In questo documento viene descritto come eliminare i certificati risponditore OCSP scaduti e/o prossimi alla scadenza in Cisco Identity Service Engine (ISE).
Cisco raccomanda la conoscenza dei seguenti argomenti:
Le informazioni fornite in questo documento si basano sulle seguenti versioni software e hardware:
Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione.Tutti i dispositivi menzionati nel documento sono stati configurati con il nome specificato (impostazione predefinita). Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.
Un problema comune riscontrato dagli utenti che utilizzano Cisco Identity Services Engine (ISE) è la ricezione di allarmi indicanti che un certificato è scaduto, in particolare quando il certificato del risponditore OCSP è scaduto o sta per scadere e non è possibile trovare il certificato. Questa situazione porta spesso i clienti ad aprire una richiesta di assistenza in TAC. L'obiettivo di questa guida è consentire ai clienti di individuare ed eliminare essi stessi i certificati risponditore OCSP scaduti o prossimi alla scadenza, evitando in tal modo la necessità di aprire una richiesta TAC.
Il protocollo OCSP (Online Certificate Status Protocol) viene utilizzato per verificare lo stato dei certificati digitali x.509. Questo protocollo è un'alternativa all'elenco di revoche di certificati (CRL) e risolve i problemi che determinano la gestione dei CRL. Cisco ISE è in grado di comunicare con i server OCSP su HTTP per convalidare lo stato dei certificati nelle autenticazioni. La configurazione OCSP è configurata in un oggetto di configurazione riutilizzabile a cui è possibile fare riferimento da qualsiasi certificato dell'Autorità di certificazione (CA) configurato in Cisco ISE.
In ogni implementazione di Cisco ISE, i certificati del risponditore OCSP (Online Certificate Status Protocol) sono presenti per impostazione predefinita come parte dell'infrastruttura della CA interna (Certification Authority). Questi certificati vengono emessi dalla CA interna di Cisco ISE sul PAN (Primary Policy Administration Node) e vengono generati automaticamente per ogni nodo della distribuzione, inclusi il PAN e tutti i PSN (Policy Service Nodes).
La gestione di questi certificati del risponditore OCSP è importante perché i certificati scaduti o prossimi alla scadenza possono attivare gli allarmi Certificato scaduto nel dashboard di Cisco ISE. Sebbene Cisco ISE rigeneri automaticamente i nuovi certificati del risponditore OCSP, le voci scadute rimangono nell'archivio certificati attendibile fino a quando non vengono rimosse manualmente.
Nell'interfaccia utente grafica di PPAN (Primary Policy Administration Node), selezionare la scheda Dashboard (1). Nella dashlet Alarms, fare clic sul pulsante Detach (2) per espandere la tabella degli allarmi.

Fare clic sull'avviso Certificato scaduto per espandere la tabella e visualizzare le voci del certificato associate all'avviso.

In questa tabella vengono visualizzati tutti i certificati che hanno attivato l'avviso Certificato scaduto. In questa guida vengono illustrati solo i certificati del risponditore OCSP. Se la tabella include altri tipi di certificati scaduti, ad esempio EAP, SAML, Admin o altri certificati di sistema, fare riferimento alla documentazione pertinente di Cisco e alla Guida dell'amministratore Cisco ISE per ulteriori informazioni su questi tipi di certificati.

Rivedere la descrizione dell'avviso per identificare il certificato scaduto o, in alcuni scenari, in procinto di scadere.
In questo esempio, il certificato scaduto è: Risponditore OCSP Servizi certificati - <nome-nodo>#00004.
Prendere nota del nome del certificato. Questo nome verrà utilizzato nei passaggi successivi per individuare ed eliminare il certificato dall'archivio certificati attendibile.

Accedere a: Amministrazione > Sistema > Certificati:

Selezionare la scheda Certificati protetti.

Nella pagina Certificati attendibili selezionare mostra certificati CA interni. In questo modo vengono visualizzati i certificati Cisco ISE Internal CA (Certificate Authority), inclusi i certificati risponditore OCSP nascosti per impostazione predefinita.
Una volta selezionato, il pulsante cambia per nascondere i certificati CA interni.
Avviso: Questo passaggio è obbligatorio. Se l'opzione Mostra certificati CA interni non è selezionata, il certificato del risponditore OCSP non viene visualizzato nella tabella Archivio certificati attendibili.

Nella tabella Archivio certificati attendibili selezionare l'icona Filtro per cercare il certificato da eliminare.

Se il certificato del risponditore OCSP sta per scadere, filtrare solo in base a OCSP in Nome descrittivo. Se il certificato del risponditore OCSP è già scaduto, continuare con l'azione successiva.

