Bonjour
Nous avons un ISE 2.4.0.357, sur le déploiement nous pouvons voir ces nœuds :
Dans le certificat système, nous pouvons voir que ce certificat expirera bientôt, ce certificat a un CN unique mais san avec tous les noms d’hôte du nœud:
Ce même certificat est utilisé pour tous les nœuds, à l’exception d’un nœud qui possède un certificat auto-signé :
L’idée est de renouveler ces certificats avec un certificat commun à tous les nœuds. J’ai généré des CSR pour tous les nœuds, en gros seuls les noms amicaux changent :
L’étape suivante consiste donc, pour chaque nœud, à lier le certificat signé, signé par notre autorité de certification interne, n’est-ce pas ?
Cela signifie-t-il également que chaque nœud redémarrera également ses services ISE ? Comme il va falloir renouveler le certificat Admin ?
Merci d’avance pour votre aide,
Solutions approuvées
Si le certificat comporte des entrées SAN pour chacun des nœuds ISE, cela devrait aller.
En supposant que vos NAT (commutateurs, contrôleurs wifi, etc.) ont été configurés avec tous vos PSN (RADIUS / TACACS), alors oui, si vous redémarrez les services sur un PSN, les autres continueront à fournir le service. Je recommanderais toujours d’effectuer le travail dans une période calme.
Pour info, certains services ne sont pas disponibles lorsque le PAN est en panne
HTH
Si le certificat comporte des entrées SAN pour chacun des nœuds ISE, cela devrait aller.
En supposant que vos NAT (commutateurs, contrôleurs wifi, etc.) ont été configurés avec tous vos PSN (RADIUS / TACACS), alors oui, si vous redémarrez les services sur un PSN, les autres continueront à fournir le service. Je recommanderais toujours d’effectuer le travail dans une période calme.
Pour info, certains services ne sont pas disponibles lorsque le PAN est en panne
HTH
