Verlopen ISE-beheercertificaat voor probleemoplossing

Downloadopties

  • PDF     (3.0 MB)
    Met Adobe Reader op diverse apparaten bekijken
Bijgewerkt:29 januari 2025
Document-id:222732

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

    Inleiding

    Dit document beschrijft hoe u een verlopen Cisco Identity Services Engine (ISE) Admin-certificaat kunt oplossen en verlengen.

    Voorwaarden

    Vereisten

    Cisco raadt u aan deze onderwerpen te kennen:

    • Cisco ISE-implementatie.
    • Certificaatbeheer in Cisco ISE.

    Gebruikte componenten

    De informatie in dit document is gebaseerd op deze softwareversie:

    • Cisco Identity Services Engine (ISE) versie 3.3 Patch4.

    De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.

    Achtergrondinformatie

    Dit document richt zich op de gedistribueerde inzet; u kunt echter hetzelfde plan voor probleemoplossing gebruiken voor zelfstandige knooppunten.

    In ISE gedistribueerde implementaties is het knooppunt ofwel Primair Admin Node (PAN) of secundair.

    Dit document gebruikt het ISE Admin-certificaat als een zelfondertekend certificaat om het effect van het verlopen certificaat aan te tonen, maar deze benadering wordt niet aanbevolen voor een productiesysteem. Het is beter om door de overheid ondertekend certificaat te gebruiken voor beheerdersgebruik.

    Opmerking: Cisco raadt u aan uw Admin-certificaat in de gezondheidstoestand te houden en de verlenging van te voren te plannen, deze handleiding te vinden om u te helpen de ISE-systeemcertificaten te volgen en te vernieuwen (Certificaat verlengen op ISE configureren).

    ISE-beheercertificaat (verlopen)

    Status van beheercertificaat valideren

    Stap 1. Controleer de implementatiestatus. Navigeer naar Beheer > Systeem > Implementatie.

    U kunt de status van de secundaire knooppunten controleren, zoals aangegeven, de drie secundaire knooppunten zijn (niet in sync).

    Deployment StatusImplementatiestatus

    Stap 2. Controleer het alarm. Navigeer naar Dashboard > Alarmen > (certificaat verlopen).

    Om te bevestigen welk knooppunt en welk certificaat is verlopen.

    Opmerking: Als het Primaire Admin Node (PPAN) is verlopen voordat een secundair knooppunt wordt weergegeven, kunt u geen alarmen van dat knooppunt zien, dat is wat er in dit alarm gebeurde voor het secundaire Admin Node (SPAN).

    Alarms (Certificate Expired)Alarmen (certificaat verlopen)

    Stap 3. Controleer de status van het beheercertificaat. Navigeren naar Beheer > Systeem > Certificaten > Certificaatbeheer > Systeemcertificaten > Knooppunt uitvouwen.

    1. Primair beheerknooppunt (PAN):

    PPAN Admin Certificate StatusStatus PAN-beheercertificaat

    2. Tweede knooppunten.

    Voor de secundaire knooppunten kan het 1 van 2 opties zijn en in beide gevallen moet u hetzelfde actieplan toepassen:

    A. Kan het certificaat van het knoopsysteem uitbreiden en bevestigen dat het beheercertificaat is verlopen:

    Secondary Node Admin Certificate StatusCertificaatstatus secundair knooppunt

    B. Gooi fout ("Fout bij laden van certificaten. Knooppunt niet bereikbaar op dit moment. Probeer het later opnieuw.") zoals getoond voor (ise-psn2

    Secondary Node Not ReachableSecundair knooppunt niet bereikbaar

    Actieplan

    Nadat u hebt bevestigd dat het beheercertificaat voor alle vier knooppunten is verlopen, moet u de volgende stappen toepassen:

    Stap 1. Registreer alle secundaire knooppunten uit de gedistribueerde implementatie (alleen als het beheercertificaat is verlopen).

    Navigeer naar Beheer > Systeem > implementatie > Controleer [√] van de secundaire knooppunten en klik op Registreren.

    Opmerking: Deregistreren van het knooppunt betekent dat het wordt verplaatst naar standalone dan kunt u het beheercertificaat op dit knooppunt verlengen.

    Deregister Secondary NodesSecundaire knooppunten verwijderen

    Opmerking: Vergeet niet om alleen secundaire knooppunten te deregistreren waar het beheercertificaat al is verlopen en de rest te bewaren. In dit document zijn alle secundaire knooppunten verlopen.

    All Secondary Nodes are DeregisteredAlle secundaire knooppunten zijn gedereguleerd

    Stap 2. Verleng het beheercertificaat van het primaire beheerknooppunt (PAN).

