外部CAを使用したISE 3.3とStealthwatch 7.5.1の統合
内容
はじめに
このドキュメントでは、pxGrid接続を使用してISE 3.3とSecure Network Analytics(Stealthwatch)を統合する手順について説明します。
前提条件
次の項目に関する知識があることが推奨されます。
- Identity Services Engine
- Platform Exchange Grid(pxGrid)
- セキュアネットワーク分析(Stealthwatch)
- TLS/SSL証明書。
- Windows Server 2016上のPKI
使用するコンポーネント
このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づいています。
- Identity Services Engine(ISE)バージョン3.3パッチ4
- Secure Network Analytics(Stealthwatch)7.5.1
- 外部認証局(CA)サーバとしてのWindows Server 2016。
このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。
設定
セクションA:Secure Network Analytics(Stealthwatch)証明書の設定
パートI:Secure Network Analytics pxGridクライアント証明書用のCSRの生成
1. Stealthwatch Management Console(SMC)にログインします。
2. メインメニューから、Configure > Global > Central Managementの順に選択します。
3. [Inventory]ページで、ISEに接続するマネージャの(省略記号)アイコンをクリックします。
4. Edit Appliance Configurationを選択します。
5. Applianceタブの下にあるAdditional SSL/TLS Client Identitiesセクションに移動します。
6. Add Newをクリックします。
7. CSR(証明書署名要求)を生成する必要がありますか。[Yes] を選択します。[Next] をクリックします。
8.RSAキー長を選択し、「CSRの生成」セクションの残りのフィールドに入力します。
9. Generate CSRをクリックします。生成プロセスには数分かかる場合があります。
10. Download CSRをクリックし、CSRファイルをローカルに保存します。
パートII:外部CAを使用したSecure Network Analytics pxGridクライアント証明書の作成
1. MS Active Directory Certificate Service(https://server/certsrv/)に移動します。ここで、serverは使用しているMSサーバのIPまたはDNSです。
2. Request a certificateをクリックします。
3. advanced certificate requestを送信することを選択します。
4. 前のセクションで生成したCSRファイルの内容をSaved Requestフィールドにコピーします。
5. 証明書テンプレートとしてpxGridを選択し、Submitをクリックします。
注:使用する証明書テンプレートpxGridには、「Enhanced Key Usage」フィールドでのクライアント認証とサーバ認証の両方が必要です。
6. 生成されたBase-64形式の証明書をダウンロードし、pxGrid_client.cerとして保存します。
パートIII:Secure Network Analytics pxGridクライアント証明書のマネージャへの追加
1.中央管理のマネージャ設定の追加のSSL/TLSクライアントIDセクションに移動します。
2. 「追加のSSL/TLSクライアントID」セクションに、作成したクライアント証明書をインポートするためのフォームが含まれます。
3. 証明書にわかりやすい名前を指定し、Select Fileをクリックして証明書ファイルを見つけます。
- Chain Certificate fileセクションで、ルートまたは発行者のCA .cerファイルまたは証明書チェーンファイル(.pem / .cer / .crt )を選択します。
5. Add Client Identityをクリックして、証明書をシステムに追加します。
6. 「設定の適用」をクリックして変更を保存します。
パートIV:CAルート証明書のマネージャ信頼ストアへのインポート
1. MS Active Directory Certificate Service ホームページに移動し、Download a CA certificate, certificate chain, or CRLを選択します。
2. Base-64形式を選択し、Download CA certificateをクリックします。
3. 証明書をCA_Root.cerとして保存します。
4. StealthWatch Management Console(SMC)にログインします。
5. メイン・メニューから、「構成」>「グローバル」>「中央管理」を選択します。
6. Inventoryページで、マネージャの(省略記号)アイコンをクリックします。
7. 「アプライアンス構成の編集」を選択します。
8. 「一般」タブを選択します。
9. Trust Storeセクションに移動し、以前にエクスポートしたCA_Root.cer証明書をインポートします。
10. 「新規追加」をクリックします。
11. 証明書にわかりやすい名前を付け、Select File...をクリックして、以前エクスポートしたISE CA証明書を選択します。
12. Add Certificateをクリックして、変更を保存します。
13. Apply Settingsをクリックして変更を保存します。
セクションB:Cisco Identity Services Engine 3.3証明書の設定
パートI:ISEサーバpxGrid証明書の生成
ISEサーバpxGrid証明書用のCSRを生成します。
1. Cisco Identity Services Engine(ISE)GUIにログインします。
2. Administration > System > Certificates > Certificate Management > Certificate Signing Requestsの順に移動します。
3. Generate Certificate Signing Request (CSR)を選択します。
4. Certificate(s) is used forフィールドでpxGridを選択します。
5. 証明書を生成するISEノードを選択します。
6. 必要に応じて、その他の証明書の詳細を入力します。
7. Generateをクリックします。
