購入する または契約更新する
購入する または契約更新する
キャンセル
提案をオンにする
自動提案では、入力時に可能な一致が提案されるので検索結果を素早く絞り込むことができます。
次の結果を表示 
次の代わりに検索 
もしかして: 
cancel
新しい記事を作成する
735
閲覧回数
4
いいね!
0
コメント

事例:ISE: Application serverがInitializingの状態で止まってしまう

shuahan
Cisco Employee
Cisco Employee

‎2024-03-22 12:53 PM ‎2024-03-22 02:25 PM 更新

背景:

ISEapplication serverがInitializingの状態で止まってしまい、ADE.logでは以下のログが出力されております。application reset iseを実施しても改善されません。

 

ADE.logで出力されるログ:

 

ERROR SSLClientChannelPipelineFactory Unable to find admin cert in > the key store, ES SSL socket connection will not be established.

 

推定原因:

Admin証明書の重複が原因となります。

 

トラブルシューティング方法:

 

ISEのCLIにRoot権限でアクセスして証明書状況を確認します。

※Cisco TACより「Challenge Response」を発行する必要があります。

 

1、Root 権限の取得と root アクセスの確認

 

1.1 ISE  CLI にて Login します。

※ssh/console どちらでもOKです。

 

1.2 Challenge Token Request を生成します。

※ISE の CLI で、以下の手順通りにご実施ください。

 

admin/admin# permit rootaccess

  1.   Generate Challenge Token Request
  2.   Enter Challenge Response for Root Access
  3.   Show History
  4.   Exit

 

1.3 Enter CLI Option:の配下に1を入力してEnterを押下します。

 

1.4 生成された「Challenge String」を弊社TACに送付して頂きます。

 ※15分間の時間制限があるため、「Challenge String」を素早くTACに送ってください。

 

1.5弊社からの連絡をお待ちください。

※「Challenge String」をもとに「Challenge Response」キーを生成し、送付します。

 

1.6Challenge Response」キーの適用(root アクセスの確認)

1.3CLIプロンプトに続いて、を押して実行していただきます。

CLIで「Please input the response when you are ready」のメッセージが出ましたら、

弊社により送付致しました「Challenge Response」キーをプロンプトに貼り付けて、「Enter」キーで終了していただきます。

※Rootアクセスに成功するとプロンプトが "sh-4.2#" となります。

 

2.下記コマンドを実行して証明書を確認します。

 

sh-4.4# cd /opt/CSCOcpm/appsrv/apache-tomcat/conf/nssdb

sh-4.4#for NAME in `certutil -d . -L|cut -d " " -f1`; do if test "$NAME" != 'Certificate'; then echo 'Alias:' $NAME;certutil -d . -L -n $NAME|grep Subject:; fi; done

 

上記コマンドが実行できない場合、下記のコマンドをお試しください。

 

for NAME in `certutil -d sql:. -L|cut -d " " -f1`; do if test "$NAME" != 'Certificate'; then echo 'Alias:' $NAME;certutil -d sql:. -L -n $NAME|grep Subject:;certutil -d sql:. -L -n $NAME | grep -A1 "Serial Number":; fi; done

 

確認結果:

以下のように重複したAdmin証明書が確認できます。

 

============

Alias: tomcat

        Subject: "C=US,CN=AAAAAAAAAAAA"

        Subject: "C=US,CN=AAAAAAAAAAAA"

        Serial Number:

            11:11:11:11:11:11:11:11:11:11:11:11:11:11:11:11

--

Alias: tomcat

        Subject: "AAAAAAAAAAAA"

        Subject: "AAAAAAAAAAAA"

        Serial Number:

            11:11:11:11:11:11:11:11:11:11:11:11:11:11:11:11

============

 

対応方法:

application reset-config iseを実行して「証明書を保存しますか」が聞かれましたら、保存しないでください。

 

参考文献:

https://www.cisco.com/c/ja_jp/td/docs/security/ise/3-0/admin_guide/b_ISE_admin_3_0/b_ISE_admin_30_basic_setup.html

Getting Started

検索バーにキーワード、フレーズ、または質問を入力し、お探しのものを見つけましょう

シスコ コミュニティをいち早く使いこなしていただけるよう役立つリンクをまとめました。みなさんのジャーニーがより良いものとなるようお手伝いします

Customers Also Viewed These Support Documents