Inleiding
Dit document beschrijft hoe u een verlopen Cisco Identity Services Engine (ISE) Admin-certificaat kunt oplossen en verlengen.
Voorwaarden
Vereisten
Cisco raadt u aan deze onderwerpen te kennen:
- Cisco ISE-implementatie.
- Certificaatbeheer in Cisco ISE.
Gebruikte componenten
De informatie in dit document is gebaseerd op deze softwareversie:
- Cisco Identity Services Engine (ISE) versie 3.3 Patch4.
De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.
Achtergrondinformatie
Dit document richt zich op de gedistribueerde inzet; u kunt echter hetzelfde plan voor probleemoplossing gebruiken voor zelfstandige knooppunten.
In ISE gedistribueerde implementaties is het knooppunt ofwel Primair Admin Node (PAN) of secundair.
Dit document gebruikt het ISE Admin-certificaat als een zelfondertekend certificaat om het effect van het verlopen certificaat aan te tonen, maar deze benadering wordt niet aanbevolen voor een productiesysteem. Het is beter om door de overheid ondertekend certificaat te gebruiken voor beheerdersgebruik.
Opmerking: Cisco raadt u aan uw Admin-certificaat in de gezondheidstoestand te houden en de verlenging van te voren te plannen, deze handleiding te vinden om u te helpen de ISE-systeemcertificaten te volgen en te vernieuwen (Certificaat verlengen op ISE configureren).
ISE-beheercertificaat (verlopen)
Status van beheercertificaat valideren
Stap 1. Controleer de implementatiestatus. Navigeer naar Beheer > Systeem > Implementatie.
U kunt de status van de secundaire knooppunten controleren, zoals aangegeven, de drie secundaire knooppunten zijn (niet in sync).
Implementatiestatus
Stap 2. Controleer het alarm. Navigeer naar Dashboard > Alarmen > (certificaat verlopen).
Om te bevestigen welk knooppunt en welk certificaat is verlopen.
Opmerking: Als het Primaire Admin Node (PPAN) is verlopen voordat een secundair knooppunt wordt weergegeven, kunt u geen alarmen van dat knooppunt zien, dat is wat er in dit alarm gebeurde voor het secundaire Admin Node (SPAN).
Alarmen (certificaat verlopen)
Stap 3. Controleer de status van het beheercertificaat. Navigeren naar Beheer > Systeem > Certificaten > Certificaatbeheer > Systeemcertificaten > Knooppunt uitvouwen.
1. Primair beheerknooppunt (PAN):
Status PAN-beheercertificaat
2. Tweede knooppunten.
Voor de secundaire knooppunten kan het 1 van 2 opties zijn en in beide gevallen moet u hetzelfde actieplan toepassen:
A. Kan het certificaat van het knoopsysteem uitbreiden en bevestigen dat het beheercertificaat is verlopen:
Certificaatstatus secundair knooppunt
B. Gooi fout ("Fout bij laden van certificaten. Knooppunt niet bereikbaar op dit moment. Probeer het later opnieuw.") zoals getoond voor (ise-psn2
Secundair knooppunt niet bereikbaar
Actieplan
Nadat u hebt bevestigd dat het beheercertificaat voor alle vier knooppunten is verlopen, moet u de volgende stappen toepassen:
Stap 1. Registreer alle secundaire knooppunten uit de gedistribueerde implementatie (alleen als het beheercertificaat is verlopen).
Navigeer naar Beheer > Systeem > implementatie > Controleer [√] van de secundaire knooppunten en klik op Registreren.
Opmerking: Deregistreren van het knooppunt betekent dat het wordt verplaatst naar standalone dan kunt u het beheercertificaat op dit knooppunt verlengen.
Secundaire knooppunten verwijderen
Opmerking: Vergeet niet om alleen secundaire knooppunten te deregistreren waar het beheercertificaat al is verlopen en de rest te bewaren. In dit document zijn alle secundaire knooppunten verlopen.
