Comprar o Renovar
Comprar o Renovar
cancelar
Activar sugerencias
La sugerencia automática le ayuda a obtener, de forma rápida, resultados precisos de su búsqueda al sugerirle posibles coincidencias mientras escribe.
Mostrando los resultados de 
Buscar en lugar de 
Quiere decir: 
cancel
Iniciar una conversación
1457
Visitas
0
ÚTIL
4
Respuestas

Renovación de certificados ISE 2.4.0.357

Ir a solución
Translator
Community Manager
Community Manager

el ‎09-24-2021 05:31 PM

Hola

Tenemos un ISE 2.4.0.357, en despliegue podemos ver estos nodos:

Capture.JPG

En el Certificado del Sistema podemos ver que este certificado caducará pronto, este certificado tiene un CN único pero SAN con todos los nombres de host del nodo:

Capture2.JPG

Este mismo certificado se utiliza para todos los nodos, excepto un nodo que tiene un certificado autofirmado:

Capture6.JPG

La idea es renovar estos certificados por uno común para todos los nodos. He generado CSR para todos los nodos, básicamente solo cambian los nombres amigables:

Capture4.JPG

Entonces, el siguiente paso es, para cada nodo, enlazar el certificado firmado, firmado por nuestra CA interna, ¿correcto?

¿Significa eso también que cada nodo también reiniciará sus servicios ISE? Como tendremos que renovar el certificado de administrador?

Gracias de antemano por su ayuda,

0 Útil
1 SOLUCIÓN ACEPTADA

Soluciones aceptadas

Ir a solución
Translator
Community Manager
Community Manager
En respuesta a Translator

el ‎09-24-2021 05:31 PM

@Clem58

Si el certificado tiene entradas SAN para cada uno de los nodos ISE, eso debería estar bien.

Suponiendo que sus NAD (conmutadores, controladores wifi, etc.) se hayan configurado con todos sus PSN (RADIUS / TACACS), entonces sí, si reinicia los servicios en un PSN, los demás continuarán brindando servicio. Todavía recomendaría realizar el trabajo en un período tranquilo.

Para su información, algunos servicios no están disponibles cuando el PAN está caído

ise-failover.PNG

HTH

Ver la solución en mensaje original publicado

0 Útil
4 RESPUESTAS 4

Ir a solución
Translator
Community Manager
Community Manager

el ‎09-24-2021 05:31 PM

@Clem58 Sí, el certificado necesitaría enlazar a cada nodo, ya que es el certificado de administración que los servicios ISE reiniciarán. Así que planifica el cambio en consecuencia, asegúrate de no hacer los PSN al mismo tiempo.

0 Útil

Ir a solución
Translator
Community Manager
Community Manager
En respuesta a Translator

el ‎09-24-2021 05:31 PM

Gracias Rob por tu rápida respuesta.

Nuestra CA no quiere generar un certificado firmado para cada nodo.

Pero en realidad los CSR generados contenían exactamente los mismos campos, CN y SANs, por lo que si usamos solo uno de los CSR exportados y dejamos que CA genere el certificado firmado, deberíamos poder enlazar este mismo certificado firmado para cada nodo, ¿correcto?

En cuanto a la planificación del cambio, cuando los servicios se reinicien el nodo ISE debería conmutar por error a los otros Nodos que asumo, por lo que no tanto riesgo ? De todos modos tenemos que planificarlo.

0 Útil

Ir a solución
Translator
Community Manager
Community Manager
En respuesta a Translator

el ‎09-24-2021 05:31 PM

@Clem58

Si el certificado tiene entradas SAN para cada uno de los nodos ISE, eso debería estar bien.

Suponiendo que sus NAD (conmutadores, controladores wifi, etc.) se hayan configurado con todos sus PSN (RADIUS / TACACS), entonces sí, si reinicia los servicios en un PSN, los demás continuarán brindando servicio. Todavía recomendaría realizar el trabajo en un período tranquilo.

Para su información, algunos servicios no están disponibles cuando el PAN está caído

ise-failover.PNG

HTH

0 Útil

Ir a solución
Translator
Community Manager
Community Manager
En respuesta a Translator

el ‎09-24-2021 05:32 PM

¡Muchas gracias Rob por su respuesta completa!
0 Útil

Navegue y encuentre contenido personalizado de la comunidad

Documentos de Seguridad Videos de Seguridad Otros Eventos de Seguridad
Customers Also Viewed These Support Documents