Prime Infrastructure 3.5+ Integratieproblemen door TOFU-certificaat

Downloadopties

  • PDF     (372.4 KB)
    Met Adobe Reader op diverse apparaten bekijken
Bijgewerkt:18 maart 2020
Document-id:215335

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

    Inleiding

    Dit document beschrijft het integratieprobleem dat optreedt als gevolg van een Trust-on-first-use (TOFU)-certificaatmismatch nadat een nieuw Certificate Signing Request (CSR) is gegenereerd in Cisco Prime Infrastructure (primair/secundair), hoe u het probleem kunt oplossen en oplossen.

    Voorwaarden

    Vereisten

    Cisco raadt kennis van de volgende onderwerpen aan:

    • Cisco Prime Infrastructure
    • Hoge beschikbaarheid

    Gebruikte componenten

    De informatie in dit document is gebaseerd op Cisco Prime Infrastructure versie 3.5 en hoger.

    De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.

    Achtergrondinformatie

    Dit zijn de referentiedocumenten die informatie bieden over High Availability en het genereren van certificaten in Cisco Prime Infrastructure.

    Gids voor hoge beschikbaarheid: https://www.cisco.com/c/en/us/td/docs/net_mgmt/prime/infrastructure/3-6/admin/guide/bk_CiscoPrimeInfrastructure_3_6_AdminGuide/bk_CiscoPrimeInfrastructure_3_6_AdminGuide_chapter_01011.html

    Beheerdershandleiding: https://www.cisco.com/c/en/us/td/docs/net_mgmt/prime/infrastructure/3-6/admin/guide/bk_CiscoPrimeInfrastructure_3_6_AdminGuide/bk_CiscoPrimeInfrastructure_3_6_AdminGuide_chapter_0100.html

    Probleem

    TOFU - Het certificaat dat van de externe host wordt ontvangen, wordt vertrouwd wanneer de verbinding voor de eerste keer wordt gemaakt.

    Het TOFU-certificaat op de primaire infrastructuur of de externe host waarmee prime is verbonden, kan worden gewijzigd als er een nieuw certificaat wordt gegenereerd of als de server opnieuw wordt geïmplementeerd op de VM-host.

    Het genereren en importeren van een nieuwe CSR op de primaire/secundaire primaire infrastructuurserver stuurt de nieuwe TOFU-certificaatinformatie naar externe servers wanneer de connectiviteit opnieuw wordt gestart na het opnieuw opstarten van de service.

    Als de externe host na de eerste verbinding een ander certificaat voor een volgende verbinding verzendt, wordt de verbinding geweigerd.

    Externe host kan zijn (primaire of secundaire server in HA-implementatie, Integrated Service Engine (ISE)-server) waar de oude TOFU nog steeds aanwezig is.

    Hierdoor kan de registratie tussen primaire en secundaire servers, Prime- en ISE-server mislukken.

    In het gedeelte Problemen oplossen worden de foutmeldingen beschreven die in dergelijke scenario's in de logboeken van de gezondheidsmonitor kunnen worden gevonden.

    Problemen oplossen

    In het logboek van de primaire gezondheidsmonitor kunt u deze foutberichten vinden die wijzen op de mismatch in het secundaire certificaat.

    [system] [HealthMonitorThread] TOFU failed. 
    Check local trust Trust-on-first-use is configure for this connection. 
    Current certificate of the remote host is different from what was used earlier 
    - CN=prime-sec, OU=Prime Infra, O=Cisco Systems, L=SJ, ST=CA, C=US 
    javax.net.ssl.SSLHandshakeException: java.security.cert.CertificateException: 
    Trust-on-first-use is configure for this connection. 
    Current certificate of the remote host is different from what was used earlier 
    - CN=prime-sec

    Deze foutmeldingen zijn te vinden in de primaire infrastructuurlogs die wijzen op de mismatch in het ISE-servercertificaat.

