외부 CA를 사용하여 ISE 3.3을 Stealthwatch 7.5.1과 통합

다운로드 옵션

  • PDF     (2.4 MB)
    다양한 디바이스에서 Adobe Reader로 보기
  • ePub     (2.1 MB)
    iPhone, iPad, Android, Sony Reader 또는 Windows Phone의 다양한 앱에서 보기
  • Mobi (Kindle)     (2.1 MB)
    Kindle 디바이스에서 보기 또는 다양한 디바이스의 Kindle 앱에서 보기
업데이트:2025년 3월 18일
문서 ID:222855

편견 없는 언어

본 제품에 대한 문서 세트는 편견 없는 언어를 사용하기 위해 노력합니다. 본 설명서 세트의 목적상, 편견 없는 언어는 나이, 장애, 성별, 인종 정체성, 민족 정체성, 성적 지향성, 사회 경제적 지위 및 교차성에 기초한 차별을 의미하지 않는 언어로 정의됩니다. 제품 소프트웨어의 사용자 인터페이스에서 하드코딩된 언어, RFP 설명서에 기초한 언어 또는 참조된 서드파티 제품에서 사용하는 언어로 인해 설명서에 예외가 있을 수 있습니다. 시스코에서 어떤 방식으로 포용적인 언어를 사용하고 있는지 자세히 알아보세요.

이 번역에 관하여

Cisco는 전 세계 사용자에게 다양한 언어로 지원 콘텐츠를 제공하기 위해 기계 번역 기술과 수작업 번역을 병행하여 이 문서를 번역했습니다. 아무리 품질이 높은 기계 번역이라도 전문 번역가의 번역 결과물만큼 정확하지는 않습니다. Cisco Systems, Inc.는 이 같은 번역에 대해 어떠한 책임도 지지 않으며 항상 원본 영문 문서(링크 제공됨)를 참조할 것을 권장합니다.

    소개

    이 문서에서는 pxGrid 연결을 사용하여 ISE 3.3을 Secure Network Analytics(Stealthwatch)와 통합하는 절차에 대해 설명합니다.

    사전 요구 사항

    Cisco에서는 다음 항목에 대한 지식을 권장합니다.

    • ISE(Identity Services Engine)
    • 플랫폼 교환 그리드(pxGrid)
    • 보안 네트워크 분석(Stealthwatch)
    • TLS/SSL 인증서
    • Windows Server 2016의 PKI

    사용되는 구성 요소

    이 문서의 정보는 다음 소프트웨어 및 하드웨어 버전을 기반으로 합니다.

    • ISE(Identity Services Engine) 버전 3.3 패치 4
    • Secure Network Analytics(Stealthwatch) 7.5.1
    • 외부 CA(Certificate Authority) 서버인 Windows server 2016입니다.

    이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다. 이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다. 현재 네트워크가 작동 중인 경우 모든 명령의 잠재적인 영향을 미리 숙지하시기 바랍니다.

    구성

    섹션 A: 보안 네트워크 분석(Stealthwatch) 인증서 컨피그레이션

    I부 - Secure Network Analytics pxGrid 클라이언트 인증서를 위한 CSR 생성

    1. SMC(Stealthwatch Management Console)에 로그인합니다.

    2. 주 메뉴에서 구성 > 글로벌 > 중앙 관리를 선택합니다.

    Select Configure and Global Settings

    3. Inventory(인벤토리) 페이지에서 ISE에 연결할 Manager의 (Ellipsis) 아이콘을 클릭합니다.

    4. 기기 구성 편집을 선택합니다.

    Choose Edit Appliance Configuration

    5. 어플라이언스아래의 추가 SSL/TLS 클라이언트 ID 섹션으로 이동합니다.

    6. 신규 추가를 클릭합니다.

