Integreer ISE 3.3 met Stealthwatch 7.5.1 met behulp van externe CA

Inleiding

In dit document worden procedures beschreven om ISE 3.3 te integreren met Secure Network Analytics (Stealthwatch) via pxGrid-verbindingen.

Voorwaarden

Cisco raadt kennis over deze onderwerpen aan:

• Identity Services Engine
• Platform Exchange Grid (pxGrid)
• Secure Network Analytics (Stealthwatch)
• TLS-/SSL-certificaten.
• PKI op Windows-server 2016

Gebruikte componenten

De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:

• Identity Services Engine (ISE) versie 3.3 patch 4
• Secure Network Analytics (Stealthwatch) 7.5.1
• Windows-server 2016 als een externe certificeringsinstantie (CA)-server.

De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.

Configureren

Deel A: Certificaatconfiguratie voor Secure Network Analytics (Stealthwatch)

Deel I - MVO genereren voor het Secure Network Analytics pxGrid-clientcertificaat

1. Log in op Stealthwatch Management Console (SMC).

2. Selecteer in het hoofdmenu de optie Configureren > Wereldwijd > Centraal beheer.

3. Klik op de pagina Inventaris op het pictogram (Ellipsis) voor het beheer dat u met ISE wilt verbinden.

4. Kies Applicatie configuratie bewerken.

5. Navigeer naar het gedeelte Aanvullende SSL/TLS-clientidentiteiten onder het tabblad Applicatie.

6. Klik op Nieuw toevoegen.

7. Moet u een MVO (certificaatondertekeningsaanvraag) genereren? Kies Ja. Klik op Next (Volgende).

8. Selecteer een RSA Key Lengte en vul de rest van de velden in het gedeelte Generate a CSR in.

9. Klik op Generate CSR. Het generatieproces kan meerdere minuten duren.

10. Klik op CSR downloaden en het CSR-bestand lokaal opslaan.

Deel II - Een Secure Network Analysis MaxGrid-clientcertificaat maken met een externe CA

1. Ga naar MS Active Directory Certificate Service, https://server/certsrv/, waar de server IP of DNS van uw MS-server is.

2. Klik op Certificaat aanvragen.

3. Kies om een geavanceerde certificaataanvraag in te dienen.

4. Kopieert de inhoud van het CSR-bestand dat in de vorige sectie is gegenereerd naar het veld Opgeslagen aanvraag.

5. Selecteer pxGrid als de certificaatsjabloon en klik vervolgens op Indienen.

Opmerking: Voor het gebruik van certificaatsjabloon pxGrid zijn zowel clientverificatie als serververificatie in het veld "Uitgebreid gebruik van sleutel" nodig.

6. Download een gegenereerd certificaat in Base-64 formaat en sla het op als pxGrid_client.cer.

DEEL III - Het Clientcertificaat voor Secure Network Analytics (PxGrid) aan de Manager toevoegen

1.Navigeer naar het gedeelte Aanvullende SSL/TLS-clientidentiteiten van de Manager Configuration in Central Management.

2. De sectie Aanvullende SSL/TLS-clientidentiteiten bevat een formulier om het gemaakte clientcertificaat te importeren.

3. Geef het certificaat een vriendelijke naam, klik vervolgens op Select File om het certificaatbestand te vinden.

4. Selecteer de root of emittent CA .cer bestand of het certificaat ketting bestand (.pem / .cer / .crt ) onder de Chain Certificate file sectie.

5. Klik op Add Client Identity (Clientidentiteit toevoegen) om het certificaat aan het systeem toe te voegen.

6. Klik op Instellingen toepassen om de wijzigingen op te slaan.

DEEL IV - Het CA Root Certificaat importeren in de Manager Trust Store

1. Navigeer naar de MS Active Directory Certificate Service startpagina en selecteer Download een CA-certificaat, certificaatketen of CRL.

