Problemas de integração do Prime Infrastructure 3.5+ devido ao certificado TOFU

Opções de download

  • PDF     (372.5 KB)
    Ver no Adobe Reader em vários dispositivos
Atualizado:18 de março de 2020
ID do documento:215335

Linguagem imparcial

O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.

Sobre esta tradução

A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.

    Introdução

    Este documento descreve o problema de integração que ocorre devido à incompatibilidade de certificado de Confiança na Primeira Utilização (TOFU) após a geração de uma nova Solicitação de Assinatura de Certificado (CSR) no Cisco Prime Infrastructure (primário/secundário), como solucionar o problema e resolvê-lo.

    Pré-requisitos

    Requisitos

    A Cisco recomenda que você tenha conhecimento destes tópicos:

    • Infraestrutura Cisco Prime
    • Alta Disponibilidade

    Componentes Utilizados

    As informações neste documento são baseadas no Cisco Prime Infrastructure versão 3.5 e superior.

    As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a rede estiver ativa, certifique-se de que você entenda o impacto potencial de qualquer comando.

    Informações de Apoio

    Estes são os documentos de referência que fornecem informações sobre alta disponibilidade e geração de certificado no Cisco Prime Infrastructure.

    Guia de alta disponibilidade: https://www.cisco.com/c/en/us/td/docs/net_mgmt/prime/infrastructure/3-6/admin/guide/bk_CiscoPrimeInfrastructure_3_6_AdminGuide/bk_CiscoPrimeInfrastructure_3_6_AdminGuide_chapter_01011.html

    Guia do administrador: https://www.cisco.com/c/en/us/td/docs/net_mgmt/prime/infrastructure/3-6/admin/guide/bk_CiscoPrimeInfrastructure_3_6_AdminGuide/bk_CiscoPrimeInfrastructure_3_6_AdminGuide_chapter_0100.html

    Problema

    TOFU - O certificado recebido do host remoto é confiável quando a conexão é feita pela primeira vez.

    O certificado TOFU na infraestrutura principal ou o host remoto ao qual o prime está conectado pode mudar se um novo certificado for gerado ou se o servidor for implantado novamente no host da VM.

    Gerar e importar um novo CSR no servidor de infraestrutura principal (primário/secundário) envia as novas informações do certificado TOFU para servidores remotos quando a conectividade é reiniciada após o reinício do serviço.

    Se o host remoto enviar um certificado diferente para qualquer conexão subsequente após a primeira, a conexão será rejeitada.

    O host remoto poderia ser (servidor primário ou secundário na implantação de HA, servidor de Integrated Service Engine (ISE)) onde o TOFU antigo ainda está presente.

    Isso causa falha no registro entre os servidores primário e secundário, Prime e ISE.

    A seção de solução de problemas descreve as mensagens de erro que podem ser encontradas nos logs do monitor de integridade nesses cenários.

    Troubleshooting

    No log do monitor de integridade primário, essas mensagens de erro que apontam para a incompatibilidade no certificado secundário podem ser encontradas.

    [system] [HealthMonitorThread] TOFU failed. 
    Check local trust Trust-on-first-use is configure for this connection. 
    Current certificate of the remote host is different from what was used earlier 
    - CN=prime-sec, OU=Prime Infra, O=Cisco Systems, L=SJ, ST=CA, C=US 
    javax.net.ssl.SSLHandshakeException: java.security.cert.CertificateException: 
    Trust-on-first-use is configure for this connection. 
    Current certificate of the remote host is different from what was used earlier 
    - CN=prime-sec

    Essas mensagens de erro podem ser encontradas nos logs de infraestrutura primária que apontam a incompatibilidade no certificado do servidor ISE.

    [system] [seqtaskexecutor-3069] TOFU failed. 
    Check local trust Trust-on-first-use is configure for this connection. 
    Current certificate of the remote host is different from what was used earlier 
    - CN=ISE-server
    javax.net.ssl.SSLHandshakeException: java.security.cert.
    CertificateException: Trust-on-first-use is configure for this connection. 
    Current certificate of the remote host is different from what was used earlier 
    - CN=ISE-server

    No log do monitor de integridade secundário, essas mensagens de erro que apontam para a incompatibilidade no certificado primário podem ser encontradas.

    [system] [HealthMonitorThread] TOFU failed. 
    Check local trust Trust-on-first-use is configure for this connection. 
    Current certificate of the remote host is different from what was used earlier 
    - CN=prime-pri, OU=Prime Infra, O=Cisco Systems, L=SJ, ST=CA, C=US 

    javax.net.ssl.SSLHandshakeException: java.security.cert.CertificateException: 
    Trust-on-first-use is configure for this connection. 
    Current certificate of the remote host is different from what was used earlier 
    - CN=prime-pri

    Solução

    Os certificados TOFU atuais no prime precisam ser listados, a partir do qual a entrada de certificado antiga para o host remoto correspondente deve ser identificada e removida antes que você tente a integração do prime novamente.

    Configuração

    Exibir Lista de Validação de Certificado

    O comando ncs certvalidation tofu-certs listcerts pode ser usado para exibir a lista de validação de certificado.

