Configuration du redémarrage des applications contrôlées dans ISE 3.3

Introduction

Ce document décrit comment configurer le redémarrage de l'application contrôlée pour le certificat Admin dans ISE 3.3.

Conditions préalables

Exigences

Cisco vous recommande de prendre connaissance des rubriques suivantes :

• Noeuds ISE/personas
• Renouvellement/modification/création de certificat ISE

Composants utilisés

Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :

• Logiciel Identity Service Engine (ISE) version 3.3
• déploiement à deux noeuds

The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Si votre réseau est en ligne, assurez-vous de bien comprendre l’incidence possible des commandes.

Informations générales

Dans ISE, lorsque le certificat d'administration du noeud d'administration principal (PAN) est modifié, tous les noeuds du déploiement sont rechargés, d'abord le PAN, puis le reste des noeuds, ce qui entraîne une interruption de tous les services.

Lorsque le certificat Admin est remplacé dans un autre noeud, le seul noeud redémarré est ce noeud unique.

ISE 3.3 introduit une nouvelle fonctionnalité qui vous permet de planifier le rechargement des noeuds. Cela permet de mieux contrôler le redémarrage de chaque noeud et d’éviter les interruptions de tous les services.

Configurer

Il existe différentes options pour modifier le certificat Admin du noeud PAN, comme :

• Créez une demande de signature de certificat (CSR) et attribuez le rôle Admin.
• Importez un certificat, une clé privée et attribuez le rôle Admin.
• Créez un certificat auto-signé et attribuez le rôle Admin.

Ce document décrit la méthode utilisant un CSR.

Étape 1. Créer une demande de signature de certificat (CSR)

1. Sur ISE, accédez à Administration > System > Certificates > Certificate Signing Requests.
2. Cliquez sur Générer une demande de signature de certificat (CSR).
3. Dans Utilisation, sélectionnez Admin.
4. Dans Noeud(s), sélectionnez le noeud Administrateur principal.
5. Renseignez les informations du certificat.
6. Cliquez sur Générer.
7. Exportez le fichier et signez-le avec une autorité valide.

Création de CSR

Étape 2. Importer l'autorité de certification racine qui a signé votre CSR

1. Sur ISE, accédez à Administration > System > Certificates > Trusted Certificates.
2. Cliquez sur Import.
3. Cliquez sur Choose File et sélectionnez le certificat d'autorité de certification racine.
4. Écrivez un nom convivial.
5. Activez les cases à cocher :
   1. Confiance pour l'authentification dans ISE.
   2. Confiance pour l'authentification des services Cisco.
6. Cliquez sur Submit.

Importer le certificat racine

Étape 3. Importer le CSR signé

1. Sur ISE, accédez à Administration > System > Certificates > Certificate Signing Requests.
2. Sélectionnez le CSR et cliquez sur Bind Certificate.
3. Cliquez sur Choisir un fichier et sélectionnez le certificat signé.
4. Configurez un nom convivial.

Certificat de liaison

Certificat de liaison

Étape 4. Configuration de l'heure de redémarrage

1. Vous pouvez maintenant voir une nouvelle section. Vous configurez ici le processus de redémarrage.
2. Vous pouvez configurer une heure par noeud ou sélectionner les deux noeuds et appliquer la même configuration.
3. Choisissez un noeud et cliquez sur Set Restart Time.
4. Choisissez la date, l'heure et cliquez sur Enregistrer.
5. Vérifiez l'heure et si tout est correct, cliquez sur Submit.

Définir l'heure de redémarrage

Confirmer l'heure de redémarrage

Vérifier

Un nouvel onglet est disponible, accédez à Administration > System > Certificates > Admin Certificate Node Restart. Vous pouvez valider la configuration effectuée et la modifier si nécessaire. 

Pour le modifier, cliquez sur Set Restart Time ou Restart Now.

Vérifier le redémarrage

Vous pouvez valider l'état du noeud pendant le processus. L'image suivante est un exemple lorsqu'un noeud est rechargé et que l'autre est en cours :

PAN redémarré

Vérifiez les modifications et redémarrez avec les rapports.

Pour vérifier les modifications de configuration, accédez à Opérations > Rapports > Rapports > Audit > Audit de la configuration des modifications.

Rapport de configuration

Pour vérifier le redémarrage, accédez à Opérations > Rapports > Rapports > Audit > Audit des opérations.