2. Selecteer Base-64-formaat en klik vervolgens op CA-certificaat downloaden.

3. Sla het certificaat op als CA_Root.cer.

4. Log in op de Stealthwatch Management Console (SMC).

5. Selecteer in het hoofdmenu de optie Configureren > Wereldwijd > Centraal beheer.

6. Klik op de pagina Inventaris op het (ellips)-pictogram voor de Manager.

7. Kies Applicatie configuratie bewerken.

8. Selecteer het tabblad Algemeen.

9. Navigeer naar het gedeelte Trust Store en importeer eerder geëxporteerd CA_Root.cer certificaat.

10. Klik op Nieuw toevoegen.

11. Geef het certificaat een vriendelijke naam en klik vervolgens op Select File... om het eerder geëxporteerde ISE CA-certificaat te selecteren.

12. Klik op Certificaat toevoegen om de wijzigingen op te slaan.

13. Klik op Instellingen toepassen om de wijzigingen op te slaan.

Deel B: Cisco Identity Services Engine 3.3 certificaatconfiguratie

DEEL I - Een ISE-server-pxGrid-certificaat genereren

Een CSR genereren voor een ISE-server pxGrid-certificaat:

1. Log in op Cisco Identity Services Engine (ISE) GUI.

2. Navigeer naar Administratie > Systeem > Certificaten > Certificaatbeheer >Certificaatondertekeningsaanvragen.

3. Selecteer Generate Certificate Signing Verzoek (CSR).

4. Selecteer pxGrid in het veld Certificaat(s) wordt gebruikt voor.

5. Selecteer ISE-knooppunt waarvoor het certificaat wordt gegenereerd.

6. Vul zo nodig andere gegevens van het certificaat in.

7. Klik op Generate.

8. Klik op Exporteren en lokaal opslaan van het bestand.

DEEL II - Een ISE-serverpakketcertificaat maken met een externe CA

1. Ga naar MS Active Directory Certificate Service, https://server/certsrv/, waar de server IP of DNS van uw MS-server is.

2. Klik op Certificaat aanvragen.

3. Kies om een geavanceerde certificaataanvraag in te dienen.

4. Kopieert de inhoud van de SR die in de vorige sectie is gegenereerd naar het veld Opgeslagen aanvraag.

5. Selecteer pxGrid als certificaatsjabloon en klik vervolgens op Indienen.

Opmerking: Voor het gebruik van certificaatsjabloon pxGrid zijn zowel clientverificatie als serververificatie in het veld "Uitgebreid gebruik van sleutel" nodig.

6. Download het gegenereerde certificaat in Base-64-formaat en sla het op als ISE_pxGrid.cer.

DEEL III - Het CA Root Certificate importeren in de ISE Trust Store

1. Navigeer naar MS Active Directory Certificate Service startpagina en selecteer Download een CA-certificaat, certificaatketen of CRL.

2. Selecteer Base-64 formaat en klik vervolgens op CA-certificaat downloaden.

3. Sla het certificaat op als CA_Root.cer.

4. Log in op Cisco Identity Services Engine (ISE) GUI.

5. Selecteer Beheer > Systeem > Certificaten > Certificaatbeheer >Betrouwbare certificaten.

6. Selecteer Importeren > Certificaatbestand en importeer het basiscertificaat.

7. Zorg ervoor dat het selectievakje Vertrouwen voor verificatie in ISE is geselecteerd.

8. Klik op Indienen.

DEEL IV - Binding van het ISE-certificaat aan het verzoek tot ondertekening van het certificaat (CSR)

1. Log in op Cisco Identity Services Engine (ISE) GUI.

2. Selecteer Beheer > Systeem > Certificaten > Certificaatbeheer >Aanvragen voor certificaatondertekening.

3. Selecteer de MVO die in de vorige sectie is gegenereerd en klik vervolgens op Bindcertificaat.

4. Kies op het formulier Bind CA Signed Certificate het eerder gegenereerde ISE_pxGrid.cer certificaat.

5. Geef het certificaat een vriendschappelijke naam en klik op Indienen.

7. Klik op Ja als het systeem wordt gevraagd het certificaat te vervangen.

8. Selecteer Beheer > Systeem > Certificaten > Systeemcertificaten.

9. In de lijst ziet u het gemaakte pxGrid-certificaat dat is ondertekend door de externe CA.

Certificaten worden nu ingezet, ga verder met Integratie.

integreren

Alvorens over te gaan tot integratie, zorg ervoor dat:

Voor Cisco ISE onder Beheer > PxGrid Services > Instellingen en Controleer automatisch nieuwe op certificaat gebaseerde accounts voor clientverzoek om automatisch goed te keuren en op te slaan.