    1. Navigeren naar Beheer > Systeem > Certificaten > Certificaatbeheer > Systeemcertificaten > Klik op +Generate Self Signed Certificate:

    Generate new Self-Signed Admin CertificateNieuw zelfondertekend beheercertificaat genereren

    2. Selecteer het Primaire Admin Node (PPAN) (ISE-pannen) en vul de certificaatinformatie in:

    Select the Primary Admin Node (PPAN)Selecteer het primaire beheerknooppunt (PAN)

    3. Controleer [ √ ] het gebruik van de beheerder.

    Admin UsageAdmin-gebruik

    4. Stel de herstarttijd in om nu opnieuw te starten voor het primaire beheerknooppunt (PAN). Stel alle knooppunten op de implementatie in om nu opnieuw te starten of later opnieuw te starten.

    Nadat u een beheercertificaat hebt verlengd (een certificaat dat is geconfigureerd voor beheerdersgebruik) op het primaire beheerknooppunt (PAN), moeten alle knooppunten in uw implementatie opnieuw worden gestart.

    Set Restart Time to NowStel herstarttijd in op nu

    5. Klik op Indienen.

    Opmerking: Nadat u een beheercertificaat hebt verlengd (een certificaat dat is geconfigureerd voor beheerdersgebruik) op het primaire beheerknooppunt (PAN) moeten alle knooppunten in uw implementatie opnieuw worden gestart. U kunt elk knooppunt direct opnieuw opstarten of de herstart later plannen. Met deze functie kunt u ervoor zorgen dat geen actieve processen worden verstoord door de automatische herstart, waardoor u meer controle over het proces.

    U kunt de geplande herstart bekijken en bewerken in het venster Beheer > Systeem > Certificaten > Admin Certificate Node Herstart, dat beschikbaar is via Cisco ISE-softwarerelease 3.3.

    6. Controleer het nieuwe beheercertificaat van het primaire beheerknooppunt (PAN).

    Navigeer naar Beheer > Systeem > Certificaten > Certificaatbeheer > Systeemcertificaten > Uitvouwen (ise-ppan).

    New Admin Certificate (ise-ppan)Nieuw Admin-certificaat (ISE-ppan)

    Stap 3. Verleng het beheercertificaat van de secundaire knooppunten.

    1. Bevestig het secundaire knooppunt van standalone implementatie na uitschrijving van de gedistribueerde implementatie.

    Blader door de knooppunt via GUI (https://<FQDN/IP>) en navigeer naar Beheer > Systeem > implementatie.

    (ise-span) on Standalone Deployment(ise-span) bij standalone implementatie

    2. Navigeer naar Beheer > Systeem > Certificaten > Certificaatbeheer > Systeemcertificaten > Klik op +Generate Self Signed Certificate.

    Generate new Self-Signed Admin CertificateNieuw zelfondertekend beheercertificaat genereren

    3. Selecteer de (ise-span) en vul de certificaatinformatie in.

    Select the NodeSelecteer het knooppunt

    4. Controleer [ √ ] het gebruik van de beheerder.

    Admin UsageAdmin-gebruik

    Opmerking: Het wijzigen van het certificaat van de admin rol certificaat op ISE knooppunt herstart services.

    5. Klik op Indienen.

    6. Controleer het nieuwe beheercertificaat op (ise-span).

    Naar navigeren Beheer > Systeem > Certificaten > Certificaatbeheer > Systeemcertificaten > Uitvouwen (ise-span).

    New Admin Certificate (ise-span)Nieuw beheercertificaat (ISE-span)

    Stap 4. Registreer de secundaire knooppunten voor de gedistribueerde implementatie.

    Stel uw implementatiepersona's en rollen in zoals deze voorheen waren (Admin, MNT, PSN, enzovoort).

    1. Van primaire Admin Node (PAN) GUI. Navigeer naar Beheer > Systeem > Implementatie > Klik op Registreren.

    Primary Admin Node (PPAN) GUIPrimaire beheerder, knooppunt (PAN) GUI

    2. Voer de FQDN en referenties van het secundaire knooppunt in (gebruikersnaam/wachtwoord).

    Voer de DNS-oplosbare, volledig gekwalificeerde domeinnaam (FQDN) in van de standalone knooppunt dat u gaat registreren. FQDN (PPAN) en het knooppunt dat wordt geregistreerd, moeten onderling oplosbaar zijn.

    Enter Secondary Node AccessToegang tot secundair knooppunt

    3. Schakel de juiste persoon en diensten in.

    Register Secondary Node (ise-span)Secundair knooppunt registreren (ISE-span)

    Stap 5. Controleer de implementatiestatus.