    Click Add New

    7. CSR(Certificate Signing Request)을 생성해야 합니까? Yes()를 선택합니다. Next(다음)를 클릭합니다.

    Generate CSR 1

    8. RSA 키 길이를 선택하고 CSR 생성 섹션의 나머지 필드를 완료합니다.

    9. CSR 생성을 클릭합니다. 생성 프로세스는 몇 분 정도 걸릴 수 있습니다.

    Generate CSR 2

    10. CSR 다운로드를 누르고 CSR 파일을 로컬에 저장합니다.

    Download CSR

    II부 - 외부 CA를 사용하여 Secure Network Analytics pxGrid 클라이언트 인증서 생성

    1. MS Active Directory Certificate Service(https://server/certsrv/)로 이동합니다. 여기서 서버는 MS 서버의 IP 또는 DNS입니다.

    2. 인증서 요청을 클릭합니다.

    Click Request Certificate

    3. 고급 인증서 요청을 실행하도록 선택합니다.

    Choose Submit Advanced Certificate

    4. 이전 섹션에서 생성한 CSR 파일의 내용을 Saved Request(저장된 요청) 필드에 복사합니다.

    5. pxGrid 인증서 템플릿으로 선택한 다음 제출을 클릭합니다.

    Select pxGrid

    note-icon

    참고: 사용된 인증서 템플릿 pxGrid에는 "Enhanced Key Usage" 필드에 클라이언트 인증과 서버 인증이 모두 필요합니다.

    6. 생성된 인증서를 Base-64 형식으로 다운로드하고 pxGrid_client.cer로 저장합니다.

    Download Generated Certificate

    III부 - Secure Network Analytics pxGrid 클라이언트 인증서를 관리자에 추가

    1.[중앙 관리]의 관리자 구성에서 [추가 SSL/TLS 클라이언트 ID] 섹션으로 이동합니다.

    2. Additional SSL/TLS Client Identities(추가 SSL/TLS 클라이언트 ID) 섹션에는 생성된 클라이언트 인증서를 가져오는 양식이 포함되어 있습니다.

    3. 인증서에 이름을 지정한 다음 파일 선택을 클릭하여 인증서 파일을 찾습니다.

    1. Chain Certificate file(체인 인증서 파일) 섹션에서 루트 또는 발급자 CA .cer 파일 또는 인증서 체인 파일(.pem / .cer / .crt )을 선택합니다.

    5. 클라이언트 ID 추가를 클릭하여 시스템에 인증서를 추가합니다.

    Click Add Client Identity

    6. 설정 적용을 클릭하여 변경 사항을 저장합니다.

    IV부 - CA 루트 인증서를 Manager Trust Store로 가져오기

    1. MS Active Directory Certificate Service 홈 페이지로 이동하고 Download a CA certificate, certificate chain 또는 CRL을 선택합니다.

    Navigate to MS Active Directory

    2. Base-64 형식을 선택한 다음 CA 인증서 다운로드를 클릭합니다.

    3. 인증서를 CA_Root.cer로 저장합니다.

    Save Certificate to CA_Root.cer

    4. SMC(Stealthwatch Management Console)에 로그인합니다.

    5. 주 메뉴에서 구성 > 글로벌 > 중앙 관리를 선택합니다.

    6. Inventory(인벤토리) 페이지에서 관리자 (생략 부호) 아이콘을 클릭합니다.

    7. [기기 구성 편집]을 선택합니다.

    8. 일반 탭을 선택합니다.

    9. Trust Store 섹션으로 이동하여 이전에 내보낸 CA_Root.cer 인증서를 가져옵니다.

    10. 새로 추가를 클릭합니다.

    Click Add New

    11. 인증서에 이름을 지정한 다음 파일 선택...을 클릭하여 이전에 내보낸 ISE CA 인증서를 선택합니다.

    12. [인증서 추가]를 클릭하여 변경 사항을 저장합니다.

    Click Add Certificate

    13. 설정 적용을 눌러 변경사항을 저장합니다.

    섹션 B: Cisco Identity Services Engine 3.3 인증서 구성

    PART I - ISE 서버 pxGrid 인증서 생성

    ISE 서버 pxGrid 인증서에 대한 CSR을 생성합니다.

    1. Cisco ISE(Identity Services Engine) GUI에 로그인합니다.

    2. Administration(관리) > System(시스템) > Certificates(인증서) > Certificate Management(인증서 관리) > Certificate Signing Requests(인증서 서명 요청)로 이동합니다.

