소개
이 문서에서는 만료된 Cisco ISE(Identity Services Engine) 관리 인증서를 트러블슈팅하고 갱신하는 방법에 대해 설명합니다.
사전 요구 사항
요구 사항
Cisco에서는 다음 항목에 대해 알고 있는 것이 좋습니다.
- Cisco ISE 구축
- Cisco ISE의 인증서 관리.
사용되는 구성 요소
이 문서의 정보는 다음 소프트웨어 버전을 기반으로 합니다.
- Cisco ISE(Identity Services Engine) 버전 3.3 패치 4.
이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다. 이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다. 현재 네트워크가 작동 중인 경우 모든 명령의 잠재적인 영향을 미리 숙지하시기 바랍니다.
배경 정보
이 문서에서는 분산 구축을 중점적으로 살펴봅니다. 그러나 독립형 노드에서 동일한 문제 해결 계획을 사용할 수 있습니다.
ISE 분산 구축에서 노드는 PPAN(Primary Admin Node) 또는 보조 노드입니다.
이 문서에서는 만료된 인증서의 영향을 입증하기 위해 자체 서명 인증서로 ISE 관리 인증서를 사용하지만, 프로덕션 시스템에는 이 방법을 사용하지 않는 것이 좋습니다. 관리자 사용을 위해 권한 서명 인증서를 사용하는 것이 좋습니다.
참고: Cisco에서는 관리 인증서를 상태 상태로 유지하고 미리 갱신을 계획하여 ISE 시스템 인증서를 추적하고 갱신하는 데 도움이 되는 이 가이드를 찾을 것을 권장합니다(ISE에서 인증서 갱신 구성).
ISE 관리자 인증서(만료됨)
관리자 인증서 상태 확인
1단계. 배치 상태를 확인합니다. 관리 > 시스템 > 배치로 이동합니다.
표시된 대로 보조 노드 상태를 확인할 수 있습니다. 3개의 보조 노드는 (Not in Sync) 입니다.
구축 상태
2단계. 경보를 검토합니다. 대시보드 > 경보 > (인증서 만료)로 이동합니다.
어떤 노드 및 어떤 인증서가 만료되었는지 확인합니다.
참고: PPAN(Primary Admin Node)이 보조 노드 이전에 만료된 경우 해당 노드에서 경보를 볼 수 없습니다. 이 경보가 SPAN(Secondary Admin Node)에 대해 발생한 것입니다.
경보(인증서 만료)
3단계. 관리자 인증서 상태를 확인합니다. Administration(관리) > System(시스템) > Certificates(인증서) > Certificate Management(인증서 관리) > System Certificates(시스템 인증서) > Expand node(노드 확장)로 이동합니다.
1. PPAN(주 관리 노드):
PPAN 관리자 인증서 상태
2. 보조 노드
보조 노드의 경우 2개의 옵션 중 1개가 될 수 있으며, 두 경우 모두 동일한 작업 계획을 적용해야 합니다.
A. 노드 시스템 인증서를 확장하고 관리자 인증서가 만료되었는지 확인할 수 있습니다.
보조 노드 관리 인증서 상태
B. Throw 오류("인증서 로드 오류") 현재 노드에 연결할 수 없습니다. 나중에 다시 시도하십시오.")에 표시된 대로 (ise-psn2
보조 노드에 연결할 수 없음
실행 계획
4개 노드 모두에 대해 관리자 인증서가 만료되었음을 확인한 후 다음 단계를 적용해야 합니다.
1단계. 분산형 구축에서 모든 보조 노드를 등록 취소합니다(관리자 인증서가 만료된 경우에만).
보조 노드의 Administration > System > Deployment > Check [ √ ] 로 이동하고 Deregister를 클릭합니다.
참고: 노드를 등록 취소하면 노드가 독립형으로 이동하므로 이 노드에서 관리 인증서를 갱신할 수 있습니다.
