Integrar o ISE 3.3 ao Stealthwatch 7.5.1 usando CA externa
Contents
Introdução
Este documento descreve procedimentos para integrar o ISE 3.3 com o Secure Network Analytics (Stealthwatch) usando conexões pxGrid.
Pré-requisitos
A Cisco recomenda conhecimento sobre estes tópicos:
- Identity Services Engine
- Platform Exchange Grid (pxGrid)
- Análise de rede segura(Stealthwatch)
- Certificados TLS/SSL.
- PKI no Windows Server 2016
Componentes Utilizados
As informações neste documento são baseadas nestas versões de software e hardware:
- Patch 4 do Identity Services Engine (ISE) versão 3.3
- Análise de rede segura (Stealthwatch) 7.5.1
- O Windows Server 2016 como um servidor externo de Autoridade de Certificação (CA).
As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a rede estiver ativa, certifique-se de que você entenda o impacto potencial de qualquer comando.
Configurar
Seção A: Configuração do certificado Secure Network Analytics (Stealthwatch)
Parte I - Gerar um CSR para o certificado do Secure Network Analytics pxGrid Client
1. Faça login no Stealthwatch Management Console (SMC).
2. No menu principal, selecione Configure > Global > Central Management.
3. Na página Inventário, clique no ícone (Elipse) do Gerenciador que você deseja conectar ao ISE.
4. Escolha Edit Appliance Configuration.
5. Navegue até a seção Identidades adicionais de clientes SSL/TLS na guia Appliance.
6. Clique em Adicionar Novo.
7. Você precisa gerar uma CSR (Certificate Signing Request, Solicitação de Assinatura de Certificado)? Escolha Sim. Clique em Next.
8. Selecione um Comprimento de Chave RSA e preencha o restante dos campos na seção Gerar um CSR.
9. Clique em Gerar CSR. O processo de geração pode levar vários minutos.
10. Clique em Download CSR e Salvar o arquivo CSR localmente.
Parte II - Criação de um certificado de cliente pxGrid Secure Network Analytics usando uma CA externa
1. Navegue até MS Ative Diretory Certificate Service, https://server/certsrv/, onde o servidor é IP ou DNS do seu MS Server.
2. Clique em Solicitar um certificado.
3. Escolha submeter uma solicitação avançada de certificado.
4. Copie o conteúdo do arquivo CSR gerado na seção anterior para o campo Solicitação salva.
5. Selecione pxGrid como o Modelo de Certificado e clique em Enviar.
Note: O modelo de certificado pxGrid usado precisa da autenticação do cliente e da autenticação do servidor no campo "Uso avançado de chave".
6. Baixe um certificado gerado no formato Base-64 e Salve-o como pxGrid_client.cer.
PARTE III - Adicionando o certificado pxGrid Client do Secure Network Analytics ao gerenciador
1.Navegue até a seção Identidades Adicionais de Cliente SSL/TLS da Configuração do Gerenciador em Gerenciamento Central.
2. A seção Identidades Adicionais de Cliente SSL/TLS contém um formulário para importar o certificado de cliente criado.
3. Dê ao certificado um nome amigável e clique em Selecionar Arquivo para localizar o arquivo do certificado.
- Selecione o arquivo raiz ou de CA do emissor .cer ou o arquivo da cadeia de certificados (.pem / .cer / .crt ) na seção Arquivo do certificado da cadeia.
5. Clique em Adicionar Identidade do Cliente para adicionar o certificado ao sistema.
6. Clique em Aplicar Configurações para salvar as alterações.
PARTE IV - Importar o certificado raiz de CA para o armazenamento confiável do gerenciador
1. Navegue até a página inicial do MS Ative Diretory Certificate Service e selecione Baixar um certificado CA, uma cadeia de certificados ou uma CRL.