    Esta saída é do servidor primário do Cisco Prime Infrastructure [IP=1XX.XX.XX.XX]:

    prime-pri/admin# ncs certvalidation tofu-certs listcerts

    Host certificate are automatically added to this list on first connection, 
    if trust-on-first-use is configured - ncs certvalidation certificate-check ...

    host=1X.XX.XX.XX_8082;  subject= /C=US/ST=CA/L=SJ/O=Cisco Systems/OU=Prime Infra/CN=prime-pri
    host=1Z.ZZ.ZZ.ZZ_443;  subject= /C=US/ST=CA/L=SJ/O=Cisco Systems/OU=Prime Infra/CN=ISE-server
    host=1YY.YY.YY.YY_8082;  subject= /C=US/ST=CA/L=SJ/O=Cisco Systems/OU=Prime Infra/CN=prime-sec

    prime-pri/admin#

    Esta saída é do servidor secundário do Cisco Prime Infrastructure [IP=1YY.YY.YY.YY]

    prime-sec/admin# ncs certvalidation tofu-certs listcerts

    Host certificate are automatically added to this list on first connection, 
    if trust-on-first-use is configured - ncs certvalidation certificate-check ...

    host=1YY.YY.YY.YY_8082;  subject= /C=US/ST=CA/L=SJ/O=Cisco Systems/OU=Prime Infra/CN=prime-sec
    host=127.0.0.1_8082;  subject= /C=US/ST=CA/L=SJ/O=Cisco Systems/OU=Prime Infra/CN=prime-sec
    host=1X.XX.XX.XX_8082; subject= /C=US/ST=CA/L=SJ/O=Cisco Systems/OU=Prime Infra/CN=prime-pri

    prime-sec/admin#

    Excluir certificado

    Use o comando ncs certvalidation tofu-certs deletecert host <host> para excluir para validação de certificado.

    No servidor primário, verifique e exclua as entradas antigas de certificados TOFU do ISE e do servidor secundário, respectivamente.

    • ncs certvalidation tofu-certs deletecert host 1YY.YY.YY.YY_8082
    • ncs certvalidation tofu-certs deletecert host 1Z.ZZ.ZZ.ZZ_443

    No servidor secundário, verifique e exclua as entradas antigas do certificado tofu do servidor primário com o uso do comando ncs certvalidation tofu-certs deletecert host 1X.XX.XX.XX_8082.

    Reinicializar o HA do primário para o secundário

    Etapa 1. Efetue login no Cisco Prime Infrastructure com uma ID de usuário e senha com privilégios de administrador.

    Etapa 2. No menu, navegue até Administration > Settings > High Availability. O Cisco Prime Infrastructure exibe a página de status HA. 

    Etapa 3. Selecione Configuração HA e preencha os campos da seguinte maneira:

    1. Servidor secundário: Insira o endereço IP ou o nome de host do servidor secundário.
    2. Chave de autenticação: Digite a senha da chave de autenticação que você definiu durante a instalação do servidor secundário.
    3. Endereço de email: Insira o endereço (ou lista de endereços separados por vírgula) para o qual a notificação sobre alterações de estado de alta disponibilidade deve ser enviada por e-mail. Se você já tiver configurado notificações por e-mail usando a página Configuração do servidor de e-mail (consulte "Definir configurações do servidor de e-mail"), os endereços de e-mail que você digitar aqui serão acrescentados à lista de endereços já configurados para o servidor de e-mail.
    4. Tipo de failover: Selecione Manual ou Automático. É recomendável selecionar Manual.

    É recomendável usar o servidor DNS para resolver o nome do host para um endereço IP. Se você usar o arquivo /etc/hosts em vez do servidor DNS, insira o endereço IP secundário em vez do nome do host.

    Etapa 4. Se você usar o recurso de IP virtual, marque a caixa de seleção Enable Virtual IP e preencha os campos adicionais da seguinte maneira:

    1. IP virtual IPV4: Insira o endereço IPv4 virtual que deseja que os dois servidores HA usem.
    2. IP virtual IPV6: (Opcional) Insira o endereço IPv6 que deseja que os dois servidores HA usem.

    O endereçamento IP virtual não funcionará a menos que os dois servidores estejam na mesma sub-rede. Você não deve usar o bloco de endereço IPV6 fe80, ele foi reservado para o endereçamento unicast de link local.

    Etapa 5. Clique em Verificar Preparação para garantir que os parâmetros ambientais relacionados ao HA estejam prontos para a configuração.

    Etapa 6. Clique em Registrar para exibir a barra de progresso Marco, para verificar a conclusão total do registro pré-HA, da replicação do banco de dados e do registro pós-HA, como mostrado aqui. O Cisco Prime Infrastructure inicia o processo de registro de HA. Quando o registro for concluído com êxito, o Modo de configuração exibirá o valor de Ativo primário.

    Reconfigurar servidores ISE

    Etapa 1. Navegue até Administração > Servidores > Servidores ISE

    Etapa 2. Navegue até Select a command > Add ISE Server e clique em Ir
    Etapa 3. Inserir o endereço IP, o nome de usuário e a senha do servidor ISE

    Etapa 4. Confirmar a senha do servidor ISE.

    Etapa 5. Clique em Salvar.

    Verificar

    O comando ncs certvalidation tofu-certs listcerts pode ser usado para verificar o novo certificado. 

    Informações Relacionadas

    TAC Authored

    Colaborado por engenheiros da Cisco

    • Annangarachari R
      Engenheiro do Cisco TAC

    Este documento lhe foi útil?

    FeedbackFeedback

    Contate a Cisco

    Este documento se refere a estes produtos