はじめに
このドキュメントでは、期限切れのCisco Identity Services Engine(ISE)管理証明書のトラブルシューティングおよび更新方法について説明します。
前提条件
要件
次の項目に関する知識があることが推奨されます。
- Cisco ISEの導入
- Cisco ISEでの証明書管理
使用するコンポーネント
このドキュメントの情報は、次のソフトウェアのバージョンに基づいています。
- Cisco Identity Services Engine(ISE)バージョン3.3パッチ4
このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。
背景説明
このドキュメントでは、分散型導入に焦点を当てていますが、スタンドアロンノードでも同じトラブルシューティング計画を使用できます。
ISE分散導入では、ノードはプライマリ管理ノード(PPAN)またはセカンダリのいずれかです。
このドキュメントでは、証明書の期限切れの影響を示すために、自己署名証明書としてISE管理証明書を使用しますが、この方法は実稼働システムには推奨されません。管理目的で使用する場合は、認証局が署名した証明書を使用することをお勧めします。
注:管理証明書の健全性を保ち、更新を事前に計画することをお勧めします。ISEシステム証明書の追跡および更新に役立つガイドを参照してください(ISEでの証明書更新の設定)。
ISE管理証明書(期限切れ)
管理証明書の状態の検証
ステップ 1:導入ステータスを確認します。 [Administration] > [System] > [Deployment] を選択します。
セカンダリノードのステータスは次のように確認できます。3つのセカンダリノードは(Not in Sync)です。
導入ステータス
ステップ 2:アラームを確認します。 Dashboard > Alarms > (Certificate Expired)の順に移動します。
期限切れのノードと証明書を確認します。
注:いずれかのセカンダリノードの前にプライマリ管理ノード(PPAN)が期限切れになった場合、そのノードからのアラームを確認できません。これは、このアラームでのセカンダリ管理ノード(SPAN)の状況です。
アラーム(証明書の期限切れ)
ステップ 3: 管理証明書のステータスを確認します。Administration > System > Certificates > Certificate Management > System Certificates > Expand nodeの順に移動します。
1. プライマリ管理ノード(PPAN):
PPAN管理証明書の状態
2. セカンダリノード。
セカンダリノードの場合は2つのオプションの1つになり、どちらの場合も同じアクションプランを適用する必要があります。
A.ノードシステム証明書を展開し、管理証明書の有効期限が切れていることを確認できます。
セカンダリノードの管理証明書の状態
B.スロー・エラー(「証明書のロード中にエラーが発生しました。現在、ノードに到達できません。(ise-psn2)に示すように、後で再試行してください。
セカンダリノードに到達できない
アクション プラン
4つのノードすべての管理証明書が期限切れであることを確認した後、次の手順を適用する必要があります。
ステップ 1:分散配置からすべてのセカンダリノードの登録を解除します(管理証明書の有効期限が切れている場合のみ)。
セカンダリノードでAdministration > System > Deployment > Check [ √ ]の順に移動し、Deregisterをクリックします。
注:ノードの登録を解除すると、スタンドアロンに移行し、このノードで管理証明書を更新できるようになります。
セカンダリノードの登録解除
注:管理証明書がすでに期限切れになっているセカンダリノードだけを登録解除し、残りを保管することを忘れないでください。このドキュメントでは、すべてのセカンダリノードが期限切れになっています。
すべてのセカンダリノードの登録が解除される
ステップ 2:プライマリ管理ノード(PPAN)の管理証明書を書き換えます。
- Administration > System > Certificates > Certificate Management > System Certificatesの順に移動し、+Generate Self Signed Certificate:
新しい自己署名証明書の生成
2. プライマリ管理ノード(PPAN)(ise-ppan)を選択して、証明書情報を入力します。
Primary Admin Node(PPAN)を選択します。
3. Adminの使用√[ ]を確認します。
管理者による使用
4. プライマリ管理ノード(PPAN)の「Restart Time」を「Restart Now」に設定します。 展開のすべてのノードをRestart NowまたはRestart Laterのいずれかに設定します。
プライマリ管理ノード(PPAN)で管理証明書(管理者が使用するように構成された証明書)を更新した後、展開のすべてのノードを再起動する必要があります。
再起動時間を今すぐ設定
5. 「発行」をクリックします。
注:プライマリ管理ノード(PPAN)で管理証明書(管理者が使用するように構成された証明書)を更新した後は、展開内のすべてのノードを再起動する必要があります。各ノードをただちに再起動するか、後で再起動をスケジュールできます。この機能を使用すると、自動再起動によって実行中のプロセスが中断されないようにできるため、プロセスをより詳細に制御できます。
スケジュールされた再起動は、Cisco ISEリリース3.3から入手可能なAdministration > System > Certificates > Admin Certificate Node Restartウィンドウで表示および編集できます。
6. プライマリ管理ノード(PPAN)の新しい管理証明書を確認します。