보조 노드 등록 취소
참고: 관리 인증서가 이미 만료 된 보조 노드를 deregister 및 나머지를 유지 해야 합니다. 이 문서에서는 모든 보조 노드가 만료 되었습니다.
모든 보조 노드가 등록 취소됨
2단계. PPAN(Primary Admin Node)의 관리자 인증서를 갱신합니다.
- Administration(관리) > System(시스템) > Certificates(인증서) > Certificate Management(인증서 관리) > System Certificates(시스템 인증서) > Click +Generate Self Signed Certificate(자체 서명 인증서 생성)로 이동합니다.
새 자체 서명 관리자 인증서 생성
2. PPAN(기본 관리 노드)(ise-ppan)을 선택하고 인증서 정보를 입력합니다.
PPAN(Primary Admin Node) 선택
3. [ √ ] 관리자 사용 현황을 확인합니다.
관리자 사용
4. PPAN(기본 관리 노드)에 대해 Restart Time(재시작 시간)을 Restart Now(지금 재시작)로 설정합니다. 구축의 모든 노드를 Restart Now(지금 재시작) 또는 Restart Later(나중에 재시작)로 설정합니다.
PPAN(Primary Admin Node)에서 관리자 인증서(관리자 사용을 위해 구성된 인증서)를 갱신한 후에는 구축의 모든 노드를 다시 시작해야 합니다.
Restart Time(재시작 시간)을 Now(지금)로 설정
5. 제출을 클릭합니다.
참고: PPAN(Primary Admin Node)에서 관리자 인증서(관리자 사용을 위해 구성된 인증서)를 갱신한 후에는 구축의 모든 노드를 다시 시작해야 합니다. 각 노드를 즉시 다시 시작하거나 나중에 다시 시작하도록 예약할 수 있습니다. 이 기능을 사용하면 자동 재시작으로 인해 실행 중인 프로세스가 중단되지 않으므로 프로세스를 보다 효과적으로 제어할 수 있습니다.
Cisco ISE Release 3.3에서 사용 가능한 Administration(관리) > System(시스템) > Certificates(인증서) > Admin Certificate Node Restart(관리자 인증서 노드 재시작) 창에서 예약된 재시작을 보고 수정할 수 있습니다.
6. PPAN(기본 관리 노드)의 새 관리자 인증서를 확인합니다.
Administration(관리) > System(시스템) > Certificates(인증서) > Certificate Management(인증서 관리) > System Certificates(시스템 인증서) > Expand(확장) (ise-pan)로 이동합니다.
새 관리자 인증서(ise-pan)
3단계. 보조 노드의 관리자 인증서를 갱신합니다.
1. 분산 구축에서 등록 취소된 후 독립형 구축의 보조 노드를 확인합니다.
GUI(https://<FQDN/IP>)를 통해 노드를 찾고 Administration(관리) > System(시스템) > Deployment(구축)로 이동합니다.
(ise-span)(독립형 구축)
2. 관리 > 시스템 > 인증서 > 인증서 관리 > 시스템 인증서 > 클릭 +자체 서명 인증서 생성으로 이동합니다.
새 자체 서명 관리자 인증서 생성
3. (ise-span)을 선택하고 인증서 정보를 입력합니다.
노드 선택
4. [ √ ] 관리자 사용 현황을 확인합니다.
관리자 사용
참고: ISE 노드에서 관리자 역할 인증서의 인증서를 변경하면 서비스가 다시 시작됩니다.
5. 제출을 클릭합니다.
6. (ise-span)에서 새 관리자 인증서를 확인합니다.
로 이동합니다 Administration(관리) > System(시스템) > Certificates(인증서) > Certificate Management(인증서 관리) > System Certificates(시스템 인증서) > 확장(ise-span).
새 관리자 인증서(ise-span)
4단계. 분산 구축에 보조 노드를 등록합니다.
구축 페르소나 및 역할을 이전과 동일하게 설정합니다(Admin, MNT, PSN 등).
