本DocumentではISEを1.2から1.3にUpgradeする際、はまりがちな点を紹介します。
[Upgradeに関しての一般的な注意点]
- Upgrade/Migrate/Installに関して1.3に限らず詳細は
http://www.cisco.com/c/en/us/support/security/identity-services-engine/products-installation-guides-list.html
にてdocument化されていますので適宜確認下さい。
- Upgradeは1.2.0/1.2.1の段階でできる限り最新のpatchを適用した上で実施下さい。
http://www.cisco.com/c/en/us/td/docs/security/ise/1-3/release_notes/ise13_rn.html#pgfId-209746
- ISE1.3からは64bit architectureになります。VMで構築の場合Guest OSのLinuxは64-bit版を選択下さい。
http://www.cisco.com/c/en/us/td/docs/security/ise/1-3/release_notes/ise13_rn.html#pgfId-384531
[上記では触れられていない点]
- Upgradeが以下messageで失敗することがあります。
ISE12-A/admin# application upgrade ise-upgradebundle-1.2.x-to-1.3.0.876.repackaged.x86_64.tar.gz REPO
Save the current ADE-OS running configuration? (yes/no) [yes] ? yes
Generating configuration...
Saved the ADE-OS running configuration to startup successfully
Getting bundle to local machine...
md5: a7a4c7e1b5279972cfc39faf6091c402
sha256: 7e4688a6b1bfd15be659b49dce63a55fc9141ec1def3be89442d736d4dd8e60a
% Please confirm above crypto hash matches what is posted on Cisco download site.
% Continue? Y/N [Y] ? y
Unbundling Application Package...% Manifest file not found in the bundle
ISE12-A/admin#
この場合、もちろん手元のupgradebundleのhash値が正しいものであるか確認する必要もありますが、まずはrepository側でファイルの転送が正しくできているか確認下さい(転送したファイルサイズがupgradebundleのファイルサイズと等しいことを確認)。
上記の事例ではrepositoryのprotocolとしてFTPを使用しておりましたが、FTP serverが
4GB overのファイル転送に対応していない場合ファイル転送が完全にはできず、上記message
が表示され、Upgradeに失敗します。
(確認した限りでは3CDaemonでは転送できず、FileZilla Serverでは転送できました)
- Upgrade時、Certificate StoreにExpireしたCA証明書が存在していると以下のmessage
で失敗します。
ISE12-A/admin# application upgrade ise-upgradebundle-1.2.x-to-1.3.0.876.repackaged.x86_64.tar.gz REPO
Save the current ADE-OS running configuration? (yes/no) [yes] ? yes
Generating configuration...
Saved the ADE-OS running configuration to startup successfully
Getting bundle to local machine...
md5: 76e17877c2fb70d1006a20780fbf5b98
sha256: 461a0931c2f498399d96f195b1ab3d196fe7694f6e0cc2b4cb75928aced5f1c7
% Please confirm above crypto hash matches what is posted on Cisco download site.
% Continue? Y/N [Y] ?y
Unbundling Application Package...
Initiating Application Upgrade...
% Warning: Do not use Ctrl-C or close this terminal window until upgrade completes.
-Checking VM for minimum hardware requirements
STEP 1: Stopping ISE application...
STEP 2: Verifying files in bundle...
-Internal hash verification passed for bundle
STEP 3: Validating data before upgrade...
Trust certificate with friendly name 'JTAC000005.cisco.com#JTAC000005.cisco.com#00001.pem' is invalid: The certificate has expired.
% Error: One or more trust certificates are invalid (see above), please re-import valid CA Certificate(s) before continuing. Upgrade cannot continue.
Starting application after rollback...
% Error: The node has been reverted back to its pre-upgrade state.
ISE12-A/admin#
この場合、当該証明書をISE GUIから削除してUpgradeを実施する必要があります。
- Upgrade時、ISEのServer certificateがExpireしていると以下messageでUpgradeに
失敗します。
ISE12-A/admin# application upgrade ise-upgradebundle-1.2.x-to-1.3.0.876.repackaged.x86_64.tar.gz vnap
Save the current ADE-OS running configuration? (yes/no) [yes] ? yes
Generating configuration...
Saved the ADE-OS running configuration to startup successfully
Getting bundle to local machine...
md5: 76e17877c2fb70d1006a20780fbf5b98
sha256: 461a0931c2f498399d96f195b1ab3d196fe7694f6e0cc2b4cb75928aced5f1c7
% Please confirm above crypto hash matches what is posted on Cisco download site.
% Continue? Y/N [Y] ? y
Unbundling Application Package...
Initiating Application Upgrade...
% Warning: Do not use Ctrl-C or close this terminal window until upgrade completes.
-Checking VM for minimum hardware requirements
STEP 1: Stopping ISE application...
STEP 2: Verifying files in bundle...
-Internal hash verification passed for bundle
STEP 3: Validating data before upgrade...
System certificate with friendly name 'Default self-signed server certificate' is invalid: The certificate has expired.
% Error: One or more system certificates are invalid (see above), please update with valid system certificate(s) before continuing. Upgrade cannot continue.
Starting application after rollback...
% Error: The node has been reverted back to its pre-upgrade state.
ISE12-A/admin#
この場合、証明書を更新するもしくは新たな証明書をISE GUIからimportしておく必要があります。
Upgrade作業にはVMのresource等によっては数十分単位でかかる場合があり、証明書に関するエラーはapplication upgradeの最後の段階で発生するため、大きな出戻りとなります。
Production環境では証明書の失効はあまり無いかもしれませんが、検証環境ではよくあることが考えられますのでご注意下さい。