    3. CSR(Certificate Signing Request) 생성을 선택합니다.

    Generate Certificate Signing Request

    4. 인증서 사용 필드에서 pxGrid를 선택합니다.

    5. 인증서가 생성된 ISE 노드를 선택합니다.

    6. 다른 증명서에 필요한 사항을 기재할 것

    7. 생성을 클릭합니다.

    Click Generate

    8. [내보내기]를 클릭하고 파일을 로컬에 저장합니다.

    Click Export

    II부 - 외부 CA를 사용하여 ISE 서버 pxGrid 인증서 생성

    1. MS Active Directory Certificate Service(MS Active Directory 인증서 서비스), https://server/certsrv/으로 이동합니다. 여기서 server는 MS 서버의 IP 또는 DNS입니다.

    2. 인증서 요청을 클릭합니다.

    Click Request a Certificate

    3. 고급 인증서 요청을 실행하도록 선택합니다.

    Choose to Submit Advanced Certificate Request

    4. 이전 섹션에서 생성한 CSR의 내용을 Saved Request 필드에 복사합니다.

    5. 인증서 템플릿으로 pxGrid를 선택한 다음 제출을 클릭합니다.

    Select pxGrid as Certificate Template

    note-icon

    참고: 사용된 인증서 템플릿 pxGrid에는 "Enhanced Key Usage" 필드에 클라이언트 인증과 서버 인증이 모두 필요합니다.

    6. 생성된 인증서를 Base-64 형식으로 다운로드하고 ISE_pxGrid.cer로 저장합니다.

    Download the Generated Certificate

    III부 - CA 루트 인증서를 ISE 트러스트 저장소로 가져오기

    1. MS Active Directory Certificate Service(MS Active Directory 인증서 서비스) 홈 페이지로 이동하고 Download a CA certificate, certificate chain, or CRL(CA 인증서, 인증서 체인 또는 CRL 다운로드)을 선택합니다.

    Navigate to MS Active Directory Certificate

    2. Base-64 형식을 선택한 다음 Download CA certificate(CA 인증서 다운로드)를 클릭합니다.

    Select Base-64

    3. 인증서를 CA_Root.cer로 저장합니다.

    4. Cisco ISE(Identity Services Engine) GUI에 로그인

    5. 관리 > 시스템 > 인증서 > 인증서 관리 > 신뢰할 수 있는 인증서를 선택합니다.

    Trusted Certificate Administration

    6. 임포트 > 인증서 파일을 선택하고 루트 인증서를 임포트합니다.

    7. Trust for authentication within ISE 확인란이 선택되었는지 확인합니다.

    Ensure Trust for Authentication within ISE

    8. 제출을 클릭합니다.

    IV부 - ISE 인증서를 CSR(Certificate Signing Request)에 바인딩

    1. Cisco ISE(Identity Services Engine) GUI에 로그인합니다.

    2. 관리 > 시스템 > 인증서 > 인증서 관리 > 인증서 서명 요청을 선택합니다.

    3. 이전 섹션에서 생성된 CSR을 선택한 다음 인증서 바인드를 누릅니다.

    Select Previously Generated CSR

    4. Bind CA Signed Certificate(CA 서명 인증서 바인딩) 양식에서 이전에 생성한 ISE_pxGrid.cer 인증서를 선택합니다.

    5. 인증서에 이름을 지정한 다음 제출을 클릭합니다.

    Name Certificate

    7. 시스템에서 인증서를 바꾸려면 예를 클릭합니다.

    8. 관리 > 시스템 > 인증서 > 시스템 인증서를 선택합니다.

    9. 생성된 pxGrid 인증서가 외부 CA에 의해 서명된 것을 목록에서 확인할 수 있습니다.

    View Created pxGrid Certificate

    이제 인증서가 구축되었으며 통합을 진행합니다.

    통합

    통합을 진행하기 전에 다음을 확인하십시오.

    Cisco ISE의 경우 Administration(관리) > pxGrid Services(pxGrid 서비스) > Settings(설정)Check(확인)에서 자동 승인 및 저장을 위한 클라이언트 요청에 대해 새 인증서 기반 계정을 자동으로 승인합니다.