Redémarrer le rapport

Exemples de journaux de ***-ise-33-2, ise-psc.log :

Configuration applied:

2023-09-27 15:26:12,109 INFO  [DefaultQuartzScheduler_Worker-6][[]] admin.caservice.certmgmt.scheduler.AdminCertControlledRestartStatusJob -:::::- 
Restart is Not configured , Hence skipping restart status check for asc-ise33-1037
2023-09-27 15:26:57,775 INFO  [admin-http-pool6][[]] cpm.admin.infra.action.RestartAction -::admin:::- 
adminCertRestartData  received --{"items":[{"hostName":"asc-ise33-1037","restartTime":"2023-09-27:10:00PM"},
{"hostName":"***-ise-33-2","restartTime":"2023-09-27:10:00PM"}]}

Restart starts:

2023-09-27 21:59:11,952 INFO  [DefaultQuartzScheduler_Worker-6][[]] admin.caservice.certmgmt.scheduler.AdminCertControlledRestartStatusJob -:::::- 
Executing AdminCertControlledRestartStatusJob [AdminCertControlledRestart[id=4af7d9c4-31d9-48e0-83dc-19a6cf378528,hostname=***-ise-33-2,
noderestartconfig=2023-09-27:10:00PM,noderestartstatus=Not Restarted,details=Not Restarted,maxdate=Thu Oct 12 2023 14:26:59 GMT-0600 (hora estandar central)], 
AdminCertControlledRestart[id=38b811df-03b5-4a64-87b6-363290b6b4ce,hostname=asc-ise33-1037,noderestartconfig=2023-09-27:10:00PM,
noderestartstatus=Not Restarted,details=Not Restarted,maxdate=Thu Oct 12 2023 14:43:01 GMT-0600 (hora estandar central)]]
2023-09-27 21:59:12,113 INFO  [DefaultQuartzScheduler_Worker-6][[]] admin.caservice.certmgmt.scheduler.AdminCertControlledRestartStatusJob -:::::- 
Restart configured , proceeding to trackRestartStatus for ***-ise-33-2
2023-09-27 21:59:12,113 INFO  [DefaultQuartzScheduler_Worker-6][[]] admin.caservice.certmgmt.scheduler.AdminCertControlledRestartStatusJob -:::::- 
Restart configured , proceeding to trackRestartStatus for asc-ise33-1037
2023-09-27 22:00:00,003 INFO  [DefaultQuartzScheduler_Worker-3][[]] admin.caservice.certmgmt.scheduler.AdminCertControlledRestartSchedulerJob -:::::- 
Executing AdminCertControlledRestartSchedulerJob 
2023-09-27 22:00:00,022 INFO  [DefaultQuartzScheduler_Worker-3][[]] admin.caservice.certmgmt.scheduler.AdminCertControlledRestartSchedulerJob -:::::- 
Executing AdminCertControlledRestartSchedulerJob [AdminCertControlledRestart[id=4af7d9c4-31d9-48e0-83dc-19a6cf378528,hostname=***-ise-33-2,
noderestartconfig=2023-09-27:10:00PM,noderestartstatus=Not Restarted,details=Not Restarted,maxdate=Thu Oct 12 2023 14:26:59 GMT-0600 (hora estandar central)], 
AdminCertControlledRestart[id=38b811df-03b5-4a64-87b6-363290b6b4ce,hostname=asc-ise33-1037,noderestartconfig=2023-09-27:10:00PM,
noderestartstatus=Not Restarted,details=Not Restarted,maxdate=Thu Oct 12 2023 14:43:01 GMT-0600 (hora estandar central)]]
2023-09-27 22:00:00,288 INFO  [DefaultQuartzScheduler_Worker-3][[]] admin.caservice.certmgmt.scheduler.AdminCertControlledRestartSchedulerJob -:::::- 
Restart failed or not restarted yet , hence preparing restart for ***-ise-33-2
2023-09-27 22:00:00,288 INFO  [DefaultQuartzScheduler_Worker-3][[]] admin.caservice.certmgmt.scheduler.AdminCertControlledRestartSchedulerJob -:::::- 
Configured Date is now , hence proceeding for restart ,  for ***-ise-33-2
023-09-27 22:00:00,288 INFO  [DefaultQuartzScheduler_Worker-3][[]] cpm.infrastructure.certmgmt.api.AdminCertControlRestartUIAPI -:::::- 
updateRestartStatus updating restarted status
2023-09-27 22:00:00,288 INFO  [DefaultQuartzScheduler_Worker-3][[]] cpm.infrastructure.certmgmt.api.AdminCertControlRestartUIAPI -:::::- 
Updating the data for node: ***-ise-33-2
2023-09-27 22:00:00,313 INFO  [DefaultQuartzScheduler_Worker-3][[]] admin.caservice.certmgmt.scheduler.AdminCertControlledRestartSchedulerJob -:::::- 
Restart failed or not restarted yet , hence preparing restart for asc-ise33-1037
2023-09-27 22:00:00,313 INFO  [DefaultQuartzScheduler_Worker-3][[]] admin.caservice.certmgmt.scheduler.AdminCertControlledRestartSchedulerJob -:::::- 
Configured Date is now , hence proceeding for restart ,  forasc-ise33-1037
2023-09-27 22:00:00,324 INFO  [DefaultQuartzScheduler_Worker-3][[]] admin.caservice.certmgmt.scheduler.AdminCertControlledRestartSchedulerJob -:::::- 
restartNowList : ***-ise-33-2.aaamexrub.com,asc-ise33-1037.aaamexrub.com

