背景:
ISEのapplication serverがInitializingの状態で止まってしまい、ADE.logでは以下のログが出力されております。application reset iseを実施しても改善されません。
ADE.logで出力されるログ:
ERROR SSLClientChannelPipelineFactory Unable to find admin cert in > the key store, ES SSL socket connection will not be established.
推定原因:
Admin証明書の重複が原因となります。
トラブルシューティング方法:
ISEのCLIにRoot権限でアクセスして証明書状況を確認します。
※Cisco TACより「Challenge Response」を発行する必要があります。
1、Root 権限の取得と root アクセスの確認
1.1 ISE へ CLI にて Login します。
※ssh/console どちらでもOKです。
1.2 Challenge Token Request を生成します。
※ISE の CLI で、以下の手順通りにご実施ください。
admin/admin# permit rootaccess
- Generate Challenge Token Request
- Enter Challenge Response for Root Access
- Show History
- Exit
1.3 Enter CLI Option:の配下に1を入力してEnterを押下します。
1.4 生成された「Challenge String」を弊社TACに送付して頂きます。
※15分間の時間制限があるため、「Challenge String」を素早くTACに送ってください。
1.5弊社からの連絡をお待ちください。
※「Challenge String」をもとに「Challenge Response」キーを生成し、送付します。
1.6「Challenge Response」キーの適用(root アクセスの確認)
※1.3のCLIプロンプトに続いて、2 を押して実行していただきます。
CLIで「Please input the response when you are ready」のメッセージが出ましたら、
弊社により送付致しました「Challenge Response」キーをプロンプトに貼り付けて、「Enter」キーで終了していただきます。
※Rootアクセスに成功するとプロンプトが "sh-4.2#" となります。
2.下記コマンドを実行して証明書を確認します。
sh-4.4# cd /opt/CSCOcpm/appsrv/apache-tomcat/conf/nssdb
sh-4.4#for NAME in `certutil -d . -L|cut -d " " -f1`; do if test "$NAME" != 'Certificate'; then echo 'Alias:' $NAME;certutil -d . -L -n $NAME|grep Subject:; fi; done
上記コマンドが実行できない場合、下記のコマンドをお試しください。
for NAME in `certutil -d sql:. -L|cut -d " " -f1`; do if test "$NAME" != 'Certificate'; then echo 'Alias:' $NAME;certutil -d sql:. -L -n $NAME|grep Subject:;certutil -d sql:. -L -n $NAME | grep -A1 "Serial Number":; fi; done
確認結果:
以下のように重複したAdmin証明書が確認できます。
============
Alias: tomcat
Subject: "C=US,CN=AAAAAAAAAAAA"
Subject: "C=US,CN=AAAAAAAAAAAA"
Serial Number:
11:11:11:11:11:11:11:11:11:11:11:11:11:11:11:11
--
Alias: tomcat
Subject: "AAAAAAAAAAAA"
Subject: "AAAAAAAAAAAA"
Serial Number:
11:11:11:11:11:11:11:11:11:11:11:11:11:11:11:11
============
対応方法:
application reset-config iseを実行して「証明書を保存しますか」が聞かれましたら、保存しないでください。
参考文献:
https://www.cisco.com/c/ja_jp/td/docs/security/ise/3-0/admin_guide/b_ISE_admin_3_0/b_ISE_admin_30_basic_setup.html