2021年7月27日 (初版)
TAC SR Collection |
主な問題 |
Cisco DNA Center バージョン 2.x 以降で ISE Integration を行なう際、TLS handshake が失敗して network-design-service Pod のログに以下のエラーが記録される場合があります。
[timestamp] | ERROR | SimpleAsyncTaskExecutor-[x] | | c.c.a.c.s.trust.CiscoISEManager | Cannot establish trust with Cisco ISE: javax.net.ssl.SSLHandshakeException: PKIX path validation failed: java.security.cert.CertPathValidatorException: Certificate does not specify OCSP responder | java.security.cert.CertPathValidatorException: Certificate does not specify OCSP responder
|
原因 |
Cisco DNA Center バージョン 2.x 以降では ISE サーバ証明書に対する Revocation Check を実行します。これに伴い ISE サーバ証明書はマニュアルに記載の要件を満たす必要があります。 OCSP/CDP URI/URL として LDAP をサポートせず HTTP のみ、CDP URL については全ての URL はチェックされないなどの制約事項があります。 ISE の 自己署名証明書は OCSP/CRL に関する情報を含まないため、この問題には該当しません。
|
解決策 |
Cisco DNA Center Administrator Guide に記載の要件を満たす ISE の電子証明書を使用します。
|
備考
Cisco DNA Center Administrator Guide, Release 2.2.2 Cisco DNA Center and Cisco ISE Integration セクション
Cisco DNA Center Security Best Practices Guide Cisco DNA Center's Use of OCSP and CRL for HTTPS Connections セクション