Exemples de journaux de ***-ise-33-2, restartutil.log :

[main] Wed Sep 27 22:00:09 EST 2023:--------------------------------------------------------------- 
[main] Wed Sep 27 22:00:09 EST 2023:RestartUtil: BEGIN - Restart called with args apponly:1377:***-ise-33-2.aaamexrub.com,asc-ise33-1037.aaamexrub.com
[main] Wed Sep 27 22:00:09 EST 2023:--------------------------------------------------------------- 
[main] Wed Sep 27 22:00:14 EST 2023:RestartUtil: Restarting Local node
[main] Wed Sep 27 22:00:14 EST 2023:[/usr/bin/sudo, /opt/CSCOcpm/bin/cpmcontrol.sh, restart_appserver_es]
[main] Wed Sep 27 22:27:13 EST 2023:RestartUtil: Restarted local node and waiting for it to come up...
[main] Wed Sep 27 22:37:47 EST 2023:RestartUtil: Restart success for  local node .
[main] Wed Sep 27 22:37:48 EST 2023:RestartUtil: Restarting node asc-ise33-1037.aaamexrub.com
[main] Wed Sep 27 22:37:54 EST 2023:RestartUtil: statusLine>>>HTTP/1.1 200 
[main] Wed Sep 27 22:37:54 EST 2023:RestartUtil: Waiting for node asc-ise33-1037.aaamexrub.com to come up after restart...
[main] Wed Sep 27 22:52:43 EST 2023:RestartUtil: Restart successful on node: asc-ise33-1037.aaamexrub.com
[main] Wed Sep 27 22:52:43 EST 2023:RestartUtil: cred file deleted 
[main] Wed Sep 27 22:52:43 EST 2023:--------------------------------------------------------------- 
[main] Wed Sep 27 22:52:43 EST 2023:RestartUtil:END-  Restart called with args apponly:1377:***-ise-33-2.aaamexrub.com,asc-ise33-1037.aaamexrub.com
[main] Wed Sep 27 22:52:43 EST 2023:--------------------------------------------------------------- 
[main] Wed Sep 27 23:00:10 EST 2023: Usage RestartUtil local||remote  apponly|full  

Exemples de journaux provenant de asc-ise33-1037, restartutil.log :

main] Wed Sep 27 19:00:10 UTC 2023: Usage RestartUtil local||remote  apponly|full  
[main] Thu Sep 28 04:37:14 UTC 2023:--------------------------------------------------------------- 
[main] Thu Sep 28 04:37:14 UTC 2023:RestartUtil: BEGIN - Restart called with args apponly:1377:localhost
[main] Thu Sep 28 04:37:14 UTC 2023:--------------------------------------------------------------- 
[main] Thu Sep 28 04:37:16 UTC 2023:RestartUtil: Restarting Local node
[main] Thu Sep 28 04:37:16 UTC 2023:[/usr/bin/sudo, /opt/CSCOcpm/bin/cpmcontrol.sh, restart_appserver_es]
[main] Thu Sep 28 04:52:41 UTC 2023:RestartUtil: Restarted local node and waiting for it to come up...

[main] Thu Sep 28 04:53:12 UTC 2023:RestartUtil: Restart success for  local node .
[main] Thu Sep 28 04:53:12 UTC 2023:RestartUtil: cred file deleted 
[main] Thu Sep 28 04:53:12 UTC 2023:--------------------------------------------------------------- 
[main] Thu Sep 28 04:53:12 UTC 2023:RestartUtil:END-  Restart called with args apponly:1377:localhost
[main] Thu Sep 28 04:53:12 UTC 2023:--------------------------------------------------------------- 

Dépannage

Pour vérifier les informations relatives à cette fonctionnalité, vous pouvez consulter les fichiers suivants :

• ise-psc.log
• restartutil.log

Pour les vérifier en temps réel à partir de la ligne de commande, vous pouvez utiliser ces commandes :

show logging application restartutil.log tail
show logging application ise-psc.log tail

Informations connexes

•Assistance technique de Cisco et téléchargements