期限切れのISE管理証明書のトラブルシューティング

ダウンロード オプション

  • PDF     (3.1 MB)
    Adobe Reader を使ってさまざまなデバイスで表示
  • ePub     (3.1 MB)
    iPhone、iPad、Android、ソニーの Reader、または Windows Phone 上で、さまざまなアプリを使って表示
  • Mobi (Kindle)     (2.1 MB)
    Kindle デバイスで、または Kindle アプリを使って複数のデバイスで表示
Updated: 2025 年 1 月 29 日
Document ID:222732

偏向のない言語

この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブ ランゲージの取り組みの詳細は、こちらをご覧ください。

翻訳について

シスコは世界中のユーザにそれぞれの言語でサポート コンテンツを提供するために、機械と人による翻訳を組み合わせて、本ドキュメントを翻訳しています。ただし、最高度の機械翻訳であっても、専門家による翻訳のような正確性は確保されません。シスコは、これら翻訳の正確性について法的責任を負いません。原典である英語版(リンクからアクセス可能)もあわせて参照することを推奨します。

    はじめに

    このドキュメントでは、期限切れのCisco Identity Services Engine(ISE)管理証明書のトラブルシューティングおよび更新方法について説明します。

    前提条件

    要件

    次の項目に関する知識があることが推奨されます。

    • Cisco ISEの導入
    • Cisco ISEでの証明書管理

    使用するコンポーネント

    このドキュメントの情報は、次のソフトウェアのバージョンに基づいています。

    • Cisco Identity Services Engine(ISE)バージョン3.3パッチ4

    このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。

    背景説明

    このドキュメントでは、分散型導入に焦点を当てていますが、スタンドアロンノードでも同じトラブルシューティング計画を使用できます。

    ISE分散導入では、ノードはプライマリ管理ノード(PPAN)またはセカンダリのいずれかです。

    このドキュメントでは、証明書の期限切れの影響を示すために、自己署名証明書としてISE管理証明書を使用しますが、この方法は実稼働システムには推奨されません。管理目的で使用する場合は、認証局が署名した証明書を使用することをお勧めします。

    :管理証明書の健全性を保ち、更新を事前に計画することをお勧めします。ISEシステム証明書の追跡および更新に役立つガイドを参照してください(ISEでの証明書更新の設定)。

    ISE管理証明書(期限切れ)

    管理証明書の状態の検証

    ステップ 1:導入ステータスを確認します。 [Administration] > [System] > [Deployment] を選択します。

    セカンダリノードのステータスは次のように確認できます。3つのセカンダリノードは(Not in Sync)です。

    Deployment Status導入ステータス

    ステップ 2:アラームを確認します。 Dashboard > Alarms > (Certificate Expired)の順に移動します。

    期限切れのノードと証明書を確認します。

    :いずれかのセカンダリノードの前にプライマリ管理ノード(PPAN)が期限切れになった場合、そのノードからのアラームを確認できません。これは、このアラームでのセカンダリ管理ノード(SPAN)の状況です。

    Alarms (Certificate Expired)アラーム(証明書の期限切れ)

    ステップ 3: 管理証明書のステータスを確認します。Administration > System > Certificates > Certificate Management > System Certificates > Expand nodeの順に移動します。

    1. プライマリ管理ノード(PPAN):

    PPAN Admin Certificate StatusPPAN管理証明書の状態

    2. セカンダリノード。

    セカンダリノードの場合は2つのオプションの1つになり、どちらの場合も同じアクションプランを適用する必要があります。

    A.ノードシステム証明書を展開し、管理証明書の有効期限が切れていることを確認できます。

    Secondary Node Admin Certificate Statusセカンダリノードの管理証明書の状態

    B.スロー・エラー(「証明書のロード中にエラーが発生しました。現在、ノードに到達できません。(ise-psn2)に示すように、後で再試行してください。

    Secondary Node Not Reachableセカンダリノードに到達できない

    アクション プラン

    4つのノードすべての管理証明書が期限切れであることを確認した後、次の手順を適用する必要があります。

    ステップ 1:分散配置からすべてのセカンダリノードの登録を解除します(管理証明書の有効期限が切れている場合のみ)。

    セカンダリノードでAdministration > System > Deployment > Check [ √ ]の順に移動し、Deregisterをクリックします。