2. Selecione o formato Base-64 e clique em Download do certificado CA.
3. Salve o certificado como CA_Root.cer.
4. Faça login no Stealthwatch Management Console (SMC).
5. No menu principal, selecione Configure > Global > Central Management.
6. Na página Inventário, clique no ícone (reticências) do Gerente.
7. Escolha Editar configuração do dispositivo.
8. Selecione a guia Geral.
9. Navegue até a seção Trust Store e importe o certificado CA_Root.cer exportado anteriormente.
10. Clique em Adicionar Novo.
11. Dê um nome amigável ao certificado e clique em Selecionar arquivo... para selecionar o certificado de autoridade de certificação ISE exportado anteriormente.
12. Clique em Adicionar Certificado para salvar as alterações.
13. Clique em Aplicar Configurações para salvar as alterações.
Seção B: Configuração do certificado do Cisco Identity Services Engine 3.3
PARTE I - Geração de um certificado PxGrid do servidor ISE
Gere um CSR para um certificado pxGrid de servidor ISE:
1. Faça login na GUI do Cisco Identity Services Engine (ISE).
2. Navegue até Administração > Sistema > Certificados > Gerenciamento de Certificados >Solicitações de Assinatura de Certificado.
3. Selecione Gerar CSR (Certificate Signing Request).
4. Selecione pxGrid no campo Certificado(s) usado para.
5. Selecione o nó ISE para o qual o certificado é gerado.
6. Preencher outros detalhes dos certificados, conforme necessário.
7. Clique em Gerar.
8. Clique em Exportar e Salvar o arquivo localmente.
PARTE II - Criação de um certificado pxGrid de servidor ISE usando uma CA externa
1. Navegue até o MS Ative Diretory Certificate Service, https://server/certsrv/, onde o servidor é IP ou DNS do seu MS Server.
2. Clique em Solicitar um certificado.
3. Escolha submeter uma solicitação avançada de certificado.
4. Copie o conteúdo do CSR gerado na seção anterior para o campo Solicitação salva.
5. Selecione pxGrid como o Modelo de certificado e clique em Enviar.
Note: O modelo de certificado pxGrid usado precisa da autenticação do cliente e da autenticação do servidor no campo "Uso avançado de chave".
6. Baixe o certificado gerado no formato Base-64 e Salve-o como ISE_pxGrid.cer.
PARTE III - Importar o certificado raiz de CA para o armazenamento confiável do ISE
1. Navegue até a home page do MS Ative Diretory Certificate Service e selecione Download de um certificado CA, cadeia de certificados ou CRL.
2. Selecione o formato Base-64 e clique em Download do certificado CA.
3. Salve o certificado como CA_Root.cer.
4. Faça login na GUI do Cisco Identity Services Engine (ISE).
5. Selecione Administração > Sistema > Certificados > Gerenciamento de Certificados > Certificados de Confiabilidade.
6. Selecione Importar > Arquivo de certificado e Importar o certificado raiz.
7. Verifique se a caixa de seleção Confiar para autenticação no ISE está marcada.
8. Clique em Submeter.
PARTE IV - Vincular o certificado ISE ao CSR (Certificate Signing Request, Solicitação de assinatura de certificado)
1. Faça login na GUI do Cisco Identity Services Engine (ISE).
2. Selecione Administração > Sistema > Certificados > Gerenciamento de Certificado > Solicitações de Assinatura de Certificado.
3. Selecione o CSR gerado na seção anterior e clique em Vincular Certificado.
4. No formulário Vincular certificado assinado pela CA, escolha o certificado ISE_pxGrid.cer gerado anteriormente.
5. Dê um nome amigável ao certificado e clique em Submeter.
7. Clique em Sim se o sistema solicitar a substituição do certificado.
8. Selecione Administração > Sistema > Certificados > Certificados do Sistema.
9. Você pode ver na lista o certificado pxGrid assinado pela CA externa.
Os certificados foram implantados. Prossiga para a integração.