Op de Stealthwatch Management Console (SMC) opent u de Instellingspagina van de ISE-configuratie:

1. Selecteer Configureren > Integraties > Cisco ISE.

2. Klik in de rechterbovenhoek van de pagina op Nieuwe configuratie toevoegen.

3. Voer een clusternaam in, selecteer het certificaat- en integratieproduct, pxGrid-knooppunt, IP en klik op Opslaan.

Verifiëren

Vernieuw de pagina ISE-configuratie op de Stealthwatch Management Console (SMC).

1. Ga terug naar de pagina ISE Configuration in de Web App en vernieuw de pagina.

2. Bevestig dat de statusindicator van het knooppunt naast het toepasselijke IP-adresveld Groen is, wat aangeeft dat een verbinding met het ISE- of ISE-PIC-cluster tot stand is gebracht.

Ga op Cisco ISE naar Beheer >PxGrid Services > Clientbeheer > Clients.

Dit genereert de SCM als een pxgrid-client met de status Ingeschakeld.

Om onderwerpabonnement op Cisco ISE te verifiëren, navigeer naar Beheer >pxGrid Services > Diagnostiek > Websocket > Onderwerpen

Dit levert een SCM op die is geabonneerd op deze onderwerpen.

Trustsec SGT-onderwerp

onderwerp ISE-sessiemap

onderwerp ISE-SXP-banden

Cisco ISE-pakketserver.log in TRACE-niveau

2025-02-08 18:07:11,086 TRACE  [pxgrid-http-pool15][[]] cpm.pxgridwebapp.ws.pubsub.SubscriptionDistributor -::::::16d51630eee14e99b25c0fb4988db515:- Drop. exclude=[id=6,client=~ise-fanout-avasteise271,server=wss://avasteise271.avaste.local:8910/pxgrid/ise/pubsub]
2025-02-08 18:07:11,087 TRACE  [pxgrid-http-pool22][[]] cpm.pxgridwebapp.ws.pubsub.StompPubsubEndpoint -:::::::- Received frame=[command=CONNECT,headers=[accept-version=1.1,1.2, heart-beat=0,0]], content=null
2025-02-08 18:07:11,102 TRACE  [pxgrid-http-pool19][[]] cpm.pxgridwebapp.ws.pubsub.StompPubsubEndpoint -:::::::- Received frame=[command=SUBSCRIBE,headers=[destination=/topic/com.cisco.ise.config.trustsec.security.group, id=0]], content=null
2025-02-08 18:07:11,110 DEBUG  [pxgrid-http-pool22][[]] cisco.cpm.pxgridwebapp.config.MyX509Filter -:::::::- Authenticating null
2025-02-08 18:07:11,111 DEBUG  [pxgrid-http-pool22][[]] cisco.cpm.pxgridwebapp.config.MyX509Filter -:::::::- Certs up to date. user=~ise-pubsub-avasteise271
2025-02-08 18:07:11,111 DEBUG  [pxgrid-http-pool22][[]] cisco.cpm.pxgridwebapp.config.MyX509Filter -:::::::- preAuthenticatedPrincipal = ~ise-pubsub-avasteise271, trying to authenticate
2025-02-08 18:07:11,111 DEBUG  [pxgrid-http-pool22][[]] cisco.cpm.pxgridwebapp.config.MyX509Filter -:::::::- X.509 client authentication certificate subject:CN=avasteise271.avaste.local, OU=AAA, O=Ciscco, L=Bangalore, ST=KA, C=IN, issuer:CN=Avaste-ISE, DC=avaste, DC=local
2025-02-08 18:07:11,111 DEBUG  [pxgrid-http-pool22][[]] cisco.cpm.pxgridwebapp.config.MyX509Filter -:::::::- Authentication success: PreAuthenticatedAuthenticationToken [Principal=org.springframework.security.core.userdetails.User [Username=~ise-pubsub-avasteise271, Password=[PROTECTED], Enabled=true, AccountNonExpired=true, credentialsNonExpired=true, AccountNonLocked=true, Granted Authorities=[ROLE_USER]], Credentials=[PROTECTED], Authenticated=true, Details=WebAuthenticationDetails [RemoteIpAddress=10.127.197.128, SessionId=null], Granted Authorities=[ROLE_USER]]