8. Exportをクリックし、ファイルをローカルに保存します。
パートII:外部CAを使用したISEサーバpxGrid証明書の作成
1. MS Active Directory Certificate Service(https://server/certsrv/)に移動します。ここで、serverは使用しているMSサーバのIPまたはDNSです。
2. Request a certificateをクリックします。
3.証明書の要求の詳細設定を選択します。
4. 前のセクションで生成したCSRの内容をSaved Requestフィールドにコピーします。
5. 証明書テンプレートとしてpxGridを選択し、Submitをクリックします。
注:使用する証明書テンプレートpxGridには、「Enhanced Key Usage」フィールドでのクライアント認証とサーバ認証の両方が必要です。
6. 生成された証明書をBase-64形式でダウンロードし、ISE_pxGrid.cerとして保存します。
パートIII:ISE信頼ストアへのCAルート証明書のインポート
1. MS Active Directory証明書サービスのホームページに移動して、Download a CA certificate, certificate chain, or CRLを選択します。
2. Base-64形式を選択し、Download CA certificateをクリックします。
3. 証明書をCA_Root.cerという名前で保存します。
4. Cisco Identity Services Engine(ISE)GUIにログインします。
5. Administration > System > Certificates > Certificate Management > Trusted Certificatesの順に選択します。
6. Import > Certificate fileの順に選択し、ルート証明書をImportします。
7. Trust for authentication within ISEチェックボックスが選択されていることを確認します。
8. Submitをクリックします。
パートIV:ISE証明書の証明書署名要求(CSR)へのバインド
1. Cisco Identity Services Engine(ISE)GUIにログインします。
2. Administration > System > Certificates > Certificate Management > Certificate Signing Requestsの順に選択します。
3. 前のセクションで生成したCSRを選択し、Bind Certificateをクリックします。
4. Bind CA Signed Certificateフォームで、前に生成したISE_pxGrid.cer証明書を選択します。
5. 証明書にわかりやすい名前を付け、Submitをクリックします。
7. システムから証明書の置き換えを求められた場合は、Yesをクリックします。
8. Administration > System > Certificates > System Certificatesの順に選択します。
9. 作成されたpxGrid証明書が外部CAによって署名されていることがリストに表示されます。
証明書が展開されました。統合に進んでください。
統合
統合を進める前に、次のことを確認してください。
Cisco ISEの場合、Administration > pxGrid Services > Settings の順に選択し、Automatically approve new certificate-based accounts for Client request to Auto-approve and Saveにチェックマークを付けます。
StealthWatch Management Console(SMC)でISE Configuration Setupページを開くには、次の手順に従います。
1. Configure > Integrations > Cisco ISEの順に選択します。
2. ページの右上隅にあるAdd new configurationをクリックします。
3. クラスタ名を入力し、証明書および統合製品、pxGridノードIP を選択し、保存をクリックします。
確認
Stealthwatch Management Console(SMC)のISE設定ページを更新します。
1. WebアプリケーションのISE設定ページに戻り、ページを更新します。
2. 該当するIPアドレスフィールドの横にあるノードステータスインジケータが緑色で、ISEまたはISE-PICクラスタへの接続が確立されていることを示していることを確認します。
Cisco ISEで、Administration >pxGrid Services > Client Management > Clientsの順に移動します。
これにより、SMCがpxgridクライアントとしてステータスEnabledで生成されます。
Cisco ISEでトピックサブスクリプションを確認するには、Administration >pxGrid Services > Diagnostics > Websocket > Topicsの順に選択します。
これにより、これらのトピックにサブスクライブされたSMCが作成されます。
Trustsec SGTのトピック
ISEセッションディレクトリトピック
ISE SXPバインディングトピック
TRACEレベルのCisco ISE Pxgrid-server.log
2025-02-08 18:07:11,086 TRACE [pxgrid-http-pool15][[]] cpm.pxgridwebapp.ws.pubsub.SubscriptionDistributor -::::::16d51630eee14e99b25c0fb4988db515:- Drop. exclude=[id=6,client=~ise-fanout-avasteise271,server=wss://avasteise271.avaste.local:8910/pxgrid/ise/pubsub]
2025-02-08 18:07:11,087 TRACE [pxgrid-http-pool22][[]] cpm.pxgridwebapp.ws.pubsub.StompPubsubEndpoint -:::::::- Received frame=[command=CONNECT,headers=[accept-version=1.1,1.2, heart-beat=0,0]], content=null
2025-02-08 18:07:11,102 TRACE [pxgrid-http-pool19][[]] cpm.pxgridwebapp.ws.pubsub.StompPubsubEndpoint -:::::::- Received frame=[command=SUBSCRIBE,headers=[destination=/topic/com.cisco.ise.config.trustsec.security.group, id=0]], content=null
