事象
以下のような SAML 証明書の期限切れのアラームが発生します。
--------------------
Alarm Name :
Certificate Expired
Details :
Local certificate 'Default self-signed saml server certificate - CN=SAML_NPB-ISE-ADMIN.ad.newpeoples.com' expired on Wed; 28 Mar 2019 : Server=NPB-ISE-ADMIN
Description :
This certificate has expired! ISE may fail when attempting to establish secure communications with clients. Inter-node communication may also be affected
Severity :
Critical
Suggested Actions :
Replace the certificate. For a trust certificate, contact the issuing Certificate Authority (CA). For a CA-signed local certificate, generate a CSR and have the CA create a new certificate. For a self-signed local certificate, use ISE to extend the expiration date. You can just delete the certificate if it is no longer used. For a system certificate, navigate to Administration > System > Certificate > System Certificates to view details. For a trusted certificate, navigate to Administration > System > Certificate > Trusted Certificates to view details
---------------------
原因
ISE のインストール時にデフォルトで生成された SAML 証明書は期限切れになったため、
該当アラームが発生しています。
また、SAML 機能を利用しない場合でも、製品の仕様上で、SAML 証明書が削除できませんので、
該当アラームを回避するには、SAML 証明書を更新する必要があります。
対策
デフォルトで生成された SAML 証明書は自己署名証明書ですので、期限切れになった場合、特に証明書を再作成し、更新する必要がありません。
既存の証明書の編集で証明書の期限を延長することが可能です。
詳細な手順につきまして、下記をご参照ください。
- Administration > Certificates > Certificate Management > System Certificates から
SAML 証明書を選択し、[Edit]をクリックします。
- [Renew Self Signed Certificate] セクションにて、[Renewal Period]にチェックを入れ、[Expiration TTL]を設定します。(例えば 10 年)
- [Save]をクリックします。
参考情報
Cisco Identity Services Engine Administrator Guide, Release 2.6
https://www.cisco.com/c/en/us/td/docs/security/ise/2-6/admin_guide/b_ise_admin_guide_26/b_ise_admin_guide_26_chapter_0111.html#ID852