2025-02-08 18:07:11,112 DEBUG  [pxgrid-http-pool22][[]] cisco.cpm.pxgridwebapp.data.AuthzDaoImpl -:::::::- requestNodeName=SMC serviceName=com.cisco.ise.pubsub operation=subscribe /topic/com.cisco.ise.config.trustsec.security.group
2025-02-08 18:07:11,321 DEBUG  [pxgrid-http-pool19][[]] cpm.pxgridwebapp.ws.pubsub.SubscriptionDistributor -:::::::- Adding subscription=[id=0,topic=/topic/com.cisco.ise.config.trustsec.security.group,filter=]
2025-02-08 18:07:11,322 DEBUG  [pxgrid-http-pool20][[]] cisco.cpm.pxgridwebapp.config.AuthzEvaluator -:::::::- Permitted user=SMC service=com.cisco.ise.config.trustsec operation=gets
2025-02-08 18:07:11,322 INFO   [pxgrid-http-pool19][[]] cpm.pxgridwebapp.ws.pubsub.StompPubsubEndpoint -:::::::- Pubsub subscribe. subscription=[id=0,topic=/topic/com.cisco.ise.config.trustsec.security.group,filter=] session=[id=8,client=SMC,server=wss://avasteise271.avaste.local:8910/pxgrid/ise/pubsub]
2025-02-08 18:07:11,323 TRACE  [pxgrid-http-pool19][[]] cpm.pxgridwebapp.ws.pubsub.StompPubsubEndpoint -:::::::- Received frame=[command=SUBSCRIBE,headers=[destination=/topic/com.cisco.ise.session, id=1]], content=null
2025-02-08 18:07:11,323 TRACE  [WsIseClientConnection-1010][[]] cpm.pxgrid.ws.client.WsEndpoint -::::::0a3f23311137425aa726884769e2629c:- Send. session=[id=e7b912e0-ef20-405f-a4ae-a973712d2ac5,client=~ise-admin-avasteise271,server=wss://avasteise271.avaste.local:8910/pxgrid/ise/pubsub] frame=[command=SEND,headers=[content-length=438, trace-id=0a3f23311137425aa726884769e2629c, destination=/topic/com.cisco.ise.pxgrid.admin.log],content-len=438] content={"timestamp":1739018231322,"level":"INFO","type":"PUBSUB_SERVER_SUBSCRIBE","host":"avasteise271","client":"SMC","server":"wss://avasteise271.avaste.local:8910/pxgrid/ise/pubsub","message":"Pubsub subscribe. subscription\u003d[id\u003d0,topic\u003d/topic/com.cisco.ise.config.trustsec.security.group,filter\u003d\u003cnull\u003e] session\u003d[id\u003d8,client\u003dSMC,server\u003dwss://avasteise271.avaste.local:8910/pxgrid/ise/pubsub]"}
2025-02-08 18:07:11,323 TRACE  [pxgrid-http-pool22][[]] cpm.pxgridwebapp.ws.pubsub.StompPubsubEndpoint -::::::0a3f23311137425aa726884769e2629c:- Received frame=[command=SEND,headers=[content-length=438, trace-id=0a3f23311137425aa726884769e2629c, destination=/topic/com.cisco.ise.pxgrid.admin.log],content-len=438], content={"timestamp":1739018231322,"level":"INFO","type":"PUBSUB_SERVER_SUBSCRIBE","host":"avasteise271","client":"SMC","server":"wss://avasteise271.avaste.local:8910/pxgrid/ise/pubsub","message":"Pubsub subscribe. subscription\u003d[id\u003d0,topic\u003d/topic/com.cisco.ise.config.trustsec.security.group,filter\u003d\u003cnull\u003e] session\u003d[id\u003d8,client\u003dSMC,server\u003dwss://avasteise271.avaste.local:8910/pxgrid/ise/pubsub]"}
2025-02-08 18:07:11,323 TRACE  [pxgrid-http-pool22][[]] cpm.pxgridwebapp.ws.pubsub.StompPubsubEndpoint -::::::0a3f23311137425aa726884769e2629c:- Set last activity time for session=[id=7,client=~ise-admin-avasteise271,server=wss://avasteise271.avaste.local:8910/pxgrid/ise/pubsub] from StompPubsubEndpoint, last activity time set to 1739018231323
2025-02-08 18:07:11,324 TRACE  [pxgrid-http-pool22][[]] cpm.pxgridwebapp.ws.pubsub.StompPubsubEndpoint -::::::0a3f23311137425aa726884769e2629c:- Authorized to send (cached). session=[id=7,client=~ise-admin-avasteise271,server=wss://avasteise271.avaste.local:8910/pxgrid/ise/pubsub] topic=/topic/com.cisco.ise.pxgrid.admin.log