Administration > System > Certificates > Certificate Management > System Certificates > Expand (ise-ppan)の順に選択します。
新しい管理証明書(ise-ppan)
ステップ 3:セカンダリノードの管理証明書を更新します。
1. 分散配置から登録解除された後のスタンドアロン配置のセカンダリノードを確認します。
GUI(https://<FQDN/IP>)でノードを参照し、Administration > System > Deploymentに移動します。
(ise-span)スタンドアロン導入
2. Administration > System > Certificates > Certificate Management > System Certificatesの順に移動し、+Generate Self Signed Certificateをクリックします。
新しい自己署名証明書の生成
3. (ise-span)を選択して、証明書情報を入力します。
ノードの選択
4. Adminの使用√[ ]を確認します。
管理者による使用
注:ISEノードで管理者ロール証明書の証明書を変更すると、サービスが再起動されます。
5. Submitをクリックします。
6. 上の新しい管理証明書(ise-span)を確認します。
移動先: Administration > System > Certificates > Certificate Management > System Certificates >展開(ISEスパン)。
新しい管理証明書(ise-span)
ステップ 4:分散配置にセカンダリノードを登録します。
導入のペルソナとロールを以前と同じように設定します(Admin、MNT、PSNなど)。
1. プライマリ管理ノード(PPAN)のGUIから。 Administration > System > Deployment > Click Registerの順に移動します。
プライマリ管理ノード(PPAN)GUI
2. セカンダリノードのFQDNとクレデンシャル(ユーザ名/パスワード)を入力します。
登録するスタンドアロンノードのDNS解決可能な完全修飾ドメイン名(FQDN)を入力します。(PPAN)のFQDNと登録するノードは、互いに解決可能である必要があります。
セカンダリノードアクセスの入力
3. 正しいペルソナとサービスを有効にする。
セカンダリノードの登録(ise-span)
ステップ 5:導入ステータスを確認します。
[Administration] > [System] > [Deployment] を選択します。
(ise-span)を導入に追加
トラブルシュート
使用例1:登録解除されたセカンダリノードが分散状態でスタックする(ise-psn1)
ステータスの検証
ステップ 1:分散配置のステータスを確認します。
プライマリ管理ノード(PPAN)のGUIから。 [Administration] > [System] > [Deployment] を選択します。このノード(ise-psn1)はすでに登録解除されていることを確認できます。
(PPAN)展開ノード
ステップ 2:(ise-psn1)ノードステータスを確認します。
GUI(https://ise-psn1.kdlab.local)でセカンダリノードを参照し、Login > About ISE and Serverの順に選択します。
セカンダリノード(ise-psn1)が分散導入ステータスでスタックしている
回避策
ステップ 1:(ise-psn1)ノードを手動で登録解除します。
スタンドアロン導入に(ise-psn1)ノードをGUI経由で適用します(https://<ise-psn1 IP>/deployment-rpc/deregister-node)。
ノードの手動登録解除:GUI
ステップ 2:スタンドアロン導入でを確認します(ise-psn1)。
(ise-psn1)スタンドアロン導入
ステップ 3:スタンドアロンステータスのノードを確認できたら、「アクションプラン」セクションで同じ手順を実行します。
- (ise-psn1)ノードの管理証明書を更新します。
- (ise-psn1)ノードを分散導入に登録します。
- 導入ステータスを確認します。
(ise-psn1)導入への追加
使用例2:登録解除されたセカンダリノードのGUIが到達不能(ise-psn2)
ステータスの検証
ステップ 1:分散配置のステータスを確認します。
プライマリ管理ノード(PPAN)のGUIから。 [Administration] > [System] > [Deployment] を選択します。このノード(ise-psn2)はすでに登録解除されていることを確認できます。
(PPAN)展開ノード
ステップ 2:を確認します(ise-psn2)ノードのステータス。
管理証明書が期限切れになっている場合、次の症状が発生する可能性があります。
- (ise-psn2)GUIに到達できません。
- (ise-psn2) CLI(show application status ise)ISEアプリケーションがスタックしている(initializingまたはnot running)。
- (ise-psn2)CLI(show tech)ノードはすでにスタンドアロン導入になっています。
(ise-psn2)スタンドアロン導入
回避策
ステップ 1:(ise-psn2)ノードの管理証明書を更新します。
- CLI経由で(ise-psn2)にログインします。
- application configure iseと入力します。
- 31と入力します([31] Generate Self-Signed Admin Certificate)。
- 続行しますか? y/[n]: y
- 生成後に既存の証明書を置き換えますか? y/[n]: y
Renew(ise-psn1)管理者証明書
6. (ise-psn2)で新しい管理者証明書を確認します。
新しい管理者証明書(ise-psn2)
ステップ 2:(ise-psn2)ノードを分散導入に登録します。
ステップ 3:導入ステータスを確認します。
展開が再度同期しています!
参考資料
関連