Alle secundaire knooppunten zijn gedereguleerd
Stap 2. Verleng het beheercertificaat van het primaire beheerknooppunt (PAN).
- Navigeren naar Beheer > Systeem > Certificaten > Certificaatbeheer > Systeemcertificaten > Klik op +Generate Self Signed Certificate:
Nieuw zelfondertekend beheercertificaat genereren
2. Selecteer het Primaire Admin Node (PPAN) (ISE-pannen) en vul de certificaatinformatie in:
Selecteer het primaire beheerknooppunt (PAN)
3. Controleer [ √ ] het gebruik van de beheerder.
Admin-gebruik
4. Stel de herstarttijd in om nu opnieuw te starten voor het primaire beheerknooppunt (PAN). Stel alle knooppunten op de implementatie in om nu opnieuw te starten of later opnieuw te starten.
Nadat u een beheercertificaat hebt verlengd (een certificaat dat is geconfigureerd voor beheerdersgebruik) op het primaire beheerknooppunt (PAN), moeten alle knooppunten in uw implementatie opnieuw worden gestart.
Stel herstarttijd in op nu
5. Klik op Indienen.
Opmerking: Nadat u een beheercertificaat hebt verlengd (een certificaat dat is geconfigureerd voor beheerdersgebruik) op het primaire beheerknooppunt (PAN) moeten alle knooppunten in uw implementatie opnieuw worden gestart. U kunt elk knooppunt direct opnieuw opstarten of de herstart later plannen. Met deze functie kunt u ervoor zorgen dat geen actieve processen worden verstoord door de automatische herstart, waardoor u meer controle over het proces.
U kunt de geplande herstart bekijken en bewerken in het venster Beheer > Systeem > Certificaten > Admin Certificate Node Herstart, dat beschikbaar is via Cisco ISE-softwarerelease 3.3.
6. Controleer het nieuwe beheercertificaat van het primaire beheerknooppunt (PAN).
Navigeer naar Beheer > Systeem > Certificaten > Certificaatbeheer > Systeemcertificaten > Uitvouwen (ise-ppan).
Nieuw Admin-certificaat (ISE-ppan)
Stap 3. Verleng het beheercertificaat van de secundaire knooppunten.
1. Bevestig het secundaire knooppunt van standalone implementatie na uitschrijving van de gedistribueerde implementatie.
Blader door de knooppunt via GUI (https://<FQDN/IP>) en navigeer naar Beheer > Systeem > implementatie.
(ise-span) bij standalone implementatie
2. Navigeer naar Beheer > Systeem > Certificaten > Certificaatbeheer > Systeemcertificaten > Klik op +Generate Self Signed Certificate.
Nieuw zelfondertekend beheercertificaat genereren
3. Selecteer de (ise-span) en vul de certificaatinformatie in.
Selecteer het knooppunt
4. Controleer [ √ ] het gebruik van de beheerder.
Admin-gebruik
Opmerking: Het wijzigen van het certificaat van de admin rol certificaat op ISE knooppunt herstart services.
5. Klik op Indienen.
6. Controleer het nieuwe beheercertificaat op (ise-span).
Naar navigeren Beheer > Systeem > Certificaten > Certificaatbeheer > Systeemcertificaten > Uitvouwen (ise-span).
Nieuw beheercertificaat (ISE-span)
Stap 4. Registreer de secundaire knooppunten voor de gedistribueerde implementatie.
Stel uw implementatiepersona's en rollen in zoals deze voorheen waren (Admin, MNT, PSN, enzovoort).
1. Van primaire Admin Node (PAN) GUI. Navigeer naar Beheer > Systeem > Implementatie > Klik op Registreren.
Primaire beheerder, knooppunt (PAN) GUI
2. Voer de FQDN en referenties van het secundaire knooppunt in (gebruikersnaam/wachtwoord).
Voer de DNS-oplosbare, volledig gekwalificeerde domeinnaam (FQDN) in van de standalone knooppunt dat u gaat registreren. FQDN (PPAN) en het knooppunt dat wordt geregistreerd, moeten onderling oplosbaar zijn.
