مشاكل تكامل Prime Infrastructure 3.5+ بسبب شهادة TOFU

خيارات التنزيل

  • PDF     (453.9 KB)
    عرض باستخدام Adobe Reader على مجموعة متنوعة من الأجهزة
  • ePub     (199.2 KB)
    العرض في تطبيقات مختلفة على iPhone أو iPad أو نظام تشغيل Android أو قارئ Sony أو نظام التشغيل Windows Phone
  • Mobi (Kindle)     (103.9 KB)
    عرض على جهاز Kindle أو تطبيق Kindle على أجهزة متعددة
تم التحديث:١٨ مارس ٢٠٢٠
معرّف المستند:215335

لغة خالية من التحيز

تسعى مجموعة الوثائق لهذا المنتج جاهدة لاستخدام لغة خالية من التحيز. لأغراض مجموعة الوثائق هذه، يتم تعريف "خالية من التحيز" على أنها لغة لا تعني التمييز على أساس العمر، والإعاقة، والجنس، والهوية العرقية، والهوية الإثنية، والتوجه الجنسي، والحالة الاجتماعية والاقتصادية، والتمييز متعدد الجوانب. قد تكون الاستثناءات موجودة في الوثائق بسبب اللغة التي يتم تشفيرها بشكل ثابت في واجهات المستخدم الخاصة ببرنامج المنتج، أو اللغة المستخدمة بناءً على وثائق RFP، أو اللغة التي يستخدمها منتج الجهة الخارجية المُشار إليه. تعرّف على المزيد حول كيفية استخدام Cisco للغة الشاملة.

حول هذه الترجمة

ترجمت Cisco هذا المستند باستخدام مجموعة من التقنيات الآلية والبشرية لتقديم محتوى دعم للمستخدمين في جميع أنحاء العالم بلغتهم الخاصة. يُرجى ملاحظة أن أفضل ترجمة آلية لن تكون دقيقة كما هو الحال مع الترجمة الاحترافية التي يقدمها مترجم محترف. تخلي Cisco Systems مسئوليتها عن دقة هذه الترجمات وتُوصي بالرجوع دائمًا إلى المستند الإنجليزي الأصلي (الرابط متوفر).

    المقدمة

    يصف هذا المستند مشكلة التكامل التي تحدث بسبب عدم تطابق شهادة Trust-on-first-use (TOFU) بعد إنشاء طلب توقيع شهادة جديد (CSR) في Cisco Prime Infrastructure (أساسي/ثانوي)، كيفية أستكشاف الأخطاء وإصلاحها وحلها.

    المتطلبات الأساسية

    المتطلبات

    توصي Cisco بأن تكون لديك معرفة بالمواضيع التالية:

    • البنية الأساسية ل Cisco Prime
    • الإتاحة العالية

    المكونات المستخدمة

    تستند المعلومات الواردة في هذا المستند إلى الإصدار 3.5 من Cisco Prime Infrastructure والإصدارات الأحدث.

    تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.

    معلومات أساسية

    هذه هي المستندات المرجعية التي توفر معلومات حول التوفر العالي وإنشاء الشهادة في البنية الأساسية ل Cisco Prime.

    دليل التوافر العالي: https://www.cisco.com/c/en/us/td/docs/net_mgmt/prime/infrastructure/3-6/admin/guide/bk_CiscoPrimeInfrastructure_3_6_AdminGuide/bk_CiscoPrimeInfrastructure_3_6_AdminGuide_chapter_01011.html

    دليل المسؤول: https://www.cisco.com/c/en/us/td/docs/net_mgmt/prime/infrastructure/3-6/admin/guide/bk_CiscoPrimeInfrastructure_3_6_AdminGuide/bk_CiscoPrimeInfrastructure_3_6_AdminGuide_chapter_0100.html

    المشكلة

    TOFU - تكون الشهادة المتلقاة من المضيف البعيد موثوق بها عند إجراء الاتصال لأول مرة.

    يمكن أن تتغير شهادة TOFU على البنية الأساسية ل Prime أو المضيف البعيد المتصل به Prime في حالة إنشاء شهادة جديدة أو في حالة نشر الخادم مرة أخرى على مضيف VM.

    يقوم إنشاء واستيراد CSR جديد على خادم البنية الأساسية الأساسية الأساسية (أساسي/ثانوي) بإرسال معلومات شهادة TOFU الجديدة إلى الخوادم البعيدة عند إعادة بدء الاتصال بعد إعادة تشغيل الخدمة.

    إذا قام المضيف البعيد بإرسال شهادة مختلفة لأي اتصال تسلسلي بعد الأول، سيتم رفض الاتصال.

    المضيف البعيد يمكن أن يكون (خادم أساسي أو ثانوي في نشر HA وخادم محرك الخدمة المتكاملة (ISE)) حيث لا يزال TOFU القديم موجودا.