1. PPAN(주 관리 노드) GUI에서. 관리 > 시스템 > 배치 > 등록을 눌러 이동합니다.
PPAN(기본 관리 노드) GUI
2. 보조 노드의 FQDN 및 자격 증명을 입력합니다(사용자 이름/비밀번호).
등록할 독립형 노드의 DNS 확인 가능한 FQDN(정규화된 도메인 이름)을 입력합니다. (PPAN)의 FQDN과 등록 중인 노드를 서로 확인할 수 있어야 합니다.
보조 노드 액세스 입력
3. 올바른 개인 및 서비스를 활성화합니다.
보조 노드 등록(ise-span)
5단계. 구축 상태를 확인합니다.
Administration(관리) > System(시스템) > Deployment(구축)로 이동합니다.
(ise-span) 구축에 추가됨
문제 해결
활용 사례 1: 분산 상태(ise-psn1)에서 등록 취소된 보조 노드 고착
상태 확인
1단계. 분산 구축 상태를 확인합니다.
PPAN(기본 관리 노드) GUI에서 관리 > 시스템 > 구축으로 이동합니다. 이 노드(ise-psn1)가 이미 등록 취소되었음을 확인할 수 있습니다.
(PPAN) 구축 노드
2단계. (ise-psn1) 노드 상태를 확인합니다.
GUI(https://ise-psn1.kdlab.local)를 통해 보조 노드를 탐색하고 Login(로그인) > About ISE and Server(ISE 및 서버 정보)로 이동합니다.
보조 노드(ise-psn1)가 분산 구축 상태에서 중단됨
해결 방법
1단계. (ise-psn1) 노드를 수동으로 등록 취소합니다.
GUI를 통해 (ise-psn1) 노드를 독립형 구축에 적용합니다(https://<ise-psn1 IP>/deployment-rpc/deregister-node).
수동으로 노드 등록 취소 - GUI
2단계. 이제 독립형 구축에서 (ise-psn1)을 확인합니다.
(ise-psn1) 독립형 구축
3단계. 독립형 상태의 노드를 확인할 수 있으면 조치 계획 섹션에서 동일한 단계를 진행합니다.
- (ise-psn1) 노드의 관리자 인증서를 갱신합니다.
- (ise-psn1) 노드를 분산 구축에 등록합니다.
- 구축 상태를 확인합니다.
(ise-psn1) 구축에 추가됨
활용 사례 2: 등록 취소된 보조 노드 GUI에 연결할 수 없음(ise-psn2)
상태 확인
1단계. 분산 구축 상태를 확인합니다.
PPAN(기본 관리 노드) GUI에서 관리 > 시스템 > 구축으로 이동합니다. 이 노드(ise-psn2)가 이미 등록 취소되었음을 확인할 수 있습니다.
(PPAN) 구축 노드
2단계. (ise-psn2) 노드 상태.
관리자 인증서가 만료 된 경우에 따라 다음과 같은 증상에 도달할 수 있습니다.
- (ise-psn2) GUI에 연결할 수 없습니다.
- (ise-psn2) CLI(show application status ise) ISE 애플리케이션이 중지되었습니다(초기화 중이거나 실행 중이 아님).
- (ise-psn2) CLI(show tech) 노드가 이미 독립형 구축에 있습니다.
(ise-psn2) 독립형 구축
해결 방법
1단계. (ise-psn2) 노드의 관리자 인증서를 갱신합니다.
- CLI를 통해 (ise-psn2)에 로그인합니다.
- application configure ise를 입력합니다.
- 31([31] Generate Self-Signed Admin Certificate)을 입력합니다.
- 계속하시겠습니까? y/[n]: y
- 생성 후 기존 인증서를 바꾸시겠습니까? y/[n]: y
Renew (ise-psn1) 관리 인증서
6. (ise-psn2)에서 새 관리자 인증서를 확인합니다.
새 관리자 인증서(ise-psn2)
2단계. (ise-psn2) 노드를 분산 구축에 등록합니다.
3단계. 구축 상태를 확인합니다.
배포가 다시 동기화되었습니다!
참조
관련성