Toegang tot secundair knooppunt
3. Schakel de juiste persoon en diensten in.
Secundair knooppunt registreren (ISE-span)
Stap 5. Controleer de implementatiestatus.
Ga naar Beheer > Systeem > Implementatie.
(ise-span) toegevoegd aan de implementatie
Problemen oplossen
Use Case 1: Gederegistreerd secundair knooppunt gekoppeld aan gedistribueerde status (ise-psn1)
De status valideren
Stap 1. Bevestig de status van de gedistribueerde implementatie.
Van primaire Admin Node (PAN) GUI. Navigeer naar Beheer > Systeem > Implementatie. U kunt controleren of dit knooppunt (ise-psn1) al uit het register is verwijderd.
(PAN) implementatieknooppunten
Stap 2. Bevestig de status van het (ise-psn1) knooppunt.
Blader door het secundaire knooppunt via GUI (https://ise-psn1.kdlab.local) en navigeer Login > Info over ISE en server.
Secundair knooppunt (ise-psn1) gekoppeld aan gedistribueerde implementatiestatus
Tijdelijke oplossing
Stap 1. Registreer handmatig het knooppunt (ise-psn1).
Versterk de standalone implementatie van het (ise-psn1) knooppunt via GUI (https://<ise-psn1 IP>/implementation-rpc/deregister-node).
Registreer het knooppunt handmatig - GUI
Stap 2. Controleer de (ise-psn1) nu op standalone implementatie.
(ise-psn1) op standalone implementatie
Stap 3. Zodra u het knooppunt over de status van de standalone kunt bevestigen, gaat u verder met dezelfde stappen in de sectie Actieplan:
- Verleng beheercertificaat van het knooppunt (ise-psn1).
- Registreer het knooppunt (ise-psn1) naar de gedistribueerde implementatie.
- Controleer de implementatiestatus.
(ise-psn1) Toegevoegd aan de implementatie
Use Case 2: Gederegistreerd secundair knooppunt GUI onbereikbaar (ise-psn2)
De status valideren
Stap 1. Bevestig de status van de gedistribueerde implementatie.
Van primaire Admin Node (PAN) GUI. Navigeer naar Beheer > Systeem > Implementatie. U kunt controleren of dit knooppunt (ise-psn2) al uit het register is verwijderd.
(PAN) implementatieknooppunten
Stap 2. Bevestig de (Sise-psn2).
Vanwege het admin certificaat is in sommige gevallen verlopen kunt u deze symptomen:
- (ise-psn2) GUI onbereikbaar.
- (ise-psn2) CLI (toon de status van de toepassing) ISE-applicatie is ingeschakeld (initialiseren of niet actief).
- (ise-psn2) CLI (show tech) het knooppunt bevindt zich al op een standalone implementatie.
(ise-psn2) op standalone implementatie
Tijdelijke oplossing
Stap 1. Verleng het beheercertificaat van het knooppunt (ISE-pst2).
- Login bij (ise-psn2) via CLI.
- Voer applicatie configuratie ise in.
- Voer 31 in ([31] Generate Self-Signed Admin Certificate).
- Wilt u doorgaan? y/[n]: y
- Wilt u het bestaande certificaat na generatie vervangen? y/[n]: y
Admin-certificaat (ISE-pensn1) verlengen
6. Controleer het nieuwe beheercertificaat op (ise-psn2).
Nieuw Admin-certificaat (ISE-psn2)
Stap 2. Registreer het knooppunt (ise-psn2) naar de gedistribueerde implementatie.
Stap 3. Controleer de implementatiestatus.
De implementatie in Sync opnieuw!
Referenties
relevant