Solucionar problemas de certificado de administrador do ISE expirado

Opções de download

  • PDF     (3.0 MB)
    Ver no Adobe Reader em vários dispositivos
Atualizado:29 de janeiro de 2025
ID do documento:222732

Linguagem imparcial

O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.

Sobre esta tradução

A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.

    Introdução

    Este documento descreve como solucionar problemas e renovar um certificado de administrador do Cisco Identity Services Engine (ISE) expirado.

    Pré-requisitos

    Requisitos

    A Cisco recomenda que você tenha o conhecimento destes tópicos:

    • Implantação do Cisco ISE.
    • Gerenciamento de certificados no Cisco ISE.

    Componentes Utilizados

    As informações neste documento são baseadas nesta versão de software:

    • Cisco Identity Services Engine (ISE) versão 3.3 Patch4.

    As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a rede estiver ativa, certifique-se de que você entenda o impacto potencial de qualquer comando.

    Informações de Apoio

    Este documento se concentra na implantação distribuída; no entanto, você pode usar o mesmo plano de solução de problemas em um nó autônomo.

    Na Implantação distribuída do ISE, o nó é o nó de administração primário (PPAN) ou secundário.

    Este documento usa o certificado do administrador do ISE como um certificado autoassinado para demonstrar o impacto do certificado expirado, mas essa abordagem não é recomendada para um sistema de produção. É melhor usar o certificado assinado por autoridade para uso administrativo.

    Note: A Cisco recomenda que você mantenha o seu certificado de administrador em estado de integridade e planeje a renovação com antecedência. Encontre este guia para ajudá-lo a rastrear e renovar os certificados do sistema ISE (Configurar renovações de certificado no ISE).

    Certificado do administrador do ISE (expirado)

    Validar Status do Certificado do Administrador

    Etapa 1. Verifique o status da implantação. Navegue até Administração > Sistema > Implantação.

    Você pode verificar o status dos nós secundários, como mostrado, os três nós secundários são (Not in Sync).

    Deployment StatusStatus da Implantação

    Etapa 2. Revise os Alarmes. Navegue até Painel > Alarmes > (Certificado expirado).

    Para confirmar qual nó e qual certificado está expirado.

    Note: Se o nó primário de administração (PPAN) tiver expirado antes de qualquer nó secundário, você não poderá ver nenhum alarme desse nó, isso é o que aconteceu com o nó secundário de administração (SPAN) nesse alarme.

    Alarms (Certificate Expired)Alarmes (certificado expirado)

    Etapa 3. Verificar o status do certificado do administrador. Navegue para Administração > Sistema > Certificados > Gerenciamento de certificado > Certificados do sistema > Expandir nó.

    1. Nó Admin Principal (PPAN):

    PPAN Admin Certificate StatusStatus do Certificado de Administrador do PPAN

    2. Nós secundários.

    Para os nós secundários, pode ser 1 de 2 opções e, em ambos os casos, você deve aplicar o mesmo plano de ação:

    R. É possível expandir o certificado do sistema do nó e confirmar se o certificado admin está expirado:

    Secondary Node Admin Certificate StatusStatus do certificado de administrador do nó secundário

    B. Lançar erro ("Erro ao carregar certificados. Nó não alcançável no momento. Tente novamente mais tarde.") conforme mostrado para (ise-psn2

    Secondary Node Not ReachableNó secundário não alcançável

    Plano de ação

    Após confirmar que o certificado admin expirou para todos os 4 nós, você deve aplicar estas etapas:

    Etapa 1. Cancele o registro de todos os nós secundários da implantação distribuída (somente se o certificado do administrador tiver expirado).

    Navegue até Administration > System > Deployment > Check [ √ ] dos nós secundários e clique em Deregister.

    Note: Cancelar o registro do nó significa que ele será movido para autônomo para que você possa renovar o certificado de administrador neste nó.

    Deregister Secondary NodesCancelar Registro de Nós Secundários

    Note: Lembre-se de cancelar o registro apenas dos nós secundários em que o certificado de administrador já expirou e de manter o restante. Neste documento, todos os nós secundários estão expirados.

