Einleitung
In diesem Dokument wird beschrieben, wie der gesteuerte Anwendungsneustart für das Administratorzertifikat in ISE 3.3 konfiguriert wird.
Voraussetzungen
Anforderungen
Cisco empfiehlt, dass Sie über Kenntnisse in folgenden Bereichen verfügen:
- ISE-Knoten/Personas
- Verlängerung/Bearbeitung/Erstellung von ISE-Zertifikaten
Verwendete Komponenten
Die Informationen in diesem Dokument basieren auf folgenden Hardware- und Software-Versionen:
- Identity Service Engine (ISE) Softwareversion 3.3
- Bereitstellung von 2 Knoten
Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die möglichen Auswirkungen aller Befehle kennen.
Hintergrundinformationen
Wenn in der ISE das Admin-Zertifikat des primären Admin-Knotens (PAN) geändert wird, werden alle Knoten in der Bereitstellung neu geladen, zuerst das PAN und dann die übrigen Knoten. Dies führt zu einer Unterbrechung aller Dienste.
Wenn das Administratorzertifikat in einem anderen Knoten ersetzt wird, wird nur dieser einzelne Knoten neu gestartet.
ISE 3.3 führt eine neue Funktion ein, mit der Sie das erneute Laden der Knoten planen können. Dies bietet eine bessere Kontrolle über den Neustart jedes Knotens und trägt dazu bei, Unterbrechungen bei allen Services zu vermeiden.
Konfigurieren
Es gibt verschiedene Optionen zum Ändern des Admin-Zertifikats des PAN-Knotens:
- Erstellen einer Zertifikatsanforderung (Certificate Signing Request, CSR) und Zuweisen der Administratorrolle
- Zertifikat importieren, privater Schlüssel und Zuweisung der Admin-Rolle.
- Erstellen Sie ein selbstsigniertes Zertifikat, und weisen Sie die Administratorrolle zu.
In diesem Dokument wird die Methode mithilfe einer CSR-Anfrage beschrieben.
Schritt 1: Erstellen einer Zertifikatsignierungsanforderung (CSR)
- Navigieren Sie auf der ISE zu Administration > System > Certificates > Certificate Signing Requests.
- Klicken Sie auf CSR (Certificate Signing Request) generieren.
- Wählen Sie unter Usage (Nutzung) die Option Admin.
- Wählen Sie in Node(s) (Knoten) den primären Admin-Knoten aus.
- Füllen Sie die Zertifikatinformationen aus.
- Klicken Sie auf Erstellen.
- Exportieren Sie die Datei, und unterzeichnen Sie sie mit einer gültigen Berechtigung.
CSR-Erstellung
Schritt 2: Importieren Sie die Stammzertifizierungsstelle, die Ihren CSR signiert hat.
- Navigieren Sie auf der ISE zu Administration > System > Certificates > Trusted Certificates.
- Klicken Sie auf Importieren.
- Klicken Sie auf Choose File (Datei auswählen), und wählen Sie das Zertifikat der Stammzertifizierungsstelle aus.
- Schreiben Sie einen Anzeigenamen.
- Aktivieren Sie die Kontrollkästchen:
- Authentifizierung innerhalb der ISE als vertrauenswürdig einstufen.
- Vertrauen Sie auf die Authentifizierung von Cisco Services.
- Klicken Sie auf Senden.
Stammzertifikat importieren
Schritt 3: Signierten CSR importieren
- Navigieren Sie auf der ISE zu Administration > System > Certificates > Certificate Signing Requests.
- Wählen Sie den CSR aus, und klicken Sie auf Zertifikat binden.
- Klicken Sie auf Choose file, und wählen Sie das signierte Zertifikat aus.
- Konfigurieren eines Anzeigenamens.
Zertifikat binden
Zertifikat binden
Schritt 4: Konfigurieren der Neustartzeit
- Jetzt können Sie einen neuen Abschnitt sehen. Hier konfigurieren Sie den Neustartvorgang.
- Sie können eine Zeit pro Knoten konfigurieren oder beide Knoten auswählen und die gleiche Konfiguration anwenden.
- Wählen Sie einen Knoten aus, und klicken Sie auf Set Restart Time (Neustartzeit festlegen).
- Wählen Sie das Datum und die Uhrzeit aus, und klicken Sie auf Speichern.
- Überprüfen Sie die Uhrzeit, und klicken Sie auf Submit (Senden).
Neustartzeit festlegen
Neustartzeit bestätigen
Überprüfung
Eine neue Registerkarte ist verfügbar. Navigieren Sie zu Administration > System > Certificates > Admin Certificate Node Restart. Sie können die durchgeführte Konfiguration validieren und bei Bedarf ändern.
Klicken Sie zum Ändern auf Set Restart Time (Neustartzeit festlegen) oder Restart Now (Jetzt neu starten).