    [system] [seqtaskexecutor-3069] TOFU failed. 
    Check local trust Trust-on-first-use is configure for this connection. 
    Current certificate of the remote host is different from what was used earlier 
    - CN=ISE-server
    javax.net.ssl.SSLHandshakeException: java.security.cert.
    CertificateException: Trust-on-first-use is configure for this connection. 
    Current certificate of the remote host is different from what was used earlier 
    - CN=ISE-server

    In het logboek van de secundaire gezondheidsmonitor kunt u deze foutberichten vinden die wijzen op de mismatch in het primaire certificaat.

    [system] [HealthMonitorThread] TOFU failed. 
    Check local trust Trust-on-first-use is configure for this connection. 
    Current certificate of the remote host is different from what was used earlier 
    - CN=prime-pri, OU=Prime Infra, O=Cisco Systems, L=SJ, ST=CA, C=US 

    javax.net.ssl.SSLHandshakeException: java.security.cert.CertificateException: 
    Trust-on-first-use is configure for this connection. 
    Current certificate of the remote host is different from what was used earlier 
    - CN=prime-pri

    Oplossing

    De huidige TOFU-certificaten op prime moeten worden vermeld, zodat de oude certificaatvermelding voor de corresponderende externe host moet worden geïdentificeerd en verwijderd voordat u de integratie van prime opnieuw probeert.

    Configuratie

    Lijst met certificaatvalidatie bekijken

    De opdracht ncs certvalidatie tofu-certs listcerts kan worden gebruikt om de certificaatvalidatielijst te bekijken.

    Deze uitvoer is afkomstig van de primaire Cisco Prime Infrastructure-server [IP=1XX.XX.XX.XX]:

    prime-pri/admin# ncs certvalidation tofu-certs listcerts

    Host certificate are automatically added to this list on first connection, 
    if trust-on-first-use is configured - ncs certvalidation certificate-check ...

    host=1X.XX.XX.XX_8082;  subject= /C=US/ST=CA/L=SJ/O=Cisco Systems/OU=Prime Infra/CN=prime-pri
    host=1Z.ZZ.ZZ.ZZ_443;  subject= /C=US/ST=CA/L=SJ/O=Cisco Systems/OU=Prime Infra/CN=ISE-server
    host=1YY.YY.YY.YY_8082;  subject= /C=US/ST=CA/L=SJ/O=Cisco Systems/OU=Prime Infra/CN=prime-sec

    prime-pri/admin#

    Deze uitvoer is afkomstig van de secundaire Cisco Prime Infrastructure-server [IP=1YY.YY.YY.YY]

    prime-sec/admin# ncs certvalidation tofu-certs listcerts

    Host certificate are automatically added to this list on first connection, 
    if trust-on-first-use is configured - ncs certvalidation certificate-check ...

    host=1YY.YY.YY.YY_8082;  subject= /C=US/ST=CA/L=SJ/O=Cisco Systems/OU=Prime Infra/CN=prime-sec
    host=127.0.0.1_8082;  subject= /C=US/ST=CA/L=SJ/O=Cisco Systems/OU=Prime Infra/CN=prime-sec
    host=1X.XX.XX.XX_8082; subject= /C=US/ST=CA/L=SJ/O=Cisco Systems/OU=Prime Infra/CN=prime-pri

    prime-sec/admin#

    Certificaat verwijderen

    Gebruik de opdracht ncs certvalidation tofu-certs delete host <host> om de certificaatvalidatie te verwijderen.

    Controleer en verwijder van de primaire server de oude vermeldingen voor de TOFU-certificaten van respectievelijk de ISE- en de secundaire server.

    • NCS-certificatie Tofu-certs Verwijder host 1YY.YY.YY.YY_8082
    • NCS-certificatie Tofu-certs Verwijder host 1Z.ZZ.ZZ.ZZ_443

    Controleer en verwijder de oude vermeldingen voor het tofu-certificaat van de primaire server met behulp van het commando ncs certvalidation tofu-certs deletecert host 1X.XX.XX.XX_8082.