2025-02-08 18:07:11,110 DEBUG [pxgrid-http-pool22][[]] cisco.cpm.pxgridwebapp.config.MyX509Filter -:::::::- Authenticating null
2025-02-08 18:07:11,111 DEBUG [pxgrid-http-pool22][[]] cisco.cpm.pxgridwebapp.config.MyX509Filter -:::::::- Certs up to date. user=~ise-pubsub-avasteise271
2025-02-08 18:07:11,111 DEBUG [pxgrid-http-pool22][[]] cisco.cpm.pxgridwebapp.config.MyX509Filter -:::::::- preAuthenticatedPrincipal = ~ise-pubsub-avasteise271, trying to authenticate
2025-02-08 18:07:11,111 DEBUG [pxgrid-http-pool22][[]] cisco.cpm.pxgridwebapp.config.MyX509Filter -:::::::- X.509 client authentication certificate subject:CN=avasteise271.avaste.local, OU=AAA, O=Ciscco, L=Bangalore, ST=KA, C=IN, issuer:CN=Avaste-ISE, DC=avaste, DC=local
2025-02-08 18:07:11,111 DEBUG [pxgrid-http-pool22][[]] cisco.cpm.pxgridwebapp.config.MyX509Filter -:::::::- Authentication success: PreAuthenticatedAuthenticationToken [Principal=org.springframework.security.core.userdetails.User [Username=~ise-pubsub-avasteise271, Password=[PROTECTED], Enabled=true, AccountNonExpired=true, credentialsNonExpired=true, AccountNonLocked=true, Granted Authorities=[ROLE_USER]], Credentials=[PROTECTED], Authenticated=true, Details=WebAuthenticationDetails [RemoteIpAddress=10.127.197.128, SessionId=null], Granted Authorities=[ROLE_USER]]
2025-02-08 18:07:11,112 DEBUG [pxgrid-http-pool22][[]] cisco.cpm.pxgridwebapp.data.AuthzDaoImpl -:::::::- requestNodeName=SMC serviceName=com.cisco.ise.pubsub operation=subscribe /topic/com.cisco.ise.config.trustsec.security.group
2025-02-08 18:07:11,321 DEBUG [pxgrid-http-pool19][[]] cpm.pxgridwebapp.ws.pubsub.SubscriptionDistributor -:::::::- Adding subscription=[id=0,topic=/topic/com.cisco.ise.config.trustsec.security.group,filter=]
2025-02-08 18:07:11,322 DEBUG [pxgrid-http-pool20][[]] cisco.cpm.pxgridwebapp.config.AuthzEvaluator -:::::::- Permitted user=SMC service=com.cisco.ise.config.trustsec operation=gets
2025-02-08 18:07:11,322 INFO [pxgrid-http-pool19][[]] cpm.pxgridwebapp.ws.pubsub.StompPubsubEndpoint -:::::::- Pubsub subscribe. subscription=[id=0,topic=/topic/com.cisco.ise.config.trustsec.security.group,filter=] session=[id=8,client=SMC,server=wss://avasteise271.avaste.local:8910/pxgrid/ise/pubsub]
2025-02-08 18:07:11,323 TRACE [pxgrid-http-pool19][[]] cpm.pxgridwebapp.ws.pubsub.StompPubsubEndpoint -:::::::- Received frame=[command=SUBSCRIBE,headers=[destination=/topic/com.cisco.ise.session, id=1]], content=null
2025-02-08 18:07:11,323 TRACE [WsIseClientConnection-1010][[]] cpm.pxgrid.ws.client.WsEndpoint -::::::0a3f23311137425aa726884769e2629c:- Send. session=[id=e7b912e0-ef20-405f-a4ae-a973712d2ac5,client=~ise-admin-avasteise271,server=wss://avasteise271.avaste.local:8910/pxgrid/ise/pubsub] frame=[command=SEND,headers=[content-length=438, trace-id=0a3f23311137425aa726884769e2629c, destination=/topic/com.cisco.ise.pxgrid.admin.log],content-len=438] content={"timestamp":1739018231322,"level":"INFO","type":"PUBSUB_SERVER_SUBSCRIBE","host":"avasteise271","client":"SMC","server":"wss://avasteise271.avaste.local:8910/pxgrid/ise/pubsub","message":"Pubsub subscribe. subscription\u003d[id\u003d0,topic\u003d/topic/com.cisco.ise.config.trustsec.security.group,filter\u003d\u003cnull\u003e] session\u003d[id\u003d8,client\u003dSMC,server\u003dwss://avasteise271.avaste.local:8910/pxgrid/ise/pubsub]"}