Überprüfen des Neustartstatus
Sie können den Knotenstatus während des Prozesses überprüfen. Das nächste Bild ist ein Beispiel, wenn ein Knoten neu geladen wird und der andere Knoten ausgeführt wird:
PAN neu gestartet
Überprüfen Sie die Änderungen, und laden Sie die Berichte neu.
Um die Konfigurationsänderungen zu überprüfen, navigieren Sie zu Operations > Reports > Reports > Audit > Change Configuration Audit.
Konfigurationsbericht
Um den Neustart zu überprüfen, navigieren Sie zu Operationen > Berichte > Audit > Operations Audit.
Bericht neu starten
Beispielprotokolle von ***-ise-33-2, ise-psc.log:
Configuration applied:
2023-09-27 15:26:12,109 INFO [DefaultQuartzScheduler_Worker-6][[]] admin.caservice.certmgmt.scheduler.AdminCertControlledRestartStatusJob -:::::-
Restart is Not configured , Hence skipping restart status check for asc-ise33-1037
2023-09-27 15:26:57,775 INFO [admin-http-pool6][[]] cpm.admin.infra.action.RestartAction -::admin:::-
adminCertRestartData received --{"items":[{"hostName":"asc-ise33-1037","restartTime":"2023-09-27:10:00PM"},
{"hostName":"***-ise-33-2","restartTime":"2023-09-27:10:00PM"}]}
Restart starts:
2023-09-27 21:59:11,952 INFO [DefaultQuartzScheduler_Worker-6][[]] admin.caservice.certmgmt.scheduler.AdminCertControlledRestartStatusJob -:::::-
Executing AdminCertControlledRestartStatusJob [AdminCertControlledRestart[id=4af7d9c4-31d9-48e0-83dc-19a6cf378528,hostname=***-ise-33-2,
noderestartconfig=2023-09-27:10:00PM,noderestartstatus=Not Restarted,details=Not Restarted,maxdate=Thu Oct 12 2023 14:26:59 GMT-0600 (hora estandar central)],
AdminCertControlledRestart[id=38b811df-03b5-4a64-87b6-363290b6b4ce,hostname=asc-ise33-1037,noderestartconfig=2023-09-27:10:00PM,
noderestartstatus=Not Restarted,details=Not Restarted,maxdate=Thu Oct 12 2023 14:43:01 GMT-0600 (hora estandar central)]]
2023-09-27 21:59:12,113 INFO [DefaultQuartzScheduler_Worker-6][[]] admin.caservice.certmgmt.scheduler.AdminCertControlledRestartStatusJob -:::::-
Restart configured , proceeding to trackRestartStatus for ***-ise-33-2
2023-09-27 21:59:12,113 INFO [DefaultQuartzScheduler_Worker-6][[]] admin.caservice.certmgmt.scheduler.AdminCertControlledRestartStatusJob -:::::-
Restart configured , proceeding to trackRestartStatus for asc-ise33-1037
2023-09-27 22:00:00,003 INFO [DefaultQuartzScheduler_Worker-3][[]] admin.caservice.certmgmt.scheduler.AdminCertControlledRestartSchedulerJob -:::::-
Executing AdminCertControlledRestartSchedulerJob
2023-09-27 22:00:00,022 INFO [DefaultQuartzScheduler_Worker-3][[]] admin.caservice.certmgmt.scheduler.AdminCertControlledRestartSchedulerJob -:::::-
Executing AdminCertControlledRestartSchedulerJob [AdminCertControlledRestart[id=4af7d9c4-31d9-48e0-83dc-19a6cf378528,hostname=***-ise-33-2,
noderestartconfig=2023-09-27:10:00PM,noderestartstatus=Not Restarted,details=Not Restarted,maxdate=Thu Oct 12 2023 14:26:59 GMT-0600 (hora estandar central)],
AdminCertControlledRestart[id=38b811df-03b5-4a64-87b6-363290b6b4ce,hostname=asc-ise33-1037,noderestartconfig=2023-09-27:10:00PM,
noderestartstatus=Not Restarted,details=Not Restarted,maxdate=Thu Oct 12 2023 14:43:01 GMT-0600 (hora estandar central)]]
2023-09-27 22:00:00,288 INFO [DefaultQuartzScheduler_Worker-3][[]] admin.caservice.certmgmt.scheduler.AdminCertControlledRestartSchedulerJob -:::::-
Restart failed or not restarted yet , hence preparing restart for ***-ise-33-2
2023-09-27 22:00:00,288 INFO [DefaultQuartzScheduler_Worker-3][[]] admin.caservice.certmgmt.scheduler.AdminCertControlledRestartSchedulerJob -:::::-
Configured Date is now , hence proceeding for restart , for ***-ise-33-2
023-09-27 22:00:00,288 INFO [DefaultQuartzScheduler_Worker-3][[]] cpm.infrastructure.certmgmt.api.AdminCertControlRestartUIAPI -:::::-
updateRestartStatus updating restarted status
2023-09-27 22:00:00,288 INFO [DefaultQuartzScheduler_Worker-3][[]] cpm.infrastructure.certmgmt.api.AdminCertControlRestartUIAPI -:::::-