2025-02-08 18:07:11,324 TRACE  [pxgrid-http-pool22][[]] cpm.pxgridwebapp.ws.pubsub.SubscriptionDistributor -::::::0a3f23311137425aa726884769e2629c:- Distribute from=[id=7,client=~ise-admin-avasteise271,server=wss://avasteise271.avaste.local:8910/pxgrid/ise/pubsub] topic=/topic/com.cisco.ise.pxgrid.admin.log content={"timestamp":1739018231322,"level":"INFO","type":"PUBSUB_SERVER_SUBSCRIBE","host":"avasteise271","client":"SMC","server":"wss://avasteise271.avaste.local:8910/pxgrid/ise/pubsub","message":"Pubsub subscribe. subscription\u003d[id\u003d0,topic\u003d/topic/com.cisco.ise.config.trustsec.security.group,filter\u003d\u003cnull\u003e] session\u003d[id\u003d8,client\u003dSMC,server\u003dwss://avasteise271.avaste.local:8910/pxgrid/ise/pubsub]"}
2025-02-08 18:07:11,324 TRACE  [pxgrid-http-pool22][[]] cpm.pxgridwebapp.ws.pubsub.SubscriptionDistributor -::::::0a3f23311137425aa726884769e2629c:- Distribute distributed. subscription=[id=0,topic=/topic/com.cisco.ise.pxgrid.admin.log,filter=]
2025-02-08 18:07:11,324 TRACE  [pxgrid-http-pool22][[]] cpm.pxgridwebapp.ws.pubsub.SubscriptionDistributor -::::::0a3f23311137425aa726884769e2629c:- Set last activity time for session=[id=7,client=~ise-admin-avasteise271,server=wss://avasteise271.avaste.local:8910/pxgrid/ise/pubsub] from SubscriptionDistributor, last acitivity time set to 1739018231324
2025-02-08 18:07:11,324 TRACE  [pxgrid-http-pool22][[]] cpm.pxgridwebapp.ws.pubsub.SubscriptionDistributor -::::::0a3f23311137425aa726884769e2629c:- Distribute distributed. subscription=[id=2,topic=/topic/wildcard,filter=]
2025-02-08 18:07:11,324 TRACE  [pxgrid-http-pool22][[]] cpm.pxgridwebapp.ws.pubsub.SubscriptionDistributor -::::::0a3f23311137425aa726884769e2629c:- Set last activity time for session=[id=0,client=~ise-fanout-avasteise271,server=wss://localhost:8910/pxgrid/ise/pubsub] from SubscriptionDistributor, last acitivity time set to 1739018231324
2025-02-08 18:07:11,324 TRACE  [sub-sender-0][[]] cpm.pxgridwebapp.ws.pubsub.SubscriptionSender -::::::0a3f23311137425aa726884769e2629c:- Send. subscription=[id=2,topic=/topic/wildcard,filter=] from=[id=7,client=~ise-admin-avasteise271,server=wss://avasteise271.avaste.local:8910/pxgrid/ise/pubsub] to=[id=0,client=~ise-fanout-avasteise271,server=wss://localhost:8910/pxgrid/ise/pubsub] message=[command=MESSAGE,headers=[content-length=438, trace-id=0a3f23311137425aa726884769e2629c, destination=/topic/com.cisco.ise.pxgrid.admin.log, message-id=161972],content-len=438]
2025-02-08 18:07:11,324 TRACE  [sub-sender-0][[]] cpm.pxgridwebapp.ws.pubsub.SubscriptionSender -::::::0a3f23311137425aa726884769e2629c:- Complete stompframe published : {"timestamp":1739018231322,"level":"INFO","type":"PUBSUB_SERVER_SUBSCRIBE","host":"avasteise271","client":"SMC","server":"wss://avasteise271.avaste.local:8910/pxgrid/ise/pubsub","message":"Pubsub subscribe. subscription\u003d[id\u003d0,topic\u003d/topic/com.cisco.ise.config.trustsec.security.group,filter\u003d\u003cnull\u003e] session\u003d[id\u003d8,client\u003dSMC,server\u003dwss://avasteise271.avaste.local:8910/pxgrid/ise/pubsub]"}