2025-02-08 18:07:11,323 TRACE [pxgrid-http-pool22][[]] cpm.pxgridwebapp.ws.pubsub.StompPubsubEndpoint -::::::0a3f23311137425aa726884769e2629c:- Received frame=[command=SEND,headers=[content-length=438, trace-id=0a3f23311137425aa726884769e2629c, destination=/topic/com.cisco.ise.pxgrid.admin.log],content-len=438], content={"timestamp":1739018231322,"level":"INFO","type":"PUBSUB_SERVER_SUBSCRIBE","host":"avasteise271","client":"SMC","server":"wss://avasteise271.avaste.local:8910/pxgrid/ise/pubsub","message":"Pubsub subscribe. subscription\u003d[id\u003d0,topic\u003d/topic/com.cisco.ise.config.trustsec.security.group,filter\u003d\u003cnull\u003e] session\u003d[id\u003d8,client\u003dSMC,server\u003dwss://avasteise271.avaste.local:8910/pxgrid/ise/pubsub]"}
2025-02-08 18:07:11,323 TRACE [pxgrid-http-pool22][[]] cpm.pxgridwebapp.ws.pubsub.StompPubsubEndpoint -::::::0a3f23311137425aa726884769e2629c:- Set last activity time for session=[id=7,client=~ise-admin-avasteise271,server=wss://avasteise271.avaste.local:8910/pxgrid/ise/pubsub] from StompPubsubEndpoint, last activity time set to 1739018231323
2025-02-08 18:07:11,324 TRACE [pxgrid-http-pool22][[]] cpm.pxgridwebapp.ws.pubsub.StompPubsubEndpoint -::::::0a3f23311137425aa726884769e2629c:- Authorized to send (cached). session=[id=7,client=~ise-admin-avasteise271,server=wss://avasteise271.avaste.local:8910/pxgrid/ise/pubsub] topic=/topic/com.cisco.ise.pxgrid.admin.log
2025-02-08 18:07:11,324 TRACE [pxgrid-http-pool22][[]] cpm.pxgridwebapp.ws.pubsub.SubscriptionDistributor -::::::0a3f23311137425aa726884769e2629c:- Distribute from=[id=7,client=~ise-admin-avasteise271,server=wss://avasteise271.avaste.local:8910/pxgrid/ise/pubsub] topic=/topic/com.cisco.ise.pxgrid.admin.log content={"timestamp":1739018231322,"level":"INFO","type":"PUBSUB_SERVER_SUBSCRIBE","host":"avasteise271","client":"SMC","server":"wss://avasteise271.avaste.local:8910/pxgrid/ise/pubsub","message":"Pubsub subscribe. subscription\u003d[id\u003d0,topic\u003d/topic/com.cisco.ise.config.trustsec.security.group,filter\u003d\u003cnull\u003e] session\u003d[id\u003d8,client\u003dSMC,server\u003dwss://avasteise271.avaste.local:8910/pxgrid/ise/pubsub]"}
2025-02-08 18:07:11,324 TRACE [pxgrid-http-pool22][[]] cpm.pxgridwebapp.ws.pubsub.SubscriptionDistributor -::::::0a3f23311137425aa726884769e2629c:- Distribute distributed. subscription=[id=0,topic=/topic/com.cisco.ise.pxgrid.admin.log,filter=]
2025-02-08 18:07:11,324 TRACE [pxgrid-http-pool22][[]] cpm.pxgridwebapp.ws.pubsub.SubscriptionDistributor -::::::0a3f23311137425aa726884769e2629c:- Set last activity time for session=[id=7,client=~ise-admin-avasteise271,server=wss://avasteise271.avaste.local:8910/pxgrid/ise/pubsub] from SubscriptionDistributor, last acitivity time set to 1739018231324