    وهذا يتسبب في فشل التسجيل بين الخوادم الأساسية والثانوية وخادم Prime وخادم ISE.

    يصف قسم أستكشاف الأخطاء وإصلاحها رسائل الخطأ التي يمكن العثور عليها في سجلات مراقبة الصحة في مثل هذه السيناريوهات.

    استكشاف الأخطاء وإصلاحها

    في سجل مراقبة الصحة الأساسية، يمكن العثور على رسائل الخطأ هذه التي تشير إلى عدم التطابق في الشهادة الثانوية.

    [system] [HealthMonitorThread] TOFU failed. 
    Check local trust Trust-on-first-use is configure for this connection. 
    Current certificate of the remote host is different from what was used earlier 
    - CN=prime-sec, OU=Prime Infra, O=Cisco Systems, L=SJ, ST=CA, C=US 
    javax.net.ssl.SSLHandshakeException: java.security.cert.CertificateException: 
    Trust-on-first-use is configure for this connection. 
    Current certificate of the remote host is different from what was used earlier 
    - CN=prime-sec

    يمكن العثور على رسائل الخطأ هذه على سجلات البنية الأساسية الأساسية الأساسية الأساسية التي تشير إلى عدم التطابق في شهادة خادم ISE.

    [system] [seqtaskexecutor-3069] TOFU failed. 
    Check local trust Trust-on-first-use is configure for this connection. 
    Current certificate of the remote host is different from what was used earlier 
    - CN=ISE-server
    javax.net.ssl.SSLHandshakeException: java.security.cert.
    CertificateException: Trust-on-first-use is configure for this connection. 
    Current certificate of the remote host is different from what was used earlier 
    - CN=ISE-server

    في سجل مراقبة الصحة الثانوية، يمكن العثور على رسائل الخطأ هذه التي تشير إلى عدم التطابق في الشهادة الأساسية.

    [system] [HealthMonitorThread] TOFU failed. 
    Check local trust Trust-on-first-use is configure for this connection. 
    Current certificate of the remote host is different from what was used earlier 
    - CN=prime-pri, OU=Prime Infra, O=Cisco Systems, L=SJ, ST=CA, C=US 

    javax.net.ssl.SSLHandshakeException: java.security.cert.CertificateException: 
    Trust-on-first-use is configure for this connection. 
    Current certificate of the remote host is different from what was used earlier 
    - CN=prime-pri

    الحل

    يجب إدراج شهادات TOFU الحالية الموجودة على Prime، من ذلك أنه يجب تحديد إدخال الشهادة القديمة للمضيف البعيد المتوافق وإزالته قبل محاولة التكامل من Prime مرة أخرى.

    التكوين

    عرض قائمة التحقق من صحة الشهادة

    يمكن إستخدام الأمر ncs certvalidation tofu-certs لعرض قائمة التحقق من صحة الشهادة.

    هذا المخرج من خادم Cisco Prime Infrastructure الأساسي [IP=1XX.XX.XX.XX]:

    prime-pri/admin# ncs certvalidation tofu-certs listcerts

    Host certificate are automatically added to this list on first connection, 
    if trust-on-first-use is configured - ncs certvalidation certificate-check ...

    host=1X.XX.XX.XX_8082;  subject= /C=US/ST=CA/L=SJ/O=Cisco Systems/OU=Prime Infra/CN=prime-pri
    host=1Z.ZZ.ZZ.ZZ_443;  subject= /C=US/ST=CA/L=SJ/O=Cisco Systems/OU=Prime Infra/CN=ISE-server
    host=1YY.YY.YY.YY_8082;  subject= /C=US/ST=CA/L=SJ/O=Cisco Systems/OU=Prime Infra/CN=prime-sec

    prime-pri/admin#

    هذا المخرج من الخادم الثانوي للبنية الأساسية ل Cisco Prime [IP=1YY.YY.YY.YY]

    prime-sec/admin# ncs certvalidation tofu-certs listcerts

    Host certificate are automatically added to this list on first connection, 
    if trust-on-first-use is configured - ncs certvalidation certificate-check ...

    host=1YY.YY.YY.YY_8082;  subject= /C=US/ST=CA/L=SJ/O=Cisco Systems/OU=Prime Infra/CN=prime-sec
    host=127.0.0.1_8082;  subject= /C=US/ST=CA/L=SJ/O=Cisco Systems/OU=Prime Infra/CN=prime-sec
    host=1X.XX.XX.XX_8082; subject= /C=US/ST=CA/L=SJ/O=Cisco Systems/OU=Prime Infra/CN=prime-pri

    prime-sec/admin#

    حذف الشهادة

    أستخدم الأمر ncs certvalidation tofu-certs deletecert host <host> للحذف إلى التحقق من الشهادة.