    :ノードの登録を解除すると、スタンドアロンに移行し、このノードで管理証明書を更新できるようになります。

    Deregister Secondary Nodesセカンダリノードの登録解除

    :管理証明書がすでに期限切れになっているセカンダリノードだけを登録解除し、残りを保管することを忘れないでください。このドキュメントでは、すべてのセカンダリノードが期限切れになっています。

    All Secondary Nodes are Deregisteredすべてのセカンダリノードの登録が解除される

    ステップ 2:プライマリ管理ノード(PPAN)の管理証明書を書き換えます。

    1. Administration > System > Certificates > Certificate Management > System Certificatesの順に移動し、+Generate Self Signed Certificate:

    Generate new Self-Signed Admin Certificate新しい自己署名証明書の生成

    2. プライマリ管理ノード(PPAN)(ise-ppan)を選択して、証明書情報を入力します。

    Select the Primary Admin Node (PPAN)Primary Admin Node(PPAN)を選択します。

    3. Adminの使用√[ ]を確認します。

    Admin Usage管理者による使用

    4. プライマリ管理ノード(PPAN)の「Restart Time」を「Restart Now」に設定します。 展開のすべてのノードをRestart NowまたはRestart Laterのいずれかに設定します。

    プライマリ管理ノード(PPAN)で管理証明書(管理者が使用するように構成された証明書)を更新した後、展開のすべてのノードを再起動する必要があります。

    Set Restart Time to Now再起動時間を今すぐ設定

    5. 「発行」をクリックします。

    :プライマリ管理ノード(PPAN)で管理証明書(管理者が使用するように構成された証明書)を更新した後は、展開内のすべてのノードを再起動する必要があります。各ノードをただちに再起動するか、後で再起動をスケジュールできます。この機能を使用すると、自動再起動によって実行中のプロセスが中断されないようにできるため、プロセスをより詳細に制御できます。

    スケジュールされた再起動は、Cisco ISEリリース3.3から入手可能なAdministration > System > Certificates > Admin Certificate Node Restartウィンドウで表示および編集できます。

    6. プライマリ管理ノード(PPAN)の新しい管理証明書を確認します。

    Administration > System > Certificates > Certificate Management > System Certificates > Expand (ise-ppan)の順に選択します。

    New Admin Certificate (ise-ppan)新しい管理証明書(ise-ppan)

    ステップ 3:セカンダリノードの管理証明書を更新します。

    1. 分散配置から登録解除された後のスタンドアロン配置のセカンダリノードを確認します。

    GUI(https://<FQDN/IP>)でノードを参照し、Administration > System > Deploymentに移動します。

    (ise-span) on Standalone Deployment(ise-span)スタンドアロン導入

    2. Administration > System > Certificates > Certificate Management > System Certificatesの順に移動し、+Generate Self Signed Certificateをクリックします。

    Generate new Self-Signed Admin Certificate新しい自己署名証明書の生成

    3. (ise-span)を選択して、証明書情報を入力します。

    Select the Nodeノードの選択

    4. Adminの使用√[ ]を確認します。

    Admin Usage管理者による使用

    注:ISEノードで管理者ロール証明書の証明書を変更すると、サービスが再起動されます。

    5. Submitをクリックします。

    6. 上の新しい管理証明書(ise-span)を確認します。

    移動先:  Administration > System > Certificates > Certificate Management > System Certificates >展開(ISEスパン)。

    New Admin Certificate (ise-span)新しい管理証明書(ise-span)

    ステップ 4:分散配置にセカンダリノードを登録します。

    導入のペルソナとロールを以前と同じように設定します(Admin、MNT、PSNなど)。

    1. プライマリ管理ノード(PPAN)のGUIから。 Administration > System > Deployment > Click Registerの順に移動します。

    Primary Admin Node (PPAN) GUIプライマリ管理ノード(PPAN)GUI

    2. セカンダリノードのFQDNとクレデンシャル(ユーザ名/パスワード)を入力します。

    登録するスタンドアロンノードのDNS解決可能な完全修飾ドメイン名(FQDN)を入力します。(PPAN)のFQDNと登録するノードは、互いに解決可能である必要があります。

