對過期ISE管理員證書進行故障排除

簡介

本文檔介紹如何對過期的思科身份服務引擎(ISE)管理員證書進行故障排除和續訂。

必要條件

需求

思科建議您瞭解以下主題：

• 思科ISE部署。
• Cisco ISE中的證書管理。

採用元件

本檔案中的資訊是根據以下軟體版本：

• 思科身分識別服務引擎(ISE)版本3.3 Patch4。

本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除（預設）的組態來啟動。如果您的網路運作中，請確保您瞭解任何指令可能造成的影響。

背景資訊

本文檔重點介紹分散式部署；但是，可以在獨立節點上使用相同的故障排除計畫。

在ISE分散式部署中，節點是主管理節點(PPAN)或輔助節點。

本文檔使用ISE管理員證書作為自簽名證書來演示證書過期的影響，但不推薦將此方法用於生產系統。最好使用授權簽名的證書供管理員使用。

附註：思科建議您保持管理員證書處於正常狀態並提前計畫續訂，查詢本指南可幫助您跟蹤和續訂ISE系統證書(在ISE上配置證書續訂)。

ISE管理員證書（已過期）

驗證管理員證書狀態

步驟1.檢查部署狀態。導航到管理>系統>部署。

您可以檢查輔助節點狀態，如圖所示，三個輔助節點是(未處於同步)。

部署狀態

步驟2.複查警報。定位至控制面板>警報>（證書已過期）。

確認哪個節點和哪個證書已過期。

附註：如果主管理節點(PPAN)在任何輔助節點之前過期，則無法看到該節點的任何警報，這就是此警報中輔助管理節點(SPAN)發生的情況。

警報（證書已過期）

步驟3.檢查管理員證書狀態。導航到Administration > System > Certificates > Certificate Management > System Certificates > Expand node。

1.主管理節點(PPAN):

PPAN管理員憑證狀態

2.輔助節點。

對於輔助節點，它可能是2個選項中的1個，並且在兩種情況下，您必須應用相同的行動計畫：

A.可以展開節點系統證書並確認管理員證書已過期：

輔助節點管理員證書狀態

B.引發錯誤(「載入證書時出錯。此時無法到達節點。請稍後再試。」)，如(ise-psn2)所示

輔助節點無法訪問

行動計畫

確認所有4個節點的管理員證書過期後，必須應用以下步驟：

步驟1.從分散式部署中註銷所有輔助節點（僅當管理員證書過期時）。

導航到輔助節點的Administration > System > Deployment > Check [ √ ]，然後點選Deregister。

附註：取消註冊節點意味著該節點將移至獨立節點，然後您可以續訂此節點上的管理員證書。

註銷輔助節點

附註：請記住，只註銷管理員證書已過期的輔助節點，保留其餘節點。在本文檔中，所有輔助節點都已過期。

已取消註冊所有輔助節點

步驟2.續訂主管理節點(PPAN)的管理員證書。

1. 導航到Administration > System > Certificates > Certificate Management > System Certificates > Click +Generate Self Signed Certificate:

生成新的自簽名管理員證書

2.選擇主要管理節點(PPAN)(ise-ppan)並填寫證書資訊：

選擇主管理節點(PPAN)

3.檢查[ √ ] Admin用法。

管理員使用情況

4.為主管理節點(PPAN)設定Restart Time以立即重新啟動。 將部署上的所有節點設定為Restart Now 或Restart Later。

在主管理節點(PPAN)上續訂管理員證書（為管理員使用配置的證書）後，必須重新啟動部署中的所有節點。

將「Restart Time（重新啟動時間）」設定為「Now（現在）」

5.按一下提交。

附註：在主管理節點(PPAN)上續訂管理員證書（為管理員使用配置的證書）後，必須重新啟動部署中的所有節點。您可以立即重新啟動每個節點，也可以安排以後重新啟動。此功能可以確保任何正在運行的進程都不會因自動重新啟動而中斷，從而使您可以更好地控制該進程。