Updating the data for node: ***-ise-33-2
2023-09-27 22:00:00,313 INFO [DefaultQuartzScheduler_Worker-3][[]] admin.caservice.certmgmt.scheduler.AdminCertControlledRestartSchedulerJob -:::::-
Restart failed or not restarted yet , hence preparing restart for asc-ise33-1037
2023-09-27 22:00:00,313 INFO [DefaultQuartzScheduler_Worker-3][[]] admin.caservice.certmgmt.scheduler.AdminCertControlledRestartSchedulerJob -:::::-
Configured Date is now , hence proceeding for restart , forasc-ise33-1037
2023-09-27 22:00:00,324 INFO [DefaultQuartzScheduler_Worker-3][[]] admin.caservice.certmgmt.scheduler.AdminCertControlledRestartSchedulerJob -:::::-
restartNowList : ***-ise-33-2.aaamexrub.com,asc-ise33-1037.aaamexrub.com
Beispielprotokolle von ***-ise-33-2, restartutil.log:
[main] Wed Sep 27 22:00:09 EST 2023:---------------------------------------------------------------
[main] Wed Sep 27 22:00:09 EST 2023:RestartUtil: BEGIN - Restart called with args apponly:1377:***-ise-33-2.aaamexrub.com,asc-ise33-1037.aaamexrub.com
[main] Wed Sep 27 22:00:09 EST 2023:---------------------------------------------------------------
[main] Wed Sep 27 22:00:14 EST 2023:RestartUtil: Restarting Local node
[main] Wed Sep 27 22:00:14 EST 2023:[/usr/bin/sudo, /opt/CSCOcpm/bin/cpmcontrol.sh, restart_appserver_es]
[main] Wed Sep 27 22:27:13 EST 2023:RestartUtil: Restarted local node and waiting for it to come up...
[main] Wed Sep 27 22:37:47 EST 2023:RestartUtil: Restart success for local node .
[main] Wed Sep 27 22:37:48 EST 2023:RestartUtil: Restarting node asc-ise33-1037.aaamexrub.com
[main] Wed Sep 27 22:37:54 EST 2023:RestartUtil: statusLine>>>HTTP/1.1 200
[main] Wed Sep 27 22:37:54 EST 2023:RestartUtil: Waiting for node asc-ise33-1037.aaamexrub.com to come up after restart...
[main] Wed Sep 27 22:52:43 EST 2023:RestartUtil: Restart successful on node: asc-ise33-1037.aaamexrub.com
[main] Wed Sep 27 22:52:43 EST 2023:RestartUtil: cred file deleted
[main] Wed Sep 27 22:52:43 EST 2023:---------------------------------------------------------------
[main] Wed Sep 27 22:52:43 EST 2023:RestartUtil:END- Restart called with args apponly:1377:***-ise-33-2.aaamexrub.com,asc-ise33-1037.aaamexrub.com
[main] Wed Sep 27 22:52:43 EST 2023:---------------------------------------------------------------
[main] Wed Sep 27 23:00:10 EST 2023: Usage RestartUtil local||remote apponly|full
Beispielprotokolle von asc-ise33-1037, restartutil.log:
main] Wed Sep 27 19:00:10 UTC 2023: Usage RestartUtil local||remote apponly|full
[main] Thu Sep 28 04:37:14 UTC 2023:---------------------------------------------------------------
[main] Thu Sep 28 04:37:14 UTC 2023:RestartUtil: BEGIN - Restart called with args apponly:1377:localhost
[main] Thu Sep 28 04:37:14 UTC 2023:---------------------------------------------------------------
[main] Thu Sep 28 04:37:16 UTC 2023:RestartUtil: Restarting Local node
[main] Thu Sep 28 04:37:16 UTC 2023:[/usr/bin/sudo, /opt/CSCOcpm/bin/cpmcontrol.sh, restart_appserver_es]
[main] Thu Sep 28 04:52:41 UTC 2023:RestartUtil: Restarted local node and waiting for it to come up...
[main] Thu Sep 28 04:53:12 UTC 2023:RestartUtil: Restart success for local node .
[main] Thu Sep 28 04:53:12 UTC 2023:RestartUtil: cred file deleted
[main] Thu Sep 28 04:53:12 UTC 2023:---------------------------------------------------------------
[main] Thu Sep 28 04:53:12 UTC 2023:RestartUtil:END- Restart called with args apponly:1377:localhost
[main] Thu Sep 28 04:53:12 UTC 2023:---------------------------------------------------------------
Fehlerbehebung
Um die Informationen zu dieser Funktion zu überprüfen, können Sie die folgenden Dateien überprüfen:
- ise-psc.log
- restartutil.log
Um sie in Echtzeit über die Befehlszeile zu überprüfen, können Sie die folgenden Befehle verwenden:
show logging application restartutil.log tail
show logging application ise-psc.log tail
Zugehörige Informationen
•Technischer Support und Downloads von Cisco