已解决: 重新： ISE 2.4.0.357 证书续签

Translator · ‎09-24-2021

你好

我们有一个ISE 2.4.0.357，在部署时，我们可以看到这些节点：

在系统证书中，我们可以看到此证书即将到期，此证书有一个唯一的 CN，但 SAN 具有所有节点的主机名：

除一个节点具有自签名证书外，所有节点均使用此证书：

其理念是为所有节点更新这些证书。我已经为所有节点生成了CSR，基本上只有友好的名字在改变：

因此，下一步是，对于每个节点，绑定签名证书，由我们的内部CA签署，正确吗？

这是否也意味着每个节点也将重新启动其ISE服务？由于我们将不得不更新管理证书？

谢谢你的帮助，

Translator · ‎09-24-2021

如果证书中每个 ISE 节点都有 SAN 条目，则应该没问题。

假设您的 NAD（开关、wifi 控制器等）已与您的所有 PSN （RADIUS/TACACS）进行配置，那么如果您重新启动一个 PSN 上的服务，则其他 PSN 将继续提供服务。我仍然建议在安静的时期完成这项工作。

FYI，当 PAN 关闭时，某些服务不可用

赫斯

Translator · ‎09-24-2021

@Clem58 是的，该证书需要对每个节点具有约束力，因为它是 ISE 服务将重新启动的管理员证书。因此，请相应地计划更改，确保您不会同时进行 PSN。

Translator · ‎09-24-2021

谢谢罗布的快速回答。

我们的 CA 不想为每个节点生成签名证书。

但实际上产生的CSR包含完全相同的字段，CN和SONE，所以如果我们只使用一个CSR出口，让CA生成签名证书，我们应该能够绑定这个相同的签名证书为每个节点，正确吗？

关于计划更改，当服务将重新启动 ISE 节点时，应故障转换到我假设的其他节点，所以风险不大？无论如何，我们需要计划它。

Translator · ‎09-24-2021

如果证书中每个 ISE 节点都有 SAN 条目，则应该没问题。

假设您的 NAD（开关、wifi 控制器等）已与您的所有 PSN （RADIUS/TACACS）进行配置，那么如果您重新启动一个 PSN 上的服务，则其他 PSN 将继续提供服务。我仍然建议在安静的时期完成这项工作。

FYI，当 PAN 关闭时，某些服务不可用

赫斯

Translator · ‎09-24-2021

非常感谢罗布的全面回答！