简介
本文档介绍ACI故障F3081及其补救步骤。
背景信息
当SAML X.509证书在APIC上将于一个月后到期时,会发生此故障。
F3081: fltAaaSamlEncCertSamlEncCertExpiring
Severity: major
Explanation: This fault occurs when the SAML X.509 Certificate is going to expire in one month.
Recommended Action: If you see this fault, take the following actions:
Update SAML X.509 Certificate soon.
注意:即使没有SAML实施,也会发生相同的情况。但是,如果未使用SAML,则不会对系统产生影响。
Intersight互联ACI交换矩阵
此故障作为主动ACI活动的一部分主动进行监控。
如果您有与Intersight连接的ACI交换矩阵,则会代表您生成服务请求,以表示在与Intersight连接的ACI交换矩阵中找到了此故障的实例。
快速入门,解决故障
1. 验证SAML X.509证书过期状态,如果它显示过期或过期故障,则会引发F3081。
2. 验证证书颁发者是Cisco还是第三方。
3. 如果颁发者为思科,则继续重新生成SAML加密密钥对。
解决故障的详细步骤
验证SAML X.509证书过期状态
通过APIC GUI
1. 定位至Admin > AAA > Authentication > SAML > Management。
2. 验证SAML X.509证书过期状态。Expiring是意味着证书即将在一个月内过期。
重新生成和更新SAML X.509证书
为了解决此故障,您可以通过重新生成和续订证书并延长其到期日期来清除此故障。
重新生成SAML X.509证书不会产生任何影响。
在继续之前,请确保仔细检查证书的证书颁发机构(CA)颁发者是否为思科或第三方实体。
要从APIC获取证书内容,请解码任意X.509解码器中的证书以获取证书参数:
如果证书由第三方CA颁发,请与CA联系以续订SAML X.509证书。
但是,如果证书颁发者是思科,您可以继续执行以下步骤。
通过APIC GUI
1. 定位至Admin > AAA > Authentication > SAML > Management > Regenerate SAML Encryption Key Pair。
注意:通过续订证书,证书有效性中显示的到期日期将延长至续订日期后的三年。
验证过期状态是否更改为有效
通过APIC GUI
1. 定位至Admin > AAA > Authentication > SAML > Management。
其他信息
SAML是基于XML的开放式标准数据格式,使管理员能够在登录到其中某个应用后无缝访问一组已定义的思科协作应用。SAML描述了可信赖的业务合作伙伴之间安全相关信息的交换。它是服务提供商用于对用户进行身份验证的身份验证协议。SAML支持在身份提供程序(IdP)和服务提供商之间交换安全身份验证信息。
SAML SSO使用SAML 2.0协议为思科协作解决方案提供跨域和跨产品的SSO。SAML 2.0支持跨思科应用的SSO,并支持思科应用和IdP之间的联合。SAML 2.0还允许Cisco管理用户访问安全网络域,以便在IdP和服务提供商之间交换用户身份验证和授权数据,同时保持高安全级别。该功能提供跨各种应用使用通用凭证和相关信息的安全机制。