In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.
Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.
In diesem Dokument wird das Integrationsproblem beschrieben, das aufgrund einer nicht übereinstimmenden Trust-on-First-Use (TOFU)-Zertifikatsanforderung auftritt, nachdem eine neue CSR-Anfrage (Certificate Signing Request) in der Cisco Prime-Infrastruktur (primär/sekundär) generiert wurde. Außerdem wird beschrieben, wie Fehler behoben und behoben werden können.
Cisco empfiehlt, über Kenntnisse in folgenden Bereichen zu verfügen:
Die Informationen in diesem Dokument basieren auf Cisco Prime Infrastructure Version 3.5 und höher.
Die Informationen in diesem Dokument wurden von den Geräten in einer bestimmten Laborumgebung erstellt. Alle in diesem Dokument verwendeten Geräte haben mit einer leeren (Standard-)Konfiguration begonnen. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die potenziellen Auswirkungen eines Befehls verstehen.
Dies sind die Referenzdokumente, die Informationen über Hochverfügbarkeit und Zertifikatsgenerierung in der Cisco Prime-Infrastruktur bereitstellen.
Leitfaden zur Hochverfügbarkeit: https://www.cisco.com/c/en/us/td/docs/net_mgmt/prime/infrastructure/3-6/admin/guide/bk_CiscoPrimeInfrastructure_3_6_AdminGuide/bk_CiscoPrimeInfrastructure_3_6_AdminGuide_chapter_01011.html
Administratoranleitung: https://www.cisco.com/c/en/us/td/docs/net_mgmt/prime/infrastructure/3-6/admin/guide/bk_CiscoPrimeInfrastructure_3_6_AdminGuide/bk_CiscoPrimeInfrastructure_3_6_AdminGuide_chapter_0100.html
TOFU - Das Zertifikat, das vom Remotehost empfangen wird, wird als vertrauenswürdig angesehen, wenn die Verbindung zum ersten Mal hergestellt wird.
Das TOFU-Zertifikat für die primäre Infrastruktur oder den Remote-Host, mit dem Prime verbunden ist, kann sich ändern, wenn ein neues Zertifikat generiert wird oder wenn der Server erneut auf dem VM-Host bereitgestellt wird.
Beim Generieren und Importieren eines neuen CSR auf primärem Infrastruktur-Server (primär/sekundär) werden die neuen TOFU-Zertifikatsinformationen an Remote-Server gesendet, wenn die Verbindung nach einem Neustart des Services wieder initiiert wird.
Wenn der Remotehost nach der ersten Verbindung ein anderes Zertifikat für eine untergeordnete Verbindung sendet, wird die Verbindung abgelehnt.
Der Remote-Host kann (primärer oder sekundärer Server in HA-Bereitstellung, Integrated Service Engine (ISE)-Server) sein, auf dem die alte TOFU noch vorhanden ist.
Dies führt zu einem Registrierungsfehler zwischen primären und sekundären Servern, dem Prime-Server und dem ISE-Server.
Im Abschnitt "Fehlerbehebung" werden die Fehlermeldungen beschrieben, die in den Systemüberwachungsprotokollen in solchen Szenarien enthalten sind.
Im primären Gesundheitsüberwachungsprotokoll finden Sie diese Fehlermeldungen, die auf die Diskrepanz im sekundären Zertifikat hinweisen.
[system] [HealthMonitorThread] TOFU failed.
Check local trust Trust-on-first-use is configure for this connection.
Current certificate of the remote host is different from what was used earlier
- CN=prime-sec, OU=Prime Infra, O=Cisco Systems, L=SJ, ST=CA, C=US
javax.net.ssl.SSLHandshakeException: java.security.cert.CertificateException:
Trust-on-first-use is configure for this connection.
Current certificate of the remote host is different from what was used earlier
- CN=prime-sec
Diese Fehlermeldungen finden Sie in den primären Infrastrukturprotokollen, die auf die Diskrepanz im ISE-Serverzertifikat hinweisen.
[system] [seqtaskexecutor-3069] TOFU failed.
Check local trust Trust-on-first-use is configure for this connection.
Current certificate of the remote host is different from what was used earlier
- CN=ISE-server
javax.net.ssl.SSLHandshakeException: java.security.cert.
CertificateException: Trust-on-first-use is configure for this connection.
Current certificate of the remote host is different from what was used earlier
- CN=ISE-server
Im sekundären Systemüberwachungsprotokoll finden Sie diese Fehlermeldungen, die auf die Diskrepanz im primären Zertifikat hinweisen.
[system] [HealthMonitorThread] TOFU failed.
Check local trust Trust-on-first-use is configure for this connection.
Current certificate of the remote host is different from what was used earlier
- CN=prime-pri, OU=Prime Infra, O=Cisco Systems, L=SJ, ST=CA, C=US
javax.net.ssl.SSLHandshakeException: java.security.cert.CertificateException:
Trust-on-first-use is configure for this connection.
Current certificate of the remote host is different from what was used earlier
- CN=prime-pri
Die aktuellen TOFU-Zertifikate für Prime müssen aufgelistet werden, aus denen hervorgeht, dass der alte Zertifikatseintrag für den entsprechenden Remotehost identifiziert und entfernt werden muss, bevor Sie erneut versuchen, die Integration vom Prime zu starten.