Integrar
Antes de prosseguir com a integração, verifique se:
Para o Cisco ISE em Administration > pxGrid Services > Settings e Check Aprove automaticamente novas contas baseadas em certificado para solicitação do cliente para aprovação automática e Save.
No Stealthwatch Management Console (SMC), para abrir a página de configuração do ISE:
1. Selecione Configure > Integrations > Cisco ISE.
2. No canto superior direito da página, clique em Adicionar nova configuração.
3. Insira o Nome do cluster, selecione o certificado & Produto de integração, nó pxGrid IP e clique em Salvar.
Verificar
Atualize a página de configuração do ISE no Stealthwatch Management Console (SMC).
1. Retorne à página Configuração do ISE no Web App e atualize a página.
2. Confirme se o indicador de status do nó, localizado ao lado do campo Endereço IP aplicável, está em Verde, indicando que foi estabelecida uma conexão com o cluster ISE ou ISE-PIC.
No Cisco ISE, navegue até Administração >pxGrid Services > Gerenciamento de cliente > Clientes.
Isso gera o SMC como um cliente pxgrid com o status Enabled.
Para verificar a inscrição de tópico no Cisco ISE, navegue para Administração >serviços pxGrid > Diagnóstico > Websocket > Tópicos
Isso produz um SMC inscrito nesses tópicos.
Tópico SGT Trustsec
Tópico do diretório de sessões do ISE
Tópico de Ligações ISE SXP
Cisco ISE Pxgrid-server.log no nível TRACE.
2025-02-08 18:07:11,086 TRACE [pxgrid-http-pool15][[]] cpm.pxgridwebapp.ws.pubsub.SubscriptionDistributor -::::::16d51630eee14e99b25c0fb4988db515:- Drop. exclude=[id=6,client=~ise-fanout-avasteise271,server=wss://avasteise271.avaste.local:8910/pxgrid/ise/pubsub]
2025-02-08 18:07:11,087 TRACE [pxgrid-http-pool22][[]] cpm.pxgridwebapp.ws.pubsub.StompPubsubEndpoint -:::::::- Received frame=[command=CONNECT,headers=[accept-version=1.1,1.2, heart-beat=0,0]], content=null
2025-02-08 18:07:11,102 TRACE [pxgrid-http-pool19][[]] cpm.pxgridwebapp.ws.pubsub.StompPubsubEndpoint -:::::::- Received frame=[command=SUBSCRIBE,headers=[destination=/topic/com.cisco.ise.config.trustsec.security.group, id=0]], content=null
2025-02-08 18:07:11,110 DEBUG [pxgrid-http-pool22][[]] cisco.cpm.pxgridwebapp.config.MyX509Filter -:::::::- Authenticating null
2025-02-08 18:07:11,111 DEBUG [pxgrid-http-pool22][[]] cisco.cpm.pxgridwebapp.config.MyX509Filter -:::::::- Certs up to date. user=~ise-pubsub-avasteise271
2025-02-08 18:07:11,111 DEBUG [pxgrid-http-pool22][[]] cisco.cpm.pxgridwebapp.config.MyX509Filter -:::::::- preAuthenticatedPrincipal = ~ise-pubsub-avasteise271, trying to authenticate
2025-02-08 18:07:11,111 DEBUG [pxgrid-http-pool22][[]] cisco.cpm.pxgridwebapp.config.MyX509Filter -:::::::- X.509 client authentication certificate subject:CN=avasteise271.avaste.local, OU=AAA, O=Ciscco, L=Bangalore, ST=KA, C=IN, issuer:CN=Avaste-ISE, DC=avaste, DC=local