Probleemoplossing

Probleem met DNS-oplossing

Dit geeft een foutbericht weer als "Verbindingsstatus; Verbinding met de service is mislukt. Netwerkadres van de dienst: https:isehostnameme.domain.com:891pxgridiisessxpxp kan niet worden opgelost":

Oplossing

Dit moet idealiter op de DNS-server worden gerepareerd voor voorwaartse en omgekeerde zoekopdrachten voor deze ISE-FQDN. Maar er kan een tijdelijke oplossing worden toegevoegd voor de lokale oplossing:

1. Log in op de Stealthwatch Management Console (SMC).

2. Selecteer in het hoofdmenu de optie Configureren > Wereldwijd > Centraal beheer.

3. Klik op de pagina Inventaris op het pictogram (Ellipsis) voor het beheer.

4. Kies Applicatie configuratie bewerken.

5. Het tabblad Network Services en voegt een lokale resolutie toe voor dit ISE-FQDN.

Onbekende CA-fout of betrouwbaar certificaat ontbreekt

Dit geeft een foutmelding als "ISE presenteert een certificaat dat niet vertrouwd is door deze Manager":

Vergelijkbare logreferentie kan worden gevonden in het bestand SMCMsvcvisese-client.log. Pad: catlancopepe/var/logs/containesvcvisese-client.log