Mit dem Befehl ncs certvalidation tofu-certs listcerts können Sie die Liste der Zertifikatsvalidierungen anzeigen.
Diese Ausgabe stammt vom primären Cisco Prime Infrastructure-Server [IP=1XX.XX.XX.XX]:
prime-pri/admin# ncs certvalidation tofu-certs listcerts
Host certificate are automatically added to this list on first connection,
if trust-on-first-use is configured - ncs certvalidation certificate-check ...
host=1X.XX.XX.XX_8082; subject= /C=US/ST=CA/L=SJ/O=Cisco Systems/OU=Prime Infra/CN=prime-pri
host=1Z.ZZ.ZZ.ZZ_443; subject= /C=US/ST=CA/L=SJ/O=Cisco Systems/OU=Prime Infra/CN=ISE-server
host=1YY.YY.YY.YY_8082; subject= /C=US/ST=CA/L=SJ/O=Cisco Systems/OU=Prime Infra/CN=prime-sec
prime-pri/admin#
Diese Ausgabe stammt vom sekundären Cisco Prime Infrastructure-Server [IP=1YY.YY.YY.YY]
prime-sec/admin# ncs certvalidation tofu-certs listcerts
Host certificate are automatically added to this list on first connection,
if trust-on-first-use is configured - ncs certvalidation certificate-check ...
host=1YY.YY.YY.YY_8082; subject= /C=US/ST=CA/L=SJ/O=Cisco Systems/OU=Prime Infra/CN=prime-sec
host=127.0.0.1_8082; subject= /C=US/ST=CA/L=SJ/O=Cisco Systems/OU=Prime Infra/CN=prime-sec
host=1X.XX.XX.XX_8082; subject= /C=US/ST=CA/L=SJ/O=Cisco Systems/OU=Prime Infra/CN=prime-pri
prime-sec/admin#
Verwenden Sie den Befehl ncs certvalidation tofu-certs deletecert host <host>, um zur Zertifikatsvalidierung zu löschen.
Überprüfen und löschen Sie vom primären Server die alten Einträge für die TOFU-Zertifikate der ISE und der sekundären Server.
Vom sekundären Server überprüfen und löschen Sie die alten Einträge für das Tofu-Zertifikat des primären Servers mit dem Befehl ncs certvalidierung tofu-certs deletecert host 1X.XX.XX.XX_8082.
Schritt 1: Melden Sie sich mit einer Benutzer-ID und einem Kennwort mit Administratorrechten bei der Cisco Prime-Infrastruktur an.
Schritt 2: Navigieren Sie im Menü zu Administration > Settings > High Availability. Die Cisco Prime-Infrastruktur zeigt die Seite für den HA-Status an.
Schritt 3: Wählen Sie HA-Konfiguration aus, und füllen Sie die Felder wie folgt aus:
Es wird empfohlen, den DNS-Server zu verwenden, um den Hostnamen in eine IP-Adresse aufzulösen. Wenn Sie anstelle des DNS-Servers eine /etc/hosts-Datei verwenden, sollten Sie statt des Hostnamens die sekundäre IP-Adresse eingeben.
Schritt 4: Wenn Sie die virtuelle IP-Funktion verwenden, aktivieren Sie das Kontrollkästchen Virtuelle IP aktivieren, und füllen Sie die weiteren Felder wie folgt aus:
Die virtuelle IP-Adressierung funktioniert nur, wenn sich beide Server im gleichen Subnetz befinden. Sie sollten den IPV6-Adressblock fe80 nicht verwenden. Er ist für die lokale Unicast-Adressierung reserviert.
Schritt 5: Klicken Sie auf Check Readiness, um sicherzustellen, dass die HA-bezogenen Umgebungsparameter für die Konfiguration bereit sind.
Schritt 6: Klicken Sie auf Registrieren, um die MeilensteinFortschrittsleiste anzuzeigen, um den 100%igen Abschluss der Pre-HA-Registrierung, der Datenbankreplikation und Post HA-Registrierung zu überprüfen, wie hier gezeigt. Die Cisco Prime-Infrastruktur initiiert den HA-Registrierungsprozess. Wenn die Registrierung erfolgreich abgeschlossen wurde, zeigt der Konfigurationsmodus den Wert Primary Active (Primärer Aktiv) an.
Schritt 1: Navigieren Sie zu Administration > Servers > ISE Servers.
Schritt 2: Navigieren Sie zu Befehl auswählen > ISE-Server hinzufügen, und klicken Sie dann auf Los
Schritt 3: Geben Sie die IP-Adresse, den Benutzernamen und das Kennwort des ISE-Servers ein.
Schritt 4: Bestätigen Sie das ISE-Serverkennwort.
Schritt 5: Klicken Sie auf Speichern.
Der Befehl ncs certvalidation tofu-certs listcerts kann zum Überprüfen des neuen Zertifikats verwendet werden.
Versionshinweise zur Cisco Prime-Infrastruktur: http://www.cisco.com/c/en/us/support/cloud-systems-management/prime-infrastructure/products-release-notes-list.html