inalcanzable.
    • (ise-psn2) La aplicación CLI (show application status ise) de ISE está bloqueada en (inicializando o no ejecutándose).
    • (ise-psn2) CLI (show tech) el nodo ya se encuentra en una implementación independiente.

    (ise-psn2) on Standalone Deployment(ise-psn2) en implementaciones independientes

    Solución Aternativa

    Paso 1. Renueve el certificado de administrador del nodo (ise-psn2).

    1. Inicie sesión en (ise-psn2) mediante CLI.
    2. Ingrese application configure ise.
    3. Ingrese 31 ([31] Generate Self-Signed Admin Certificate).
    4. ¿Desea continuar? y/[n]: s
    5. ¿Desea reemplazar el certificado existente después de la generación? y/[n]: s

    Renew (ise-psn1) Admin CertificateRenovar (ise-psn1) certificado de administrador

    6. Compruebe el nuevo certificado de administrador en (ise-psn2).

    New Admin Certificate (ise-psn2)Nuevo certificado de administrador (ise-psn2)

    Paso 2. Registre el nodo (ise-psn2) en la implementación distribuida.

    Paso 3. Compruebe el estado de implementación.

    The Deployment in Sync Again!La implementación en sincronización de nuevo

    Referencias

    Relevante

    Historial de revisiones

    Revisión Fecha de publicación Comentarios
    2.0
    29-Jan-2025
    Versión inicial
    1.0
    27-Jan-2025
    Versión inicial
    TAC Authored

    Con la colaboración de ingenieros de Cisco

    • Khaled Douma
      Technical Consulting Engineer

    ¿Resultó útil este documento?

    FeedbackComentarios

    Contacte a Cisco

    Este documento se aplica a estos productos