Este documento descreve como excluir certificados de respondente OCSP expirados e/ou prestes a expirar no Cisco Identity Service Engine (ISE).
A Cisco recomenda que você tenha conhecimento destes tópicos:
As informações neste documento são baseadas nestas versões de software e hardware:
As informações neste documento foram criadas a partir dos dispositivos em um ambiente de laboratório específico.Todos os dispositivos usados neste documento começaram com uma configuração limpa (padrão). Se a rede estiver ativa, certifique-se de que você entenda o impacto potencial de qualquer comando.
Um problema comum enfrentado pelos clientes que usam o Cisco Identity Services Engine (ISE) é receber alarmes indicando que um certificado expirou, especificamente quando o certificado do respondente OCSP expirou ou está prestes a expirar e o certificado não pode ser encontrado. Essa situação geralmente leva os clientes a abrir casos de TAC para assistência. O objetivo deste guia é capacitar os clientes a localizar e excluir eles mesmos esses certificados de respondente OCSP expirados ou prestes a expirar, evitando assim a necessidade de levantar um caso de TAC.
O OCSP (Online Certificate Status Protocol) é um protocolo usado para verificar o status de certificados digitais x.509. Esse protocolo é uma alternativa para a Lista de Certificados Revogados (CRL) e trata de problemas que resultam no tratamento de CRLs. O Cisco ISE tem a capacidade de se comunicar com servidores OCSP por HTTP para validar o status de certificados em autenticações. A configuração do OCSP é configurada em um objeto de configuração reutilizável que pode ser referenciado de qualquer certificado de autoridade de certificação (CA) configurado no Cisco ISE.
Em cada implantação do Cisco ISE, os certificados do Respondente OCSP (Online Certificate Status Protocol) estão presentes por padrão como parte da infraestrutura interna da CA (Certificate Authority). Esses certificados são emitidos pela CA interna do Cisco ISE no PPAN (Primary Policy Administration Node) e são gerados automaticamente para cada nó na implantação, incluindo o PAN e todos os PSNs (Policy Service Nodes).
Gerenciar esses certificados de Respondente OCSP é importante porque certificados expirados ou prestes a expirar podem disparar alarmes de Certificado expirado no painel do Cisco ISE. Embora o Cisco ISE gere automaticamente novos certificados de Respondente OCSP, as entradas expiradas permanecem no Repositório de Certificados Confiáveis até que sejam removidas manualmente.
Na GUI do PPAN (Primary Policy Administration Node), navegue até a guia Dashboard (1). No dashlet Alarms, clique no botão Detach (2) para expandir a tabela de alarmes.

Clique no alarme Certificado Expirado para expandir a tabela e exibir as entradas de certificado associadas ao alarme.

Todos os certificados que dispararam o alarme Certificado Expirado são exibidos nesta tabela. Este guia se concentra apenas nos certificados do Respondente OCSP. Se a tabela incluir outros tipos de certificados expirados, como EAP, SAML, Admin ou outros certificados do sistema, consulte a documentação relevante da Cisco e o Guia do Administrador do Cisco ISE para obter orientação sobre esses tipos de certificados.

Revise a descrição do alarme para identificar o certificado que está expirado ou, em alguns cenários, prestes a expirar.
Neste exemplo, o certificado expirado é: Certificate Services OCSP Responder - <node-name>#0004.
Anote o nome do certificado. Este nome é usado nas próximas etapas para localizar e excluir o certificado do Repositório de Certificados Confiáveis.

Navegue até: Administração > Sistema > Certificados:

Selecione a guia Certificados de Confiabilidade.

Na página Certificados de Confiabilidade, selecione show internal CA certificates. Exibe os certificados da CA interna (Autoridade de certificação) do Cisco ISE, incluindo os certificados do Respondente OCSP que estão ocultos por padrão.
Depois de selecionado, o botão é alterado para ocultar os certificados internos da CA.
aviso: Esta etapa é obrigatória. Se mostrar certificados internos da autoridade de certificação não estiver selecionado, o certificado do Respondente OCSP não aparecerá na tabela Repositório de Certificados Confiáveis.

Na tabela Repositório de Certificados Confiáveis, selecione o ícone Filtro para procurar o certificado que deve ser excluído.

Se o certificado do Respondente OCSP estiver prestes a expirar, filtre somente por OCSP em Nome Amigável. Se o certificado do Respondente OCSP já tiver expirado, continue com a próxima ação.