2025-02-08 18:07:11,324 TRACE [pxgrid-http-pool22][[]] cpm.pxgridwebapp.ws.pubsub.SubscriptionDistributor -::::::0a3f23311137425aa726884769e2629c:- Distribute distributed. subscription=[id=2,topic=/topic/wildcard,filter=]
2025-02-08 18:07:11,324 TRACE [pxgrid-http-pool22][[]] cpm.pxgridwebapp.ws.pubsub.SubscriptionDistributor -::::::0a3f23311137425aa726884769e2629c:- Set last activity time for session=[id=0,client=~ise-fanout-avasteise271,server=wss://localhost:8910/pxgrid/ise/pubsub] from SubscriptionDistributor, last acitivity time set to 1739018231324
2025-02-08 18:07:11,324 TRACE [sub-sender-0][[]] cpm.pxgridwebapp.ws.pubsub.SubscriptionSender -::::::0a3f23311137425aa726884769e2629c:- Send. subscription=[id=2,topic=/topic/wildcard,filter=] from=[id=7,client=~ise-admin-avasteise271,server=wss://avasteise271.avaste.local:8910/pxgrid/ise/pubsub] to=[id=0,client=~ise-fanout-avasteise271,server=wss://localhost:8910/pxgrid/ise/pubsub] message=[command=MESSAGE,headers=[content-length=438, trace-id=0a3f23311137425aa726884769e2629c, destination=/topic/com.cisco.ise.pxgrid.admin.log, message-id=161972],content-len=438]
2025-02-08 18:07:11,324 TRACE [sub-sender-0][[]] cpm.pxgridwebapp.ws.pubsub.SubscriptionSender -::::::0a3f23311137425aa726884769e2629c:- Complete stompframe published : {"timestamp":1739018231322,"level":"INFO","type":"PUBSUB_SERVER_SUBSCRIBE","host":"avasteise271","client":"SMC","server":"wss://avasteise271.avaste.local:8910/pxgrid/ise/pubsub","message":"Pubsub subscribe. subscription\u003d[id\u003d0,topic\u003d/topic/com.cisco.ise.config.trustsec.security.group,filter\u003d\u003cnull\u003e] session\u003d[id\u003d8,client\u003dSMC,server\u003dwss://avasteise271.avaste.local:8910/pxgrid/ise/pubsub]"} トラブルシューティング
DNS解決の問題
これにより、「Connection Status; Failed Connection failed to the service.サービスネットワークアドレス:https:isehostnameme.domain.com:891pxgridiisessxpxp cannot be resolved」:
解決方法
これは、このISE FQDNの前方参照と逆引き参照のためにDNSサーバで修正する必要があります。ただし、ローカルでの解決のために、一時的な回避策を追加できます。
1. StealthWatch Management Console(SMC)にログインします。
2. メインメニューから、「構成」>「グローバル」>「中央管理」を選択します。
3. 「在庫」ページで、マネージャの(省略記号)アイコンをクリックします。
4. Edit Appliance Configurationを選択します。
5. Network Servicesタブに移動し、このISE FQDNのローカル解決エントリを追加します。
不明なCAエラーまたは信頼できる証明書がない
これにより、「ISE is presenting a certificate that is not trusted by this Manager」というエラーメッセージが生成されます。
同様のログ参照はoSMCMsvcvisese-client.logファイルで確認できます。パス:catlancopepe/var/logs/containesvcvisese-client.log
snasmc1 docker/svc-ise-client[1453]: java.util.concurrent.ExecutionException: javax.net.ssl.SSLException: org.bouncycastle.tls.TlsFatalAlert: certificate_unknown(46)
snasmc1 docker/svc-ise-client[1453]: at java.base/java.util.concurrent.CompletableFuture.reportGet(CompletableFuture.java:395)
snasmc1 docker/svc-ise-client[1453]: at java.base/java.util.concurrent.CompletableFuture.get(CompletableFuture.java:2022)
snasmc1 docker/svc-ise-client[1453]: at org.springframework.web.socket.client.jetty.JettyWebSocketClient.lambda$doHandshakeInternal$0(JettyWebSocketClient.java:186)