2025-02-08 18:07:11,111 DEBUG [pxgrid-http-pool22][[]] cisco.cpm.pxgridwebapp.config.MyX509Filter -:::::::- Authentication success: PreAuthenticatedAuthenticationToken [Principal=org.springframework.security.core.userdetails.User [Username=~ise-pubsub-avasteise271, Password=[PROTECTED], Enabled=true, AccountNonExpired=true, credentialsNonExpired=true, AccountNonLocked=true, Granted Authorities=[ROLE_USER]], Credentials=[PROTECTED], Authenticated=true, Details=WebAuthenticationDetails [RemoteIpAddress=10.127.197.128, SessionId=null], Granted Authorities=[ROLE_USER]]
2025-02-08 18:07:11,112 DEBUG [pxgrid-http-pool22][[]] cisco.cpm.pxgridwebapp.data.AuthzDaoImpl -:::::::- requestNodeName=SMC serviceName=com.cisco.ise.pubsub operation=subscribe /topic/com.cisco.ise.config.trustsec.security.group
2025-02-08 18:07:11,321 DEBUG [pxgrid-http-pool19][[]] cpm.pxgridwebapp.ws.pubsub.SubscriptionDistributor -:::::::- Adding subscription=[id=0,topic=/topic/com.cisco.ise.config.trustsec.security.group,filter=]
2025-02-08 18:07:11,322 DEBUG [pxgrid-http-pool20][[]] cisco.cpm.pxgridwebapp.config.AuthzEvaluator -:::::::- Permitted user=SMC service=com.cisco.ise.config.trustsec operation=gets
2025-02-08 18:07:11,322 INFO [pxgrid-http-pool19][[]] cpm.pxgridwebapp.ws.pubsub.StompPubsubEndpoint -:::::::- Pubsub subscribe. subscription=[id=0,topic=/topic/com.cisco.ise.config.trustsec.security.group,filter=] session=[id=8,client=SMC,server=wss://avasteise271.avaste.local:8910/pxgrid/ise/pubsub]
2025-02-08 18:07:11,323 TRACE [pxgrid-http-pool19][[]] cpm.pxgridwebapp.ws.pubsub.StompPubsubEndpoint -:::::::- Received frame=[command=SUBSCRIBE,headers=[destination=/topic/com.cisco.ise.session, id=1]], content=null
2025-02-08 18:07:11,323 TRACE [WsIseClientConnection-1010][[]] cpm.pxgrid.ws.client.WsEndpoint -::::::0a3f23311137425aa726884769e2629c:- Send. session=[id=e7b912e0-ef20-405f-a4ae-a973712d2ac5,client=~ise-admin-avasteise271,server=wss://avasteise271.avaste.local:8910/pxgrid/ise/pubsub] frame=[command=SEND,headers=[content-length=438, trace-id=0a3f23311137425aa726884769e2629c, destination=/topic/com.cisco.ise.pxgrid.admin.log],content-len=438] content={"timestamp":1739018231322,"level":"INFO","type":"PUBSUB_SERVER_SUBSCRIBE","host":"avasteise271","client":"SMC","server":"wss://avasteise271.avaste.local:8910/pxgrid/ise/pubsub","message":"Pubsub subscribe. subscription\u003d[id\u003d0,topic\u003d/topic/com.cisco.ise.config.trustsec.security.group,filter\u003d\u003cnull\u003e] session\u003d[id\u003d8,client\u003dSMC,server\u003dwss://avasteise271.avaste.local:8910/pxgrid/ise/pubsub]"}
2025-02-08 18:07:11,323 TRACE [pxgrid-http-pool22][[]] cpm.pxgridwebapp.ws.pubsub.StompPubsubEndpoint -::::::0a3f23311137425aa726884769e2629c:- Received frame=[command=SEND,headers=[content-length=438, trace-id=0a3f23311137425aa726884769e2629c, destination=/topic/com.cisco.ise.pxgrid.admin.log],content-len=438], content={"timestamp":1739018231322,"level":"INFO","type":"PUBSUB_SERVER_SUBSCRIBE","host":"avasteise271","client":"SMC","server":"wss://avasteise271.avaste.local:8910/pxgrid/ise/pubsub","message":"Pubsub subscribe. subscription\u003d[id\u003d0,topic\u003d/topic/com.cisco.ise.config.trustsec.security.group,filter\u003d\u003cnull\u003e] session\u003d[id\u003d8,client\u003dSMC,server\u003dwss://avasteise271.avaste.local:8910/pxgrid/ise/pubsub]"}