    All Secondary Nodes are DeregisteredTodos os nós secundários estão com registro cancelado

    Etapa 2. Renove o certificado admin do Nó Admin Primário (PPAN).

    1. Navegue para Administração > Sistema > Certificados > Gerenciamento de certificado > Certificados do sistema > Clique em +Gerar certificado autoassinado:

    Generate new Self-Signed Admin CertificateGerar novo Certificado de Administrador Autoassinado

    2. Selecione o Nó Admin Primário (PPAN) (ise-ppan) e preencha as informações do certificado:

    Select the Primary Admin Node (PPAN)Selecione o Nó Admin Principal (PPAN)

    3. Marque [ √ ] o uso de Admin.

    Admin UsageUso do administrador

    4. Defina a Hora de Reinicialização como Reiniciar Agora para o Nó Admin Primário (PPAN). Defina todos os nós na implantação como Reiniciar agora ou Reiniciar mais tarde.

    Depois de renovar um certificado de administrador (um certificado configurado para uso administrativo) no Nó Admin Primário (PPAN), todos os nós em sua implantação devem ser reiniciados.

    Set Restart Time to NowDefinir a hora de reinicialização como Agora

    5. Clique em Submeter.

    Note: Depois de renovar um certificado de administrador (um certificado configurado para uso administrativo) no Nó Admin Primário (PPAN), todos os nós em sua implantação devem ser reiniciados. Você pode reiniciar cada nó imediatamente ou agendar as reinicializações mais tarde. Esse recurso permite garantir que nenhum processo em execução seja interrompido pelas reinicializações automáticas, proporcionando maior controle sobre o processo.

    Você pode exibir e editar as reinicializações agendadas na janela Administration > System > Certificates > Admin Certificate Node Restart, disponível no Cisco ISE Release 3.3.

    6. Verifique o novo certificado admin do Nó Admin Primário (PPAN).

    Navegue até Administration > System > Certificates > Certificate Management > System Certificates > Expand (ise-ppan).

    New Admin Certificate (ise-ppan)Novo certificado do administrador (ise-ppan)

    Etapa 3. Renove o certificado de administrador dos nós secundários.

    1. Confirme o nó secundário na implantação autônoma depois de cancelar o registro da implantação distribuída.

    Navegue até o nó via GUI (https://<FQDN/IP>) e navegue até Administração > Sistema > Implantação.

    (ise-span) on Standalone Deployment(ise-span) na implantação independente

    2. Navegue até Administração > Sistema > Certificados > Gerenciamento de Certificados > Certificados do Sistema > Clique em +Gerar Certificado AutoAssinado.

    Generate new Self-Signed Admin CertificateGerar novo Certificado de Administrador Autoassinado

    3. Selecione (ise-span) e preencha as informações do certificado.

    Select the NodeSelecione o nó

    4. Marque [ √ ] o uso de Admin.

    Admin UsageUso do administrador

    Note: A alteração do certificado da função do administrador no nó ISE reinicia os serviços.

    5. Clique em Submeter.

    6. Verifique o novo certificado de administrador em (ise-span).

    Navegue até Administração > Sistema > Certificados > Gerenciamento de Certificados > Certificados do Sistema > Expandir (ise-span).

    New Admin Certificate (ise-span)Novo certificado de administrador (ise-span)

    Etapa 4. Registrar os nós secundários para a implantação distribuída.

    Configure suas personalidades e funções de implantação como antes (Admin, MNT, PSN, etc.).

    1. Na GUI do Nó Admin Primário (PPAN). Navegue até Administração > Sistema > Disponibilização > Clique em Registrar.

    Primary Admin Node (PPAN) GUIGUI do nó administrativo primário (PPAN)

    2. Informe o FQDN e as credenciais do nó secundário (Nome de Usuário/Senha).

    Insira o FQDN (nome de domínio totalmente qualificado) resolvível por DNS do nó autônomo que você vai registrar. O FQDN do (PPAN) e o nó que está sendo registrado devem poder ser resolvidos um do outro.

    Enter Secondary Node AccessInserir acesso ao nó secundário

    3. Ative a pessoa e os serviços corretos.

    Register Secondary Node (ise-span)Registrar nó secundário (ise-span)

    Etapa 5. Verificar o status da implantação.

