el 09-24-2021 05:31 PM
Hola
Tenemos un ISE 2.4.0.357, en despliegue podemos ver estos nodos:
En el Certificado del Sistema podemos ver que este certificado caducará pronto, este certificado tiene un CN único pero SAN con todos los nombres de host del nodo:
Este mismo certificado se utiliza para todos los nodos, excepto un nodo que tiene un certificado autofirmado:
La idea es renovar estos certificados por uno común para todos los nodos. He generado CSR para todos los nodos, básicamente solo cambian los nombres amigables:
Entonces, el siguiente paso es, para cada nodo, enlazar el certificado firmado, firmado por nuestra CA interna, ¿correcto?
¿Significa eso también que cada nodo también reiniciará sus servicios ISE? Como tendremos que renovar el certificado de administrador?
Gracias de antemano por su ayuda,
¡Resuelto! Ir a solución.
el 09-24-2021 05:31 PM
Si el certificado tiene entradas SAN para cada uno de los nodos ISE, eso debería estar bien.
Suponiendo que sus NAD (conmutadores, controladores wifi, etc.) se hayan configurado con todos sus PSN (RADIUS / TACACS), entonces sí, si reinicia los servicios en un PSN, los demás continuarán brindando servicio. Todavía recomendaría realizar el trabajo en un período tranquilo.
Para su información, algunos servicios no están disponibles cuando el PAN está caído
HTH
el 09-24-2021 05:31 PM
@Clem58 Sí, el certificado necesitaría enlazar a cada nodo, ya que es el certificado de administración que los servicios ISE reiniciarán. Así que planifica el cambio en consecuencia, asegúrate de no hacer los PSN al mismo tiempo.
el 09-24-2021 05:31 PM
Gracias Rob por tu rápida respuesta.
Nuestra CA no quiere generar un certificado firmado para cada nodo.
Pero en realidad los CSR generados contenían exactamente los mismos campos, CN y SANs, por lo que si usamos solo uno de los CSR exportados y dejamos que CA genere el certificado firmado, deberíamos poder enlazar este mismo certificado firmado para cada nodo, ¿correcto?
En cuanto a la planificación del cambio, cuando los servicios se reinicien el nodo ISE debería conmutar por error a los otros Nodos que asumo, por lo que no tanto riesgo ? De todos modos tenemos que planificarlo.
el 09-24-2021 05:31 PM
Si el certificado tiene entradas SAN para cada uno de los nodos ISE, eso debería estar bien.
Suponiendo que sus NAD (conmutadores, controladores wifi, etc.) se hayan configurado con todos sus PSN (RADIUS / TACACS), entonces sí, si reinicia los servicios en un PSN, los demás continuarán brindando servicio. Todavía recomendaría realizar el trabajo en un período tranquilo.
Para su información, algunos servicios no están disponibles cuando el PAN está caído
HTH
el 09-24-2021 05:32 PM
Descubra y salve sus notas favoritas. Vuelva a encontrar las respuestas de los expertos, guías paso a paso, temas recientes y mucho más.
¿Es nuevo por aquí? Empiece con estos tips. Cómo usar la comunidad Guía para nuevos miembros
Navegue y encuentre contenido personalizado de la comunidad