snasmc1 docker/svc-ise-client[1453]: java.util.concurrent.ExecutionException: javax.net.ssl.SSLException: org.bouncycastle.tls.TlsFatalAlert: certificate_unknown(46)
snasmc1 docker/svc-ise-client[1453]: at java.base/java.util.concurrent.CompletableFuture.reportGet(CompletableFuture.java:395)
snasmc1 docker/svc-ise-client[1453]: at java.base/java.util.concurrent.CompletableFuture.get(CompletableFuture.java:2022)
snasmc1 docker/svc-ise-client[1453]: at org.springframework.web.socket.client.jetty.JettyWebSocketClient.lambda$doHandshakeInternal$0(JettyWebSocketClient.java:186)
snasmc1 docker/svc-ise-client[1453]: at java.base/java.util.concurrent.FutureTask.run(FutureTask.java:264)
snasmc1 docker/svc-ise-client[1453]: at java.base/java.lang.Thread.run(Thread.java:829)
snasmc1 docker/svc-ise-client[1453]: Caused by: javax.net.ssl.SSLException: org.bouncycastle.tls.TlsFatalAlert: certificate_unknown(46)
snasmc1 docker/svc-ise-client[1453]: at org.bouncycastle.jsse.provider.ProvSSLEngine.unwrap(ProvSSLEngine.java:505)
snasmc1 docker/svc-ise-client[1453]: at java.base/javax.net.ssl.SSLEngine.unwrap(SSLEngine.java:637)
snasmc1 docker/svc-ise-client[1453]: at org.eclipse.jetty.io.ssl.SslConnection.unwrap(SslConnection.java:398)
snasmc1 docker/svc-ise-client[1453]: at org.eclipse.jetty.io.ssl.SslConnection$DecryptedEndPoint.fill(SslConnection.java:721)
snasmc1 docker/svc-ise-client[1453]: at org.eclipse.jetty.client.http.HttpReceiverOverHTTP.process(HttpReceiverOverHTTP.java:180)
snasmc1 docker/svc-ise-client[1453]: at org.eclipse.jetty.client.http.HttpReceiverOverHTTP.receive(HttpReceiverOverHTTP.java:91)
snasmc1 docker/svc-ise-client[1453]: at org.eclipse.jetty.client.http.HttpChannelOverHTTP.receive(HttpChannelOverHTTP.java:91)
snasmc1 docker/svc-ise-client[1453]: at org.eclipse.jetty.client.http.HttpConnectionOverHTTP.onFillable(HttpConnectionOverHTTP.java:194)
snasmc1 docker/svc-ise-client[1453]: at org.eclipse.jetty.io.AbstractConnection$ReadCallback.succeeded(AbstractConnection.java:314)
snasmc1 docker/svc-ise-client[1453]: at org.eclipse.jetty.io.FillInterest.fillable(FillInterest.java:100)
snasmc1 docker/svc-ise-client[1453]: at org.eclipse.jetty.io.ssl.SslConnection$DecryptedEndPoint.onFillable(SslConnection.java:558)
snasmc1 docker/svc-ise-client[1453]: at org.eclipse.jetty.io.ssl.SslConnection.onFillable(SslConnection.java:379)
snasmc1 docker/svc-ise-client[1453]: at org.eclipse.jetty.io.ssl.SslConnection$2.succeeded(SslConnection.java:146)
snasmc1 docker/svc-ise-client[1453]: at org.eclipse.jetty.io.FillInterest.fillable(FillInterest.java:100)
snasmc1 docker/svc-ise-client[1453]: at org.eclipse.jetty.io.SelectableChannelEndPoint$1.run(SelectableChannelEndPoint.java:53)
snasmc1 docker/svc-ise-client[1453]: at org.eclipse.jetty.util.thread.QueuedThreadPool.runJob(QueuedThreadPool.java:936)
snasmc1 docker/svc-ise-client[1453]: at org.eclipse.jetty.util.thread.QueuedThreadPool$Runner.run(QueuedThreadPool.java:1080)
snasmc1 docker/svc-ise-client[1453]: ... 1 more
snasmc1 docker/svc-ise-client[1453]: Suppressed: javax.net.ssl.SSLHandshakeException: org.bouncycastle.tls.TlsFatalAlert: certificate_unknown(46)

Oplossing

1. Log in op de Stealthwatch Management Console (SMC).

2. Selecteer in het hoofdmenu de optie Configureren > Wereldwijd > Centraal beheer.

3. Klik op de pagina Inventaris op het pictogram (ellips) voor de Manager.

4. Kies Applicatie configuratie bewerken.

5. Selecteer het tabblad General.

6. Navigeer naar het gedeelte Trust Store en zorg ervoor dat de emittent van het Prisma-certificaat van Cisco ISE deel uitmaakt van het Trust Store.

Bekende gebreken