    Navegue até Administração > Sistema > Implantação.

    (ise-span) Added to the Deployment(ise-span) Adicionado à implantação

    Troubleshooting

    Caso de uso 1: Nó secundário não registrado preso no estado distribuído (ise-psn1)

    Validar o status

    Etapa 1. Confirmar o status da implantação distribuída.

    Na GUI do Nó Admin Primário (PPAN). Navegue até Administração > Sistema > Implantação. Você pode confirmar que esse nó (ise-psn1) já está com o registro cancelado.

    (PPAN) Deployment Nodes(PPAN) Nós de Implantação

    Etapa 2. Confirmar o status do nó (ise-psn1).

    Navegue no nó secundário via GUI (https://ise-psn1.kdlab.local) e navegue Login > Sobre o ISE e o Servidor.

    Secondary Node (ise-psn1) Stuck on Distributed Deployment StatusNó secundário (ise-psn1) travado no status da implantação distribuída

    Solução

    Etapa 1. Cancele o registro do nó (ise-psn1) manualmente.

    Aplique o nó (ise-psn1) à implantação autônoma via GUI (https://<ise-psn1 IP>/deployment-rpc/deregister-node).

    Deregister the Node Manually - GUICancelar o registro do nó manualmente - GUI

    Etapa 2. Verifique o (ise-psn1) agora na implantação autônoma.

    (ise-psn1) on Standalone Deployment(ise-psn1) em implantação autônoma

    Etapa 3. Depois que você puder confirmar o nó no status autônomo, prossiga com as mesmas etapas na seção Plano de Ação:

    1. Renove o certificado admin do nó (ise-psn1).
    2. Registre o nó (ise-psn1) para a implantação distribuída.
    3. Verifique o status da implantação.

    (ise-psn1) Added to the Deployment(ise-psn1) Adicionado à implantação

    Caso de uso 2: GUI de nó secundário cancelada inacessível (ise-psn2)

    Validar o status

    Etapa 1. Confirmar o status da implantação distribuída.

    Na GUI do Nó Admin Primário (PPAN). Navegue até Administração > Sistema > Implantação. Você pode confirmar que esse nó (ise-psn2) já está com o registro cancelado.

    (PPAN) Deployment Nodes(PPAN) Nós de Implantação

    Etapa 2. Confirmar (ise-psn2).

    Como o certificado do administrador expirou em alguns casos, você pode ter estes sintomas:

    • GUI (ise-psn2) inalcançável.
    • (ise-psn2) CLI (show application status ise) Aplicativo ISE travado em (inicializando ou não executando).
    • (ise-psn2) CLI (show tech) o nó já está na implantação autônoma.

    (ise-psn2) on Standalone Deployment(ise-psn2) em implantação autônoma

    Solução

    Etapa 1. Renove o certificado admin do nó (ise-psn2).

    1. Faça login em (ise-psn2) via CLI.
    2. Insira application configure ise.
    3. Insira 31 ([31] Gerar certificado administrativo autoassinado).
    4. Deseja continuar? s/[n]: y
    5. Deseja substituir o certificado existente após a geração? s/[n]: y

    Renew (ise-psn1) Admin CertificateRenovar certificado de administrador (ise-psn1)

    6. Verifique o novo certificado de administrador em (ise-psn2).

    New Admin Certificate (ise-psn2)Novo certificado de administrador (ise-psn2)

    Etapa 2. Registre o nó (ise-psn2) na implantação distribuída.

    Etapa 3. Verificar o status da implantação.

    The Deployment in Sync Again!A implantação em sincronia novamente!

    Referências

    Relevante

    Histórico de revisões

    Revisão Data de publicação Comentários
    2.0
    29-Jan-2025
    Versão inicial
    1.0
    27-Jan-2025
    Versão inicial
    TAC Authored

    Colaborado por engenheiros da Cisco

    • Khaled Douma
      Engenheiro de consultoria técnica

    Este documento lhe foi útil?

    FeedbackFeedback

    Contate a Cisco

    Este documento se refere a estes produtos