2025-02-08 18:07:11,323 TRACE [pxgrid-http-pool22][[]] cpm.pxgridwebapp.ws.pubsub.StompPubsubEndpoint -::::::0a3f23311137425aa726884769e2629c:- Set last activity time for session=[id=7,client=~ise-admin-avasteise271,server=wss://avasteise271.avaste.local:8910/pxgrid/ise/pubsub] from StompPubsubEndpoint, last activity time set to 1739018231323
2025-02-08 18:07:11,324 TRACE [pxgrid-http-pool22][[]] cpm.pxgridwebapp.ws.pubsub.StompPubsubEndpoint -::::::0a3f23311137425aa726884769e2629c:- Authorized to send (cached). session=[id=7,client=~ise-admin-avasteise271,server=wss://avasteise271.avaste.local:8910/pxgrid/ise/pubsub] topic=/topic/com.cisco.ise.pxgrid.admin.log
2025-02-08 18:07:11,324 TRACE [pxgrid-http-pool22][[]] cpm.pxgridwebapp.ws.pubsub.SubscriptionDistributor -::::::0a3f23311137425aa726884769e2629c:- Distribute from=[id=7,client=~ise-admin-avasteise271,server=wss://avasteise271.avaste.local:8910/pxgrid/ise/pubsub] topic=/topic/com.cisco.ise.pxgrid.admin.log content={"timestamp":1739018231322,"level":"INFO","type":"PUBSUB_SERVER_SUBSCRIBE","host":"avasteise271","client":"SMC","server":"wss://avasteise271.avaste.local:8910/pxgrid/ise/pubsub","message":"Pubsub subscribe. subscription\u003d[id\u003d0,topic\u003d/topic/com.cisco.ise.config.trustsec.security.group,filter\u003d\u003cnull\u003e] session\u003d[id\u003d8,client\u003dSMC,server\u003dwss://avasteise271.avaste.local:8910/pxgrid/ise/pubsub]"}
2025-02-08 18:07:11,324 TRACE [pxgrid-http-pool22][[]] cpm.pxgridwebapp.ws.pubsub.SubscriptionDistributor -::::::0a3f23311137425aa726884769e2629c:- Distribute distributed. subscription=[id=0,topic=/topic/com.cisco.ise.pxgrid.admin.log,filter=]
2025-02-08 18:07:11,324 TRACE [pxgrid-http-pool22][[]] cpm.pxgridwebapp.ws.pubsub.SubscriptionDistributor -::::::0a3f23311137425aa726884769e2629c:- Set last activity time for session=[id=7,client=~ise-admin-avasteise271,server=wss://avasteise271.avaste.local:8910/pxgrid/ise/pubsub] from SubscriptionDistributor, last acitivity time set to 1739018231324
2025-02-08 18:07:11,324 TRACE [pxgrid-http-pool22][[]] cpm.pxgridwebapp.ws.pubsub.SubscriptionDistributor -::::::0a3f23311137425aa726884769e2629c:- Distribute distributed. subscription=[id=2,topic=/topic/wildcard,filter=]
2025-02-08 18:07:11,324 TRACE [pxgrid-http-pool22][[]] cpm.pxgridwebapp.ws.pubsub.SubscriptionDistributor -::::::0a3f23311137425aa726884769e2629c:- Set last activity time for session=[id=0,client=~ise-fanout-avasteise271,server=wss://localhost:8910/pxgrid/ise/pubsub] from SubscriptionDistributor, last acitivity time set to 1739018231324