    من الخادم الأساسي قم بالتحقق من الإدخالات القديمة لشهادات ISE و TOFU الخاصة بالخادم الثانوي وحذفها على التوالي.

    • شهادة التحقق من صحة NCS tofu-certs deletecert المضيف 1YY.YY.YY.YY_8082
    • شهادة التحقق من صحة NCS tofu-certs deletecert المضيف 1Z.ZZ.ZZ.ZZ_443

    من الخادم الثانوي تحقق من الإدخالات القديمة لشهادة Tofu الخاصة بالخادم الأساسي باستخدام الأمر ncs التحقق من صحة Tofu-certs deletecert host 1X.XX.XX.XX_8082.

    إعادة تهيئة HA من الأساسي إلى الثانوي

    الخطوة 1. قم بتسجيل الدخول إلى Cisco Prime Infrastructure باستخدام معرف مستخدم وكلمة مرور لهما امتيازات المسؤول.

    الخطوة 2. من القائمة، انتقل إلى إدارة > إعدادات > توفر عال. تعرض البنية الأساسية ل Cisco Prime صفحة حالة HA. 

    الخطوة 3. حدد تكوين HA ثم أكمل الحقول كما يلي:

    1. الخادم الثانوي: أدخل عنوان IP أو اسم المضيف للخادم الثانوي.
    2. مفتاح المصادقة: أدخل كلمة مرور مفتاح المصادقة التي قمت بتعيينها أثناء تثبيت الخادم الثانوي.
    3. عنوان البريد الإلكتروني: أدخل العنوان (أو قائمة العناوين المفصولة بفاصلة) الذي يجب إرسال إعلام حول تغييرات حالة HA إليه بالبريد. إذا قمت بالفعل بتكوين إعلامات البريد الإلكتروني باستخدام صفحة تكوين خادم البريد (راجع "تكوين إعدادات خادم البريد الإلكتروني")، فسيتم إلحاق عناوين البريد الإلكتروني التي أدخلتها هنا بقائمة العناوين التي تم تكوينها بالفعل لخادم البريد.
    4. نوع تجاوز الفشل: حدد إما يدويا أو تلقائيا. يوصى بتحديد "يدوي".

    يوصى باستخدام خادم DNS لحل اسم المضيف إلى عنوان IP. إذا كنت تستخدم ملف /etc/hosts بدلا من خادم DNS، فيجب عليك إدخال عنوان IP الثانوي بدلا من اسم المضيف.

    الخطوة 4. إذا كنت تستخدم ميزة IP الظاهرية، فحدد خانة الاختيار تمكين IP الظاهري، ثم أكمل الحقول الإضافية كما يلي:

    1. IPv4 Virtual IP: أدخل عنوان IPv4 الظاهري الذي تريد إستخدامه لكل من خادمي HA.
    2. IPv6 Virtual IP: (إختياري) أدخل عنوان IPv6 الذي تريد إستخدام كل من خادمي HA.

    لن يعمل عنونة IP الظاهرية ما لم يكن كلا الخادمين على الشبكة الفرعية نفسها. يجب ألا تستخدم كتلة عنوان IPv6 fe80، فقد تم الاحتفاظ بها لعنونة البث الأحادي للإرتباط المحلي.

    الخطوة 5. طقطقة يفحص جاهزية in order to ضمنت إن ال HA يربط معلم بيئة جاهز للتشكيل.

    الخطوة 6. طقطقة سجل in order to شاهدت الحدث شريط تقدم، أن يفحص 100٪ إنجاز من قبل HA تسجيل، نسخة قاعدة معطيات، ونشر تسجيل HA كما هو موضح هنا. تقوم Cisco Prime Infrastructure ببدء عملية تسجيل HA. عند اكتمال التسجيل بنجاح، سيعرض وضع التكوين قيمة Primary Active.

    إعادة تكوين خوادم ISE

    الخطوة 1. انتقل إلى إدارة > خوادم > خوادم ISE

    الخطوة 2. انتقل إلى تحديد أمر > إضافة خادم ISE، ثم انقر إذهب
    الخطوة 3. أدخل عنوان IP الخاص بخادم ISE واسم المستخدم وكلمة المرور

    الخطوة 4. تأكيد كلمة مرور خادم ISE.

    الخطوة 5. طقطقة حفظ.

    التحقق من الصحة

    يمكن إستخدام الأمر ncs certvalidation tofu-certs للتحقق من الشهادة الجديدة. 

    معلومات ذات صلة

    TAC Authored

    تمت المساهمة بواسطة مهندسو Cisco

    • Annangarachari R
      مهندس TAC من Cisco

    هل كان هذا المستند مفيدًا؟

    Feedbackالتعليقات

    اتصل بنا

    ينطبق هذا المستند على هذه المنتجات