您可以在Administration > System > Certificates > Admin Certificate Node Restart視窗中檢視和編輯計畫重啟，該視窗可從Cisco ISE版本3.3獲得。

6.驗證主管理節點(PPAN)的新管理員證書。

導航到Administration > System > Certificates > Certificate Management > System Certificates > Expand(ise-ppan)。

新管理員證書(ise-ppan)

步驟3.續訂輔助節點的管理員證書。

1.從分散式部署註銷後，確認獨立部署上的輔助節點。

通過GUI瀏覽節點(https://<FQDN/IP>)並導航到管理>系統>部署。

(ise-span)在獨立部署上

2.導航到管理>系統>證書>證書管理>系統證書>按一下+生成自簽名證書。

生成新的自簽名管理員證書

3.選擇(ise-span)並填寫證書資訊。

選擇節點

4.檢查[ √ ] Admin用法。

管理員使用情況

附註：更改ISE節點上的管理員角色證書的證書重新啟動服務。

5.按一下提交。

6.驗證上的新管理員證書(ise-span)。

導航至 管理>系統>證書>證書管理>系統證書 >擴展(ise-span）。

新管理員憑證(ise-span)

步驟4.將輔助節點註冊到分散式部署。

按照以前的方式設定您的部署人員和角色（Admin、MNT、PSN等）。

1.從主管理節點(PPAN)GUI。導航到管理>系統>部署>點選註冊。

主要管理節點(PPAN)GUI

2.輸入輔助節點的FQDN和憑據(使用者名稱/密碼)。

輸入要註冊的獨立節點的DNS可解析的完全限定域名(FQDN)。要註冊的(PPAN)和節點的FQDN必須可相互解析。

輸入輔助節點訪問

3. 啟用正確的角色和服務。

註冊次要節點(ise-span)

步驟5.驗證部署狀態。

導航到管理>系統>部署。

(ise-span)已新增到部署

疑難排解

使用案例1:在分散式狀態下停滯的已註銷輔助節點(ise-psn1)

驗證狀態

步驟1.確認分散式部署狀態。

從主管理節點(PPAN)GUI。導航到管理>系統>部署。您可以確認此節點(ise-psn1)已註銷。

(PPAN)部署節點

步驟2.確認(ise-psn1)節點狀態。

通過GUI(https://ise-psn1.kdlab.local)瀏覽輔助節點，然後導航登入>關於ISE和伺服器。

輔助節點(ise-psn1)在分散式部署狀態停滯

使用案例2:取消註冊的輔助節點GUI無法訪問(ise-psn2)

驗證狀態

步驟1.確認分散式部署狀態。

從主管理節點(PPAN)GUI。導航到管理>系統>部署。您可以確認此節點(ise-psn2)已註銷。

(PPAN)部署節點

步驟2.確認(ise-psn2)節點狀態。

由於管理員證書在某些情況下已過期，因此您可能會遇到以下症狀：

• (ise-psn2)GUI無法訪問。
• (ise-psn2)CLI(show application status ise)ISE應用程式停滯不前(initializing或not running)。
• (ise-psn2)CLI(show tech)節點已在獨立部署中。

(ise-psn2)在獨立部署上

因應措施

步驟1.續訂(ise-psn2)節點的管理證書。

1. 通過CLI登入(ise-psn2)。
2. 輸入application configure ise。
3. 輸入31（[31]生成自簽名管理員證書）。
4. 是否要繼續？y/[n]:y
5. 是否要在生成後替換現有證書？y/[n]:y

續訂(ise-psn1)管理員證書

6.驗證上的新管理員證書(ise-psn2)。

新管理員證書(ise-psn2)

步驟2.將(ise-psn2)節點註冊到分散式部署。

步驟3.驗證部署狀態。

部署再次同步！

參考資料

• 思科ISE的部署
• 思科ISE中的證書管理

相關

• 在ISE上配置證書續訂