    HA opnieuw initialiseren van primair naar secundair

    Stap 1. Meld u aan bij Cisco Prime Infrastructure met een gebruikersnaam en wachtwoord met beheerdersbevoegdheden.

    Stap 2. Navigeer in het menu naar Beheer > Instellingen > Hoge beschikbaarheid. Cisco Prime Infrastructure geeft de pagina HA-status weer. 

    Stap 3. Selecteer HA Configuration en vul de velden als volgt in:

    1. Secundaire server: Voer het IP-adres of de hostnaam van de secundaire server in.
    2. Verificatiesleutel: Voer het wachtwoord voor de verificatiesleutel in dat u tijdens de installatie van de secundaire server hebt ingesteld.
    3. E-mailadres: Voer het adres (of de lijst met adressen die door komma's van elkaar zijn gescheiden) in waarnaar de kennisgeving over wijzigingen in de HA-status moet worden verzonden. Als u e-mailmeldingen al hebt geconfigureerd met behulp van de pagina Configuratie e-mailserver (zie "Instellingen voor e-mailserver configureren"), worden de e-mailadressen die u hier invoert toegevoegd aan de lijst met adressen die al zijn geconfigureerd voor de e-mailserver.
    4. Type failover: Selecteer Handmatig of Automatisch. Het wordt aanbevolen om Handmatig te selecteren.

    Het wordt aanbevolen om de DNS-server te gebruiken om de hostnaam op te lossen naar een IP-adres. Als u het bestand /etc/hosts gebruikt in plaats van de DNS-server, moet u het secundaire IP-adres invoeren in plaats van de hostnaam.

    Stap 4. Als u de virtuele IP-functie gebruikt, schakelt u het selectievakje Virtueel IP inschakelen in en vult u de aanvullende velden als volgt in:

    1. IPV4 Virtual IP: Voer het virtuele IPv4-adres in dat u voor beide HA-servers wilt gebruiken.
    2. IPV6 Virtual IP: (Optioneel) Voer het IPv6-adres in dat u voor beide HA-servers wilt gebruiken.

    Virtuele IP-adressering werkt niet, tenzij beide servers zich op hetzelfde subnet bevinden. Gebruik geen IPv6-adresblok fe80, het is gereserveerd voor link-lokale unicast-adressering.

    Stap 5. Klik op Gereedheid controleren om te controleren of de HA-gerelateerde omgevingsparameters klaar zijn voor de configuratie.

    Stap 6. Klik op Registreren om de voortgang van de mijlpaal te bekijken, om de 100% voltooiing van Pre-HA Registratie, Database Replicatie en Post HA Registratie te controleren zoals hier getoond. Cisco Prime Infrastructure start het HA-registratieproces. Als de registratie succesvol is voltooid, wordt in de configuratiemodus de waarde Primary Active weergegeven.

    ISE-servers opnieuw configureren

    Stap 1. Navigeer naar Beheer > Servers > ISE-servers

    Stap 2. Navigeer naar Selecteer een opdracht > ISE-server toevoegen en klik vervolgens op gaan
    Stap 3. Voer het IP-adres, de gebruikersnaam en het wachtwoord van de ISE-server in

    Stap 4. Bevestig het ISE-serverwachtwoord.

    Stap 5. Klik op Save (Opslaan).

    Verifiëren

    Het commando ncs certvalidatie tofu-certs listcerts kan gebruikt worden om het nieuwe certificaat te verifiëren. 

    Gerelateerde informatie

    TAC Authored

    Bijgedragen door Cisco-engineers

    • Annangarachari R
      Cisco TAC Engineer

    Was dit document nuttig?

    FeedbackFeedback

    Contact Cisco

    Dit document is van toepassing op deze producten