    Enter Secondary Node Accessセカンダリノードアクセスの入力

    3. 正しいペルソナとサービスを有効にする

    Register Secondary Node (ise-span)セカンダリノードの登録(ise-span)

    ステップ 5:導入ステータスを確認します。

    [Administration] > [System] > [Deployment] を選択します。

    (ise-span) Added to the Deployment(ise-span)を導入に追加

    トラブルシュート

    使用例1:登録解除されたセカンダリノードが分散状態でスタックする(ise-psn1)

    ステータスの検証

    ステップ 1:分散配置のステータスを確認します。

    プライマリ管理ノード(PPAN)のGUIから。 [Administration] > [System] > [Deployment] を選択します。このノード(ise-psn1)はすでに登録解除されていることを確認できます。

    (PPAN) Deployment Nodes(PPAN)展開ノード

    ステップ 2:(ise-psn1)ノードステータスを確認します。

    GUI(https://ise-psn1.kdlab.local)でセカンダリノードを参照し、Login > About ISE and Serverの順に選択します。

    Secondary Node (ise-psn1) Stuck on Distributed Deployment Statusセカンダリノード(ise-psn1)が分散導入ステータスでスタックしている

    回避策

    ステップ 1:(ise-psn1)ノードを手動で登録解除します。

    スタンドアロン導入に(ise-psn1)ノードをGUI経由で適用します(https://<ise-psn1 IP>/deployment-rpc/deregister-node)。

    Deregister the Node Manually - GUIノードの手動登録解除:GUI

    ステップ 2:スタンドアロン導入でを確認します(ise-psn1)。

    (ise-psn1) on Standalone Deployment(ise-psn1)スタンドアロン導入

    ステップ 3:スタンドアロンステータスのノードを確認できたら、「アクションプラン」セクションで同じ手順を実行します。

    1. (ise-psn1)ノードの管理証明書を更新します。
    2. (ise-psn1)ノードを分散導入に登録します。
    3. 導入ステータスを確認します。

    (ise-psn1) Added to the Deployment(ise-psn1)導入への追加

    使用例2:登録解除されたセカンダリノードのGUIが到達不能(ise-psn2)

    ステータスの検証

    ステップ 1:分散配置のステータスを確認します。

    プライマリ管理ノード(PPAN)のGUIから。 [Administration] > [System] > [Deployment] を選択します。このノード(ise-psn2)はすでに登録解除されていることを確認できます。

    (PPAN) Deployment Nodes(PPAN)展開ノード

    ステップ 2:を確認します(ise-psn2)ノードのステータス。

    管理証明書が期限切れになっている場合、次の症状が発生する可能性があります。

    • (ise-psn2)GUIに到達できません。
    • (ise-psn2) CLI(show application status ise)ISEアプリケーションがスタックしている(initializingまたはnot running)。
    • (ise-psn2)CLI(show tech)ノードはすでにスタンドアロン導入になっています。

    (ise-psn2) on Standalone Deployment(ise-psn2)スタンドアロン導入

    回避策

    ステップ 1:(ise-psn2)ノードの管理証明書を更新します。

    1. CLI経由で(ise-psn2)にログインします。
    2. application configure iseと入力します。
    3. 31と入力します([31] Generate Self-Signed Admin Certificate)。
    4. 続行しますか? y/[n]: y
    5. 生成後に既存の証明書を置き換えますか? y/[n]: y

    Renew (ise-psn1) Admin CertificateRenew(ise-psn1)管理者証明書

    6. (ise-psn2)で新しい管理者証明書を確認します。

    New Admin Certificate (ise-psn2)新しい管理者証明書(ise-psn2)

    ステップ 2:(ise-psn2)ノードを分散導入に登録します。

    ステップ 3:導入ステータスを確認します。

    The Deployment in Sync Again!展開が再度同期しています!

    参考資料

    関連

    更新履歴

    改定 発行日 コメント
    2.0
    29-Jan-2025
    初版リリース
    1.0
    27-Jan-2025
    初版
    TAC Authored

    シスコ エンジニア提供

    • カレドドウマ
      テクニカルコンサルティングエンジニア

    このドキュメントは役に立ちましたか?

    Feedbackフィードバック

    シスコに問い合わせ

    このドキュメントは次の製品に対応しています