Per individuare un certificato Risponditore OCSP scaduto, immettere i filtri seguenti:

Nella tabella vengono visualizzati i certificati del risponditore OCSP scaduti.
Suggerimento: Se si cerca un certificato del risponditore OCSP che sta per scadere, è possibile visualizzare più certificati, soprattutto nelle distribuzioni con più nodi Cisco ISE. Per identificare il certificato corretto, non filtrare solo per OCSP. Filtrare in base al nome completo del certificato visualizzato nei dettagli dell'avviso nel passaggio 1.

Selezionare la casella di controllo accanto al certificato del risponditore OCSP che deve essere rimosso e fare clic su Elimina.

Selezionare OK nell'avviso di conferma per continuare con l'eliminazione del certificato.

Prima di eliminare il certificato, è importante ricordare che il certificato del risponditore OCSP fa parte dell'infrastruttura della CA interna di ISE.
L'avviso visualizzato durante l'eliminazione è generico e si applica a tutti i certificati relativi alle CA interne. Lo scopo è quello di evitare l'eliminazione di certificati all'interno della gerarchia di CA interne, poiché alcuni di questi certificati firmano i certificati degli endpoint utilizzati per servizi quali BYOD, pxGrid o altre funzioni che si basano sui certificati rilasciati dalla CA interna ISE.
Un certificato Risponditore OCSP scaduto può influire anche sui certificati rilasciati dall'autorità di certificazione interna ISE. Quando un client o un servizio esegue una query sullo stato di un certificato rilasciato da tale CA, il servizio OCSP restituisce un errore perché il certificato del risponditore OCSP è scaduto e ciò può causare l'esito negativo della convalida dello stato del certificato.
Quando si seleziona Elimina, vengono visualizzate due opzioni:
L'impatto descritto si applica ai certificati CA interni che firmano attivamente certificati endpoint. Il certificato del risponditore OCSP non firma i certificati dell'endpoint, ma viene utilizzato per le comunicazioni OCSP. Sebbene un certificato del risponditore OCSP scaduto possa causare l'esito negativo della convalida dello stato del certificato per i certificati rilasciati dalla CA interna, il certificato è già scaduto e pertanto non fornisce più risposte OCSP valide. La sua eliminazione non comporta alcun impatto aggiuntivo.
Il certificato del risponditore OCSP in questo scenario è già scaduto e pertanto non è più valido. In questo caso, sia Elimina che Elimina e Revoca producono lo stesso risultato, poiché non vi è più nulla di valido da revocare.
Per questi motivi, si consiglia di utilizzare l'opzione Elimina, poiché si tratta di un'azione più semplice che evita di generare una voce di revoca non necessaria.
Nota: I certificati del risponditore OCSP non vengono rigenerati durante il normale funzionamento. Vengono rigenerate solo quando viene installata una patch:
- In una distribuzione a più nodi, i certificati vengono rigenerati quando la patch viene installata tramite la GUI.
- In una distribuzione standalone, i certificati vengono rigenerati quando la patch viene installata tramite la GUI o la CLI.
Un nuovo certificato del risponditore OCSP viene generato solo alla successiva installazione della patch.
Attenzione: Verificare che il nodo interessato disponga di un certificato risponditore OCSP valido e attivo nell'archivio certificati attendibili. Se non è presente un certificato valido e viene utilizzato OCSP per convalidare i certificati firmati dall'autorità di certificazione interna di ISE, la convalida avrà esito negativo finché non verrà generato un nuovo certificato del risponditore OCSP.
Se non è presente un certificato del risponditore OCSP valido, rinnovare i certificati del risponditore OCSP dal nodo Amministrazione criteri primario (PAN, Primary Policy Administration Node) come descritto di seguito:
1. Accedere all'interfaccia grafica PAN di ISE.
2. Selezionare Amministrazione > Sistema > Certificati.
3. Selezionare Richieste di firma certificato a sinistra.
4. Fare clic su Genera CSR. Per Utilizzo, selezionare Rinnova risponditore OCSP ISE.
5. Fare clic su Rinnova certificati risponditore OCSP ISE per completare il processo.

Dopo l'eliminazione del certificato, viene visualizzata una notifica di risposta del server che indica che il certificato attendibile è stato eliminato correttamente:

Dopo aver eliminato il certificato, è possibile utilizzare uno o entrambi questi metodi per verificare che l'operazione sia stata completata correttamente.
Passare alla pagina Dashboard.
Nella dashlet degli allarmi, individuare l'allarme Configurazione modificata. Selezionare l'allarme per visualizzare i dettagli.

Deve essere visualizzata una voce che indica che un oggetto di configurazione è stato eliminato. Il nome dell'oggetto deve corrispondere al certificato del risponditore OCSP rimosso.

Come ulteriore passaggio, tornare alla tabella Archivio certificati attendibile e filtrare il certificato del risponditore OCSP. Poiché il certificato è stato eliminato, nella tabella deve essere visualizzato Nessun dato disponibile.
Nota: Ricordarsi di selezionare Mostra certificati CA interni.

| Revisione | Data di pubblicazione | Commenti |
|---|---|---|
1.0 |
06-Jul-2026
|
Versione iniziale |