Para localizar um certificado de Respondente OCSP expirado, insira estes filtros:

A tabela exibe os certificados do Respondente OCSP expirados.
Tip: Se você estiver procurando um certificado de Respondente OCSP que está prestes a expirar, vários certificados poderão ser exibidos, especialmente em implantações com vários nós do Cisco ISE. Para identificar o certificado correto, não filtre somente pelo OCSP. Em vez disso, filtre pelo nome completo do certificado mostrado nos detalhes do alarme na Etapa 1.

Marque a caixa de seleção ao lado do certificado do Respondente OCSP que deve ser removido e clique em Excluir.

Selecione OK no aviso de confirmação para continuar a excluir o certificado.

Antes de excluir o certificado, é importante entender que o certificado do Respondente OCSP faz parte da infraestrutura interna de CA do ISE.
O aviso que aparece durante a exclusão é genérico e se aplica a todos os certificados internos relacionados a CA. Seu objetivo é prevenir contra a exclusão de certificados dentro da hierarquia de CA interna, já que alguns desses certificados assinam certificados de ponto de extremidade usados para serviços como BYOD, pxGrid ou outras funções que dependem de certificados emitidos pela CA interna do ISE.
Um certificado de Respondente OCSP expirado também pode afetar certificados emitidos pela CA interna do ISE. Quando um cliente ou serviço consulta o status de um certificado emitido por essa CA, o serviço OCSP retorna um erro porque o certificado do Respondente OCSP expirou, o que pode causar falha na validação do status do certificado.
Quando você seleciona Excluir, duas opções são apresentadas:
O impacto descrito aplica-se a certificados internos de CA que assinam ativamente certificados de ponto de extremidade. O certificado do Respondente OCSP não assina certificados de ponto de extremidade; ele é usado para comunicação OCSP. Embora um certificado do Respondente OCSP expirado possa causar falha na validação do status do certificado para certificados emitidos pela CA interna, o certificado já expirou e, portanto, não está mais fornecendo respostas OCSP válidas. Excluí-lo não traz nenhum impacto adicional.
Como o certificado do Respondente OCSP nesse cenário já expirou, ele não é mais válido. Nesse caso, Excluir e Excluir e Revogar produzem o mesmo resultado, já que não há mais nada válido a ser revogado.
Por esses motivos, Excluir é a opção recomendada, pois é a ação mais simples e evita gerar uma entrada de revogação desnecessária.
Note: Os certificados do Respondente OCSP não são regenerados durante a operação normal. Eles são regenerados apenas quando um patch é instalado:
- Em uma implantação de vários nós, os certificados são gerados novamente quando o patch é instalado por meio da GUI.
- Em uma implantação autônoma, os certificados são regenerados quando o patch é instalado por meio da GUI ou da CLI.
Um novo certificado de Respondente OCSP é gerado somente na próxima instalação de patch.
Caution: Verifique se o nó afetado tem um certificado de Respondente OCSP válido e ativo no Repositório de Certificados Confiáveis. Se um certificado válido não estiver presente e o OCSP for usado para validar certificados assinados pela CA interna do ISE, essa validação falhará até que um novo certificado do Respondente OCSP seja gerado.
Se um certificado válido do Respondente OCSP não estiver presente, renove os certificados do Respondente OCSP no PPAN (Nó de Administração de Política Primária) conforme descrito aqui:
1. Acesse a GUI do ISE PPAN.
2. Vá para Administração > Sistema > Certificados.
3. Selecione Certificate Signing Requests (Solicitações de assinatura de certificado) à esquerda.
4. Clique em Gerar CSR. Para Uso, selecione Renew ISE OCSP Responder.
5. Clique em Renovar Certificados de Respondente OCSP do ISE para concluir o processo.

Depois que o certificado for excluído, uma notificação de Resposta do servidor será exibida indicando que o certificado confiável foi excluído com êxito:

Depois que o certificado for excluído, você poderá usar um ou ambos os métodos para verificar se a operação foi bem-sucedida.
Navegue até a página Painel.
No dashlet Alarms, localize o alarme Configuration Changed. Selecione o alarme para exibir os detalhes. @ info: whatsthis

Deve aparecer uma entrada indicando que um objeto de configuração foi excluído. O nome do objeto deve corresponder ao certificado do Respondente OCSP que foi removido.

Como etapa adicional, navegue de volta para a tabela Repositório de Certificados Confiáveis e filtre o certificado do Respondente OCSP. Como o certificado foi excluído, a tabela deve exibir Nenhum dado disponível.
Note: Lembre-se de selecionar show internal CA certificates.

| Revisão | Data de publicação | Comentários |
|---|---|---|
1.0 |
06-Jul-2026
|
Versão inicial |