    Integration Setting

    SMC(Stealthwatch Management Console)에서 ISE Configuration Setup(ISE 컨피그레이션 설정) 페이지를 열려면

    1. Configure(구성) > Integrations(통합) > Cisco ISE를 선택합니다.

    2. 페이지 오른쪽 상단에서 새 구성 추가를 클릭합니다.

    3. Cluster Name(클러스터 이름)을 입력하고 certificate & Integration Product(인증서 통합 제품), pxGrid 노드 IP를 선택한 후 Save(저장)를 클릭합니다¶

    Enter Cluster Name

    다음을 확인합니다.

    SMC(Stealthwatch Management Console)에서 ISE Configuration(ISE 컨피그레이션) 페이지를 새로 고칩니다.

    1. Web App의 ISE Configuration(ISE 컨피그레이션) 페이지로 돌아가서 페이지를 새로 고칩니다.

    2. 해당 IP Address(IP 주소) 필드 옆에 있는 노드 상태 표시기가 녹색으로 표시되어 ISE 또는 ISE-PIC 클러스터에 대한 연결이 설정되었는지 확인합니다.

    Confirm Node Status

    Cisco ISE에서 Administration(관리) > pxGrid Services(pxGrid 서비스) > Client Management(클라이언트 관리) > Clients(클라이언트)로 이동합니다.

    그러면 SMC가 Enabled(활성화됨) 상태의 pxgrid 클라이언트로 생성됩니다.

    SMC Generated

    Cisco ISE에서 주제 서브스크립션을 확인하려면 Administration(관리) > pxGrid Services(pxGrid 서비스) > Diagnostics(진단) > Websocket(웹소켓) > Topics(항목)로 이동합니다

    이렇게 하면 이러한 항목에 가입된 SMC가 생성됩니다.

    Trustsec SGT 항목

    Trustsec SGT Topic

    ISE 세션 디렉토리 항목

    ISE SCP Bindings Topic

    ISE SXP 바인딩 항목

    alt-tag-for-image

    TRACE 레벨의 Cisco ISE Pxgrid-server.log입니다.