2025-02-08 18:07:11,324 TRACE [sub-sender-0][[]] cpm.pxgridwebapp.ws.pubsub.SubscriptionSender -::::::0a3f23311137425aa726884769e2629c:- Send. subscription=[id=2,topic=/topic/wildcard,filter=] from=[id=7,client=~ise-admin-avasteise271,server=wss://avasteise271.avaste.local:8910/pxgrid/ise/pubsub] to=[id=0,client=~ise-fanout-avasteise271,server=wss://localhost:8910/pxgrid/ise/pubsub] message=[command=MESSAGE,headers=[content-length=438, trace-id=0a3f23311137425aa726884769e2629c, destination=/topic/com.cisco.ise.pxgrid.admin.log, message-id=161972],content-len=438]
2025-02-08 18:07:11,324 TRACE [sub-sender-0][[]] cpm.pxgridwebapp.ws.pubsub.SubscriptionSender -::::::0a3f23311137425aa726884769e2629c:- Complete stompframe published : {"timestamp":1739018231322,"level":"INFO","type":"PUBSUB_SERVER_SUBSCRIBE","host":"avasteise271","client":"SMC","server":"wss://avasteise271.avaste.local:8910/pxgrid/ise/pubsub","message":"Pubsub subscribe. subscription\u003d[id\u003d0,topic\u003d/topic/com.cisco.ise.config.trustsec.security.group,filter\u003d\u003cnull\u003e] session\u003d[id\u003d8,client\u003dSMC,server\u003dwss://avasteise271.avaste.local:8910/pxgrid/ise/pubsub]"} Troubleshooting
Problema de resolução de DNS
Isso produz uma mensagem de erro como "Connection Status; Falha na conexão com o serviço. Endereço de rede do serviço: https:isehostnameme.domain.com:891pxgridiisessxpxp não pode ser resolvido":
Solução
O ideal é que isso seja corrigido no servidor DNS para pesquisas de encaminhamento e reversão desse FQDN do ISE. Mas uma solução temporária pode ser adicionada para resolução local:
1. Faça login no Stealthwatch Management Console (SMC).
2. No menu principal, selecione Configure > Global > Central Management.
3. Na página Inventário, clique no ícone (Elipse) do Gerente.
4. Escolha Edit Appliance Configuration.
5. Guia Serviços de Rede e adicione uma entrada de resolução local para este FQDN do ISE.
Erro desconhecido da autoridade de certificação ou certificado confiável ausente
Isso produz uma mensagem de erro, pois "o ISE está apresentando um certificado que não é confiável para este Gerenciador":
Uma referência de log semelhante pode ser vista no arquivo OSMCMsvcvisese-client.log. Caminho: catlancopepe/var/logs/containesvcvisese-client.log
snasmc1 docker/svc-ise-client[1453]: java.util.concurrent.ExecutionException: javax.net.ssl.SSLException: org.bouncycastle.tls.TlsFatalAlert: certificate_unknown(46)
snasmc1 docker/svc-ise-client[1453]: at java.base/java.util.concurrent.CompletableFuture.reportGet(CompletableFuture.java:395)
snasmc1 docker/svc-ise-client[1453]: at java.base/java.util.concurrent.CompletableFuture.get(CompletableFuture.java:2022)
snasmc1 docker/svc-ise-client[1453]: at org.springframework.web.socket.client.jetty.JettyWebSocketClient.lambda$doHandshakeInternal$0(JettyWebSocketClient.java:186)
snasmc1 docker/svc-ise-client[1453]: at java.base/java.util.concurrent.FutureTask.run(FutureTask.java:264)
snasmc1 docker/svc-ise-client[1453]: at java.base/java.lang.Thread.run(Thread.java:829)
snasmc1 docker/svc-ise-client[1453]: Caused by: javax.net.ssl.SSLException: org.bouncycastle.tls.TlsFatalAlert: certificate_unknown(46)
snasmc1 docker/svc-ise-client[1453]: at org.bouncycastle.jsse.provider.ProvSSLEngine.unwrap(ProvSSLEngine.java:505)