    Ga naar Beheer > Systeem > Implementatie.

    (ise-span) Added to the Deployment(ise-span) toegevoegd aan de implementatie

    Problemen oplossen

    Use Case 1: Gederegistreerd secundair knooppunt gekoppeld aan gedistribueerde status (ise-psn1)

    De status valideren

    Stap 1. Bevestig de status van de gedistribueerde implementatie.

    Van primaire Admin Node (PAN) GUI. Navigeer naar Beheer > Systeem > Implementatie. U kunt controleren of dit knooppunt (ise-psn1) al uit het register is verwijderd.

    (PPAN) Deployment Nodes(PAN) implementatieknooppunten

    Stap 2. Bevestig de status van het (ise-psn1) knooppunt.

    Blader door het secundaire knooppunt via GUI (https://ise-psn1.kdlab.local) en navigeer Login > Info over ISE en server.

    Secondary Node (ise-psn1) Stuck on Distributed Deployment StatusSecundair knooppunt (ise-psn1) gekoppeld aan gedistribueerde implementatiestatus

    Tijdelijke oplossing

    Stap 1. Registreer handmatig het knooppunt (ise-psn1).

    Versterk de standalone implementatie van het (ise-psn1) knooppunt via GUI (https://<ise-psn1 IP>/implementation-rpc/deregister-node).

    Deregister the Node Manually - GUIRegistreer het knooppunt handmatig - GUI

    Stap 2. Controleer de (ise-psn1) nu op standalone implementatie.

    (ise-psn1) on Standalone Deployment(ise-psn1) op standalone implementatie

    Stap 3. Zodra u het knooppunt over de status van de standalone kunt bevestigen, gaat u verder met dezelfde stappen in de sectie Actieplan:

    1. Verleng beheercertificaat van het knooppunt (ise-psn1).
    2. Registreer het knooppunt (ise-psn1) naar de gedistribueerde implementatie.
    3. Controleer de implementatiestatus.

    (ise-psn1) Added to the Deployment(ise-psn1) Toegevoegd aan de implementatie

    Use Case 2: Gederegistreerd secundair knooppunt GUI onbereikbaar (ise-psn2)

    De status valideren

    Stap 1. Bevestig de status van de gedistribueerde implementatie.

    Van primaire Admin Node (PAN) GUI. Navigeer naar Beheer > Systeem > Implementatie. U kunt controleren of dit knooppunt (ise-psn2) al uit het register is verwijderd.

    (PPAN) Deployment Nodes(PAN) implementatieknooppunten

    Stap 2. Bevestig de (Sise-psn2).

    Vanwege het admin certificaat is in sommige gevallen verlopen kunt u deze symptomen:

    • (ise-psn2) GUI onbereikbaar.
    • (ise-psn2) CLI (toon de status van de toepassing) ISE-applicatie is ingeschakeld (initialiseren of niet actief).
    • (ise-psn2) CLI (show tech) het knooppunt bevindt zich al op een standalone implementatie.

    (ise-psn2) on Standalone Deployment(ise-psn2) op standalone implementatie

    Tijdelijke oplossing

    Stap 1. Verleng het beheercertificaat van het knooppunt (ISE-pst2).

    1. Login bij (ise-psn2) via CLI.
    2. Voer applicatie configuratie ise in.
    3. Voer 31 in ([31] Generate Self-Signed Admin Certificate).
    4. Wilt u doorgaan? y/[n]: y
    5. Wilt u het bestaande certificaat na generatie vervangen? y/[n]: y

    Renew (ise-psn1) Admin CertificateAdmin-certificaat (ISE-pensn1) verlengen

    6. Controleer het nieuwe beheercertificaat op (ise-psn2).

    New Admin Certificate (ise-psn2)Nieuw Admin-certificaat (ISE-psn2)

    Stap 2. Registreer het knooppunt (ise-psn2) naar de gedistribueerde implementatie.

    Stap 3. Controleer de implementatiestatus.

    The Deployment in Sync Again!De implementatie in Sync opnieuw!

    Referenties

    relevant

    Revisiegeschiedenis

    Revisie Publicatiedatum Opmerkingen
    2.0
    29-Jan-2025
    Eerste vrijgave
    1.0
    27-Jan-2025
    Eerste vrijgave
    TAC Authored

    Bijgedragen door Cisco-engineers

    • Khaled Douma
      Technisch adviseur-engineer

    Was dit document nuttig?

    FeedbackFeedback

    Contact Cisco

    Dit document is van toepassing op deze producten