    2025-02-08 18:07:11,086 TRACE  [pxgrid-http-pool15][[]] cpm.pxgridwebapp.ws.pubsub.SubscriptionDistributor -::::::16d51630eee14e99b25c0fb4988db515:- Drop. exclude=[id=6,client=~ise-fanout-avasteise271,server=wss://avasteise271.avaste.local:8910/pxgrid/ise/pubsub]
2025-02-08 18:07:11,087 TRACE  [pxgrid-http-pool22][[]] cpm.pxgridwebapp.ws.pubsub.StompPubsubEndpoint -:::::::- Received frame=[command=CONNECT,headers=[accept-version=1.1,1.2, heart-beat=0,0]], content=null
2025-02-08 18:07:11,102 TRACE  [pxgrid-http-pool19][[]] cpm.pxgridwebapp.ws.pubsub.StompPubsubEndpoint -:::::::- Received frame=[command=SUBSCRIBE,headers=[destination=/topic/com.cisco.ise.config.trustsec.security.group, id=0]], content=null
2025-02-08 18:07:11,110 DEBUG  [pxgrid-http-pool22][[]] cisco.cpm.pxgridwebapp.config.MyX509Filter -:::::::- Authenticating null
2025-02-08 18:07:11,111 DEBUG  [pxgrid-http-pool22][[]] cisco.cpm.pxgridwebapp.config.MyX509Filter -:::::::- Certs up to date. user=~ise-pubsub-avasteise271
2025-02-08 18:07:11,111 DEBUG  [pxgrid-http-pool22][[]] cisco.cpm.pxgridwebapp.config.MyX509Filter -:::::::- preAuthenticatedPrincipal = ~ise-pubsub-avasteise271, trying to authenticate
2025-02-08 18:07:11,111 DEBUG  [pxgrid-http-pool22][[]] cisco.cpm.pxgridwebapp.config.MyX509Filter -:::::::- X.509 client authentication certificate subject:CN=avasteise271.avaste.local, OU=AAA, O=Ciscco, L=Bangalore, ST=KA, C=IN, issuer:CN=Avaste-ISE, DC=avaste, DC=local
2025-02-08 18:07:11,111 DEBUG  [pxgrid-http-pool22][[]] cisco.cpm.pxgridwebapp.config.MyX509Filter -:::::::- Authentication success: PreAuthenticatedAuthenticationToken [Principal=org.springframework.security.core.userdetails.User [Username=~ise-pubsub-avasteise271, Password=[PROTECTED], Enabled=true, AccountNonExpired=true, credentialsNonExpired=true, AccountNonLocked=true, Granted Authorities=[ROLE_USER]], Credentials=[PROTECTED], Authenticated=true, Details=WebAuthenticationDetails [RemoteIpAddress=10.127.197.128, SessionId=null], Granted Authorities=[ROLE_USER]]
2025-02-08 18:07:11,112 DEBUG  [pxgrid-http-pool22][[]] cisco.cpm.pxgridwebapp.data.AuthzDaoImpl -:::::::- requestNodeName=SMC serviceName=com.cisco.ise.pubsub operation=subscribe /topic/com.cisco.ise.config.trustsec.security.group
2025-02-08 18:07:11,321 DEBUG  [pxgrid-http-pool19][[]] cpm.pxgridwebapp.ws.pubsub.SubscriptionDistributor -:::::::- Adding subscription=[id=0,topic=/topic/com.cisco.ise.config.trustsec.security.group,filter=]
2025-02-08 18:07:11,322 DEBUG  [pxgrid-http-pool20][[]] cisco.cpm.pxgridwebapp.config.AuthzEvaluator -:::::::- Permitted user=SMC service=com.cisco.ise.config.trustsec operation=gets
2025-02-08 18:07:11,322 INFO   [pxgrid-http-pool19][[]] cpm.pxgridwebapp.ws.pubsub.StompPubsubEndpoint -:::::::- Pubsub subscribe. subscription=[id=0,topic=/topic/com.cisco.ise.config.trustsec.security.group,filter=] session=[id=8,client=SMC,server=wss://avasteise271.avaste.local:8910/pxgrid/ise/pubsub]
2025-02-08 18:07:11,323 TRACE  [pxgrid-http-pool19][[]] cpm.pxgridwebapp.ws.pubsub.StompPubsubEndpoint -:::::::- Received frame=[command=SUBSCRIBE,headers=[destination=/topic/com.cisco.ise.session, id=1]], content=null
2025-02-08 18:07:11,323 TRACE  [WsIseClientConnection-1010][[]] cpm.pxgrid.ws.client.WsEndpoint -::::::0a3f23311137425aa726884769e2629c:- Send. session=[id=e7b912e0-ef20-405f-a4ae-a973712d2ac5,client=~ise-admin-avasteise271,server=wss://avasteise271.avaste.local:8910/pxgrid/ise/pubsub] frame=[command=SEND,headers=[content-length=438, trace-id=0a3f23311137425aa726884769e2629c, destination=/topic/com.cisco.ise.pxgrid.admin.log],content-len=438] content={"timestamp":1739018231322,"level":"INFO","type":"PUBSUB_SERVER_SUBSCRIBE","host":"avasteise271","client":"SMC","server":"wss://avasteise271.avaste.local:8910/pxgrid/ise/pubsub","message":"Pubsub subscribe. subscription\u003d[id\u003d0,topic\u003d/topic/com.cisco.ise.config.trustsec.security.group,filter\u003d\u003cnull\u003e] session\u003d[id\u003d8,client\u003dSMC,server\u003dwss://avasteise271.avaste.local:8910/pxgrid/ise/pubsub]"}