snasmc1 docker/svc-ise-client[1453]: at java.base/javax.net.ssl.SSLEngine.unwrap(SSLEngine.java:637)
snasmc1 docker/svc-ise-client[1453]: at org.eclipse.jetty.io.ssl.SslConnection.unwrap(SslConnection.java:398)
snasmc1 docker/svc-ise-client[1453]: at org.eclipse.jetty.io.ssl.SslConnection$DecryptedEndPoint.fill(SslConnection.java:721)
snasmc1 docker/svc-ise-client[1453]: at org.eclipse.jetty.client.http.HttpReceiverOverHTTP.process(HttpReceiverOverHTTP.java:180)
snasmc1 docker/svc-ise-client[1453]: at org.eclipse.jetty.client.http.HttpReceiverOverHTTP.receive(HttpReceiverOverHTTP.java:91)
snasmc1 docker/svc-ise-client[1453]: at org.eclipse.jetty.client.http.HttpChannelOverHTTP.receive(HttpChannelOverHTTP.java:91)
snasmc1 docker/svc-ise-client[1453]: at org.eclipse.jetty.client.http.HttpConnectionOverHTTP.onFillable(HttpConnectionOverHTTP.java:194)
snasmc1 docker/svc-ise-client[1453]: at org.eclipse.jetty.io.AbstractConnection$ReadCallback.succeeded(AbstractConnection.java:314)
snasmc1 docker/svc-ise-client[1453]: at org.eclipse.jetty.io.FillInterest.fillable(FillInterest.java:100)
snasmc1 docker/svc-ise-client[1453]: at org.eclipse.jetty.io.ssl.SslConnection$DecryptedEndPoint.onFillable(SslConnection.java:558)
snasmc1 docker/svc-ise-client[1453]: at org.eclipse.jetty.io.ssl.SslConnection.onFillable(SslConnection.java:379)
snasmc1 docker/svc-ise-client[1453]: at org.eclipse.jetty.io.ssl.SslConnection$2.succeeded(SslConnection.java:146)
snasmc1 docker/svc-ise-client[1453]: at org.eclipse.jetty.io.FillInterest.fillable(FillInterest.java:100)
snasmc1 docker/svc-ise-client[1453]: at org.eclipse.jetty.io.SelectableChannelEndPoint$1.run(SelectableChannelEndPoint.java:53)
snasmc1 docker/svc-ise-client[1453]: at org.eclipse.jetty.util.thread.QueuedThreadPool.runJob(QueuedThreadPool.java:936)
snasmc1 docker/svc-ise-client[1453]: at org.eclipse.jetty.util.thread.QueuedThreadPool$Runner.run(QueuedThreadPool.java:1080)
snasmc1 docker/svc-ise-client[1453]: ... 1 more
snasmc1 docker/svc-ise-client[1453]: Suppressed: javax.net.ssl.SSLHandshakeException: org.bouncycastle.tls.TlsFatalAlert: certificate_unknown(46)Solução
1. Faça login no Stealthwatch Management Console (SMC).
2. No menu principal, selecione Configure > Global > Central Management.
3. Na página Inventário, clique no ícone (reticências) do Gerente.
4. Escolha Edit Appliance Configuration.
5. Selecione a guia Geral.
6. Navegue até a seção Trust Store e certifique de que o emissor do certificado Pxgridid do Cisco ISE seja parte do armazenamento Trust.
Defeitos conhecidos
| ID do bug | Descrição |
| ID de bug da Cisco 18119 | O ISE está selecionando o pacote Hello do servidor ITLS de cifra sem suporte |
| ID de bug da Cisco 01634 | Não é possível colocar dispositivos em quarentena usando a condição EPS |
Histórico de revisões
| Revisão | Data de publicação | Comentários |
|---|---|---|
1.0 |
18-Mar-2025
|
Versão inicial |
FeedbackContate a Cisco
- Abrir um caso de suporte
- (É necessário um Contrato de Serviço da Cisco)