snasmc1 docker/svc-ise-client[1453]: at java.base/java.util.concurrent.FutureTask.run(FutureTask.java:264)
snasmc1 docker/svc-ise-client[1453]: at java.base/java.lang.Thread.run(Thread.java:829)
snasmc1 docker/svc-ise-client[1453]: Caused by: javax.net.ssl.SSLException: org.bouncycastle.tls.TlsFatalAlert: certificate_unknown(46)
snasmc1 docker/svc-ise-client[1453]: at org.bouncycastle.jsse.provider.ProvSSLEngine.unwrap(ProvSSLEngine.java:505)
snasmc1 docker/svc-ise-client[1453]: at java.base/javax.net.ssl.SSLEngine.unwrap(SSLEngine.java:637)
snasmc1 docker/svc-ise-client[1453]: at org.eclipse.jetty.io.ssl.SslConnection.unwrap(SslConnection.java:398)
snasmc1 docker/svc-ise-client[1453]: at org.eclipse.jetty.io.ssl.SslConnection$DecryptedEndPoint.fill(SslConnection.java:721)
snasmc1 docker/svc-ise-client[1453]: at org.eclipse.jetty.client.http.HttpReceiverOverHTTP.process(HttpReceiverOverHTTP.java:180)
snasmc1 docker/svc-ise-client[1453]: at org.eclipse.jetty.client.http.HttpReceiverOverHTTP.receive(HttpReceiverOverHTTP.java:91)
snasmc1 docker/svc-ise-client[1453]: at org.eclipse.jetty.client.http.HttpChannelOverHTTP.receive(HttpChannelOverHTTP.java:91)
snasmc1 docker/svc-ise-client[1453]: at org.eclipse.jetty.client.http.HttpConnectionOverHTTP.onFillable(HttpConnectionOverHTTP.java:194)
snasmc1 docker/svc-ise-client[1453]: at org.eclipse.jetty.io.AbstractConnection$ReadCallback.succeeded(AbstractConnection.java:314)
snasmc1 docker/svc-ise-client[1453]: at org.eclipse.jetty.io.FillInterest.fillable(FillInterest.java:100)
snasmc1 docker/svc-ise-client[1453]: at org.eclipse.jetty.io.ssl.SslConnection$DecryptedEndPoint.onFillable(SslConnection.java:558)
snasmc1 docker/svc-ise-client[1453]: at org.eclipse.jetty.io.ssl.SslConnection.onFillable(SslConnection.java:379)
snasmc1 docker/svc-ise-client[1453]: at org.eclipse.jetty.io.ssl.SslConnection$2.succeeded(SslConnection.java:146)
snasmc1 docker/svc-ise-client[1453]: at org.eclipse.jetty.io.FillInterest.fillable(FillInterest.java:100)
snasmc1 docker/svc-ise-client[1453]: at org.eclipse.jetty.io.SelectableChannelEndPoint$1.run(SelectableChannelEndPoint.java:53)
snasmc1 docker/svc-ise-client[1453]: at org.eclipse.jetty.util.thread.QueuedThreadPool.runJob(QueuedThreadPool.java:936)
snasmc1 docker/svc-ise-client[1453]: at org.eclipse.jetty.util.thread.QueuedThreadPool$Runner.run(QueuedThreadPool.java:1080)
snasmc1 docker/svc-ise-client[1453]: ... 1 more
snasmc1 docker/svc-ise-client[1453]: Suppressed: javax.net.ssl.SSLHandshakeException: org.bouncycastle.tls.TlsFatalAlert: certificate_unknown(46)解決方法
1. StealthWatch Management Console(SMC)にログインします。
2. メインメニューから、「構成」>「グローバル」>「中央管理」を選択します。
3. 「在庫」ページで、マネージャの(省略記号)アイコンをクリックします。
4. Edit Appliance Configurationを選択します。
5. 「一般」タブを選択します。
6. Trust Storeセクションに移動し、Cisco ISEのPxgridid証明書の発行者が信頼ストアの一部であることを確認します。
既知の障害
| Bug ID | 説明 |
| Cisco Bug ID 18119 | ISEがサポートされていない暗号ITLSサーバのHelloパケットを選択している |
| Cisco Bug ID 01634 | EPS条件を使用してデバイスを検疫できない |
更新履歴
| 改定 | 発行日 | コメント |
|---|---|---|
1.0 |
18-Mar-2025
|
初版 |
フィードバック