2025-02-08 18:07:11,323 TRACE  [pxgrid-http-pool22][[]] cpm.pxgridwebapp.ws.pubsub.StompPubsubEndpoint -::::::0a3f23311137425aa726884769e2629c:- Received frame=[command=SEND,headers=[content-length=438, trace-id=0a3f23311137425aa726884769e2629c, destination=/topic/com.cisco.ise.pxgrid.admin.log],content-len=438], content={"timestamp":1739018231322,"level":"INFO","type":"PUBSUB_SERVER_SUBSCRIBE","host":"avasteise271","client":"SMC","server":"wss://avasteise271.avaste.local:8910/pxgrid/ise/pubsub","message":"Pubsub subscribe. subscription\u003d[id\u003d0,topic\u003d/topic/com.cisco.ise.config.trustsec.security.group,filter\u003d\u003cnull\u003e] session\u003d[id\u003d8,client\u003dSMC,server\u003dwss://avasteise271.avaste.local:8910/pxgrid/ise/pubsub]"}
2025-02-08 18:07:11,323 TRACE  [pxgrid-http-pool22][[]] cpm.pxgridwebapp.ws.pubsub.StompPubsubEndpoint -::::::0a3f23311137425aa726884769e2629c:- Set last activity time for session=[id=7,client=~ise-admin-avasteise271,server=wss://avasteise271.avaste.local:8910/pxgrid/ise/pubsub] from StompPubsubEndpoint, last activity time set to 1739018231323
2025-02-08 18:07:11,324 TRACE  [pxgrid-http-pool22][[]] cpm.pxgridwebapp.ws.pubsub.StompPubsubEndpoint -::::::0a3f23311137425aa726884769e2629c:- Authorized to send (cached). session=[id=7,client=~ise-admin-avasteise271,server=wss://avasteise271.avaste.local:8910/pxgrid/ise/pubsub] topic=/topic/com.cisco.ise.pxgrid.admin.log
2025-02-08 18:07:11,324 TRACE  [pxgrid-http-pool22][[]] cpm.pxgridwebapp.ws.pubsub.SubscriptionDistributor -::::::0a3f23311137425aa726884769e2629c:- Distribute from=[id=7,client=~ise-admin-avasteise271,server=wss://avasteise271.avaste.local:8910/pxgrid/ise/pubsub] topic=/topic/com.cisco.ise.pxgrid.admin.log content={"timestamp":1739018231322,"level":"INFO","type":"PUBSUB_SERVER_SUBSCRIBE","host":"avasteise271","client":"SMC","server":"wss://avasteise271.avaste.local:8910/pxgrid/ise/pubsub","message":"Pubsub subscribe. subscription\u003d[id\u003d0,topic\u003d/topic/com.cisco.ise.config.trustsec.security.group,filter\u003d\u003cnull\u003e] session\u003d[id\u003d8,client\u003dSMC,server\u003dwss://avasteise271.avaste.local:8910/pxgrid/ise/pubsub]"}
2025-02-08 18:07:11,324 TRACE  [pxgrid-http-pool22][[]] cpm.pxgridwebapp.ws.pubsub.SubscriptionDistributor -::::::0a3f23311137425aa726884769e2629c:- Distribute distributed. subscription=[id=0,topic=/topic/com.cisco.ise.pxgrid.admin.log,filter=]
2025-02-08 18:07:11,324 TRACE  [pxgrid-http-pool22][[]] cpm.pxgridwebapp.ws.pubsub.SubscriptionDistributor -::::::0a3f23311137425aa726884769e2629c:- Set last activity time for session=[id=7,client=~ise-admin-avasteise271,server=wss://avasteise271.avaste.local:8910/pxgrid/ise/pubsub] from SubscriptionDistributor, last acitivity time set to 1739018231324
2025-02-08 18:07:11,324 TRACE  [pxgrid-http-pool22][[]] cpm.pxgridwebapp.ws.pubsub.SubscriptionDistributor -::::::0a3f23311137425aa726884769e2629c:- Distribute distributed. subscription=[id=2,topic=/topic/wildcard,filter=]
2025-02-08 18:07:11,324 TRACE  [pxgrid-http-pool22][[]] cpm.pxgridwebapp.ws.pubsub.SubscriptionDistributor -::::::0a3f23311137425aa726884769e2629c:- Set last activity time for session=[id=0,client=~ise-fanout-avasteise271,server=wss://localhost:8910/pxgrid/ise/pubsub] from SubscriptionDistributor, last acitivity time set to 1739018231324
2025-02-08 18:07:11,324 TRACE  [sub-sender-0][[]] cpm.pxgridwebapp.ws.pubsub.SubscriptionSender -::::::0a3f23311137425aa726884769e2629c:- Send. subscription=[id=2,topic=/topic/wildcard,filter=] from=[id=7,client=~ise-admin-avasteise271,server=wss://avasteise271.avaste.local:8910/pxgrid/ise/pubsub] to=[id=0,client=~ise-fanout-avasteise271,server=wss://localhost:8910/pxgrid/ise/pubsub] message=[command=MESSAGE,headers=[content-length=438, trace-id=0a3f23311137425aa726884769e2629c, destination=/topic/com.cisco.ise.pxgrid.admin.log, message-id=161972],content-len=438]
2025-02-08 18:07:11,324 TRACE  [sub-sender-0][[]] cpm.pxgridwebapp.ws.pubsub.SubscriptionSender -::::::0a3f23311137425aa726884769e2629c:- Complete stompframe published : {"timestamp":1739018231322,"level":"INFO","type":"PUBSUB_SERVER_SUBSCRIBE","host":"avasteise271","client":"SMC","server":"wss://avasteise271.avaste.local:8910/pxgrid/ise/pubsub","message":"Pubsub subscribe. subscription\u003d[id\u003d0,topic\u003d/topic/com.cisco.ise.config.trustsec.security.group,filter\u003d\u003cnull\u003e] session\u003d[id\u003d8,client\u003dSMC,server\u003dwss://avasteise271.avaste.local:8910/pxgrid/ise/pubsub]"}

    문제 해결

    DNS 확인 문제

    그러면 "Connection Status; 실패한 서비스 연결에 실패했습니다. 서비스 네트워크 주소: https:isehostnameme.domain.com:891pxgridiisessxpxp을 확인할 수 없습니다.":

    DNS Resolution Issue

    솔루션

    이 ISE FQDN에 대한 정방향 및 역방향 조회를 위해 DNS 서버에서 이를 해결하는 것이 좋습니다. 그러나 로컬 해결을 위해 임시 해결 방법을 추가할 수 있습니다.

    1. SMC(Stealthwatch Management Console)에 로그인합니다.

    2. 주 메뉴에서 구성 > 글로벌 > 중앙 관리를 선택합니다.

    3. 재고 페이지에서 관리자의 (생략 부호) 아이콘을 클릭합니다.

    4. [기기 구성 편집]을 선택합니다.

    5. Network Services(네트워크 서비스) 탭에서 이 ISE FQDN에 대한 로컬 확인 항목을 추가합니다.

    DNS Resolution Issue Solution

    알 수 없는 CA 오류 또는 신뢰할 수 있는 인증서 누락

    이렇게 하면 "ISE가 이 관리자가 신뢰하지 않는 인증서를 제시하고 있습니다"라는 오류 메시지가 표시됩니다.

    Unknown CA Error Message

    유사한 로그 참조는 SMCMsvcvisese-client.log 파일에서 확인할 수 있습니다. 경로: catlancopepe/var/logs/containesvcvisese-client.log

    snasmc1 docker/svc-ise-client[1453]: java.util.concurrent.ExecutionException: javax.net.ssl.SSLException: org.bouncycastle.tls.TlsFatalAlert: certificate_unknown(46)
snasmc1 docker/svc-ise-client[1453]: at java.base/java.util.concurrent.CompletableFuture.reportGet(CompletableFuture.java:395)
snasmc1 docker/svc-ise-client[1453]: at java.base/java.util.concurrent.CompletableFuture.get(CompletableFuture.java:2022)
snasmc1 docker/svc-ise-client[1453]: at org.springframework.web.socket.client.jetty.JettyWebSocketClient.lambda$doHandshakeInternal$0(JettyWebSocketClient.java:186)
snasmc1 docker/svc-ise-client[1453]: at java.base/java.util.concurrent.FutureTask.run(FutureTask.java:264)
snasmc1 docker/svc-ise-client[1453]: at java.base/java.lang.Thread.run(Thread.java:829)
snasmc1 docker/svc-ise-client[1453]: Caused by: javax.net.ssl.SSLException: org.bouncycastle.tls.TlsFatalAlert: certificate_unknown(46)
snasmc1 docker/svc-ise-client[1453]: at org.bouncycastle.jsse.provider.ProvSSLEngine.unwrap(ProvSSLEngine.java:505)
snasmc1 docker/svc-ise-client[1453]: at java.base/javax.net.ssl.SSLEngine.unwrap(SSLEngine.java:637)
snasmc1 docker/svc-ise-client[1453]: at org.eclipse.jetty.io.ssl.SslConnection.unwrap(SslConnection.java:398)
snasmc1 docker/svc-ise-client[1453]: at org.eclipse.jetty.io.ssl.SslConnection$DecryptedEndPoint.fill(SslConnection.java:721)
snasmc1 docker/svc-ise-client[1453]: at org.eclipse.jetty.client.http.HttpReceiverOverHTTP.process(HttpReceiverOverHTTP.java:180)
snasmc1 docker/svc-ise-client[1453]: at org.eclipse.jetty.client.http.HttpReceiverOverHTTP.receive(HttpReceiverOverHTTP.java:91)
snasmc1 docker/svc-ise-client[1453]: at org.eclipse.jetty.client.http.HttpChannelOverHTTP.receive(HttpChannelOverHTTP.java:91)
snasmc1 docker/svc-ise-client[1453]: at org.eclipse.jetty.client.http.HttpConnectionOverHTTP.onFillable(HttpConnectionOverHTTP.java:194)
snasmc1 docker/svc-ise-client[1453]: at org.eclipse.jetty.io.AbstractConnection$ReadCallback.succeeded(AbstractConnection.java:314)
snasmc1 docker/svc-ise-client[1453]: at org.eclipse.jetty.io.FillInterest.fillable(FillInterest.java:100)
snasmc1 docker/svc-ise-client[1453]: at org.eclipse.jetty.io.ssl.SslConnection$DecryptedEndPoint.onFillable(SslConnection.java:558)
snasmc1 docker/svc-ise-client[1453]: at org.eclipse.jetty.io.ssl.SslConnection.onFillable(SslConnection.java:379)
snasmc1 docker/svc-ise-client[1453]: at org.eclipse.jetty.io.ssl.SslConnection$2.succeeded(SslConnection.java:146)
snasmc1 docker/svc-ise-client[1453]: at org.eclipse.jetty.io.FillInterest.fillable(FillInterest.java:100)
snasmc1 docker/svc-ise-client[1453]: at org.eclipse.jetty.io.SelectableChannelEndPoint$1.run(SelectableChannelEndPoint.java:53)
snasmc1 docker/svc-ise-client[1453]: at org.eclipse.jetty.util.thread.QueuedThreadPool.runJob(QueuedThreadPool.java:936)
snasmc1 docker/svc-ise-client[1453]: at org.eclipse.jetty.util.thread.QueuedThreadPool$Runner.run(QueuedThreadPool.java:1080)
snasmc1 docker/svc-ise-client[1453]: ... 1 more
snasmc1 docker/svc-ise-client[1453]: Suppressed: javax.net.ssl.SSLHandshakeException: org.bouncycastle.tls.TlsFatalAlert: certificate_unknown(46)

    솔루션

    1. SMC(Stealthwatch Management Console)에 로그인합니다.

    2. 주 메뉴에서 구성 > 글로벌 > 중앙 관리를 선택합니다.

    3. 재고 페이지에서 관리자의 생략 부호 아이콘을 누릅니다.

    4. [기기 구성 편집]을 선택합니다.

    5. 일반 탭을 선택합니다.

    6. Trust Store(트러스트 저장소) 섹션으로 이동하여 Cisco ISE의 Pxgrid 인증서 발급자가 트러스트 저장소에 속하는지 확인합니다.

    알려진 결함

    버그 ID 설명
    Cisco 버그 ID 18119 ISE가 지원되지 않는 암호화 ITLS 서버 Hello 패킷을 선택하고 있습니다.
    Cisco 버그 ID 01634 EPS 조건을 사용하여 디바이스를 격리할 수 없습니다.

    개정 이력

    개정 게시 날짜 의견
    1.0
    18-Mar-2025
    최초 릴리스
    TAC Authored

    Cisco 엔지니어가 작성

    • 아누락 바스테
      기술 컨설팅 엔지니어

    이 문서가 도움이 되셨습니까?

    Feedback피드백

    지원 문의

    이 문서가 적용되는 제품