Configurazione del riavvio controllato delle applicazioni in ISE 3.3

Introduzione

Questo documento descrive come configurare il riavvio controllato dell'applicazione per il certificato Admin in ISE 3.3.

Prerequisiti

Requisiti

Cisco raccomanda la conoscenza dei seguenti argomenti:

• Nodi/persone ISE
• Rinnovo/modifica/creazione del certificato ISE

Componenti usati

Le informazioni di questo documento si basano sulle seguenti versioni hardware e software:

• Software Identity Service Engine (ISE) versione 3.3
• Distribuzione a 2 nodi

Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.

Premesse

In ISE, quando il certificato Admin del PAN (Primary Admin Node) viene modificato, tutti i nodi nella distribuzione vengono ricaricati, prima il PAN e poi i nodi rimanenti, e questo causa un'interruzione in tutti i servizi.

Quando il certificato di amministrazione viene sostituito in un qualsiasi altro nodo, l'unico nodo riavviato è quello singolo.

ISE 3.3 introduce una nuova funzionalità che consente di pianificare quando i nodi vengono ricaricati. In questo modo è possibile controllare meglio il riavvio di ogni nodo ed evitare interruzioni in tutti i servizi.

Configurazione

Sono disponibili diverse opzioni per modificare il certificato amministratore del nodo PAN, ad esempio:

• Creare una richiesta di firma del certificato (CSR) e assegnare il ruolo Admin.
• Importare il certificato, la chiave privata e assegnare il ruolo Admin.
• Creare un certificato autofirmato e assegnare il ruolo di amministratore.

In questo documento viene descritto il metodo di utilizzo di un CSR.

Passaggio 1. Creare una richiesta di firma di certificato (CSR)

1. Su ISE, selezionare Amministrazione > Sistema > Certificati > Richieste di firma del certificato.
2. Fare clic su Genera richiesta di firma del certificato (CSR).
3. In Uso, selezionare Ammin.
4. In Nodi, selezionare il nodo Amministratore primario.
5. Completare le informazioni sul certificato.
6. Fare clic su Genera.
7. Esportare il file e firmarlo con un'autorità valida.

Creazione CSR

Passaggio 2. Importare la CA radice che ha firmato il CSR

1. Su ISE, selezionare Amministrazione > Sistema > Certificati > Certificati attendibili.
2. Fare clic su Import (Importa).
3. Fare clic su Scegli file e selezionare il certificato CA radice.
4. Scrivi un nome descrittivo.
5. Selezionare le caselle di controllo:
   1. Attendibilità per l'autenticazione all'interno di ISE.
   2. Attendibilità per l'autenticazione dei servizi Cisco.
6. Fare clic su Invia.

Importa certificato radice

Passaggio 3. Importa CSR firmato

1. Su ISE, selezionare Amministrazione > Sistema > Certificati > Richieste di firma del certificato.
2. Selezionare il CSR e fare clic su Associa certificato.
3. Fare clic su Scegli file e selezionare il certificato firmato.
4. Configurare un nome descrittivo.

Esegui binding certificato

Esegui binding certificato

Passaggio 4. Configurazione dell'ora di riavvio

1. È ora possibile visualizzare una nuova sezione. Qui è possibile configurare il processo di riavvio.
2. È possibile configurare un tempo per nodo o selezionare entrambi i nodi e applicare la stessa configurazione.
3. Scegliere un nodo e fare clic su Imposta ora di riavvio.
4. Scegliere la data, l'ora e fare clic su Salva.
5. Verificare l'ora e se tutto è corretto, fare clic su Invia.

Imposta ora di riavvio

Conferma ora riavvio

Verifica

È disponibile una nuova scheda, selezionare Amministrazione > Sistema > Certificati > Amministrazione > Riavvio nodo certificato. È possibile convalidare la configurazione e, se necessario, modificarla. 

Per modificarlo, fare clic su Imposta ora di riavvio o su Riavvia ora.

Verifica stato riavvio

È possibile convalidare lo stato del nodo durante il processo. L'immagine successiva è un esempio di un nodo ricaricato e dell'altro in corso:

PAN riavviata

Verificare le modifiche e ricaricarle con i report.

Per controllare le modifiche alla configurazione, passare a Operazioni > Report > Report > Audit > Modifica audit configurazione.

Report di configurazione

Per controllare il riavvio, passare a Operazioni > Report > Report > Audit > Operazioni Audit.

Riavvia rapporto

Esempi di log da ***-ise-33-2, ise-psc.log:

Configuration applied:

2023-09-27 15:26:12,109 INFO  [DefaultQuartzScheduler_Worker-6][[]] admin.caservice.certmgmt.scheduler.AdminCertControlledRestartStatusJob -:::::- 
Restart is Not configured , Hence skipping restart status check for asc-ise33-1037
2023-09-27 15:26:57,775 INFO  [admin-http-pool6][[]] cpm.admin.infra.action.RestartAction -::admin:::- 
adminCertRestartData  received --{"items":[{"hostName":"asc-ise33-1037","restartTime":"2023-09-27:10:00PM"},
{"hostName":"***-ise-33-2","restartTime":"2023-09-27:10:00PM"}]}

Restart starts:

2023-09-27 21:59:11,952 INFO  [DefaultQuartzScheduler_Worker-6][[]] admin.caservice.certmgmt.scheduler.AdminCertControlledRestartStatusJob -:::::- 
Executing AdminCertControlledRestartStatusJob [AdminCertControlledRestart[id=4af7d9c4-31d9-48e0-83dc-19a6cf378528,hostname=***-ise-33-2,
noderestartconfig=2023-09-27:10:00PM,noderestartstatus=Not Restarted,details=Not Restarted,maxdate=Thu Oct 12 2023 14:26:59 GMT-0600 (hora estandar central)], 
AdminCertControlledRestart[id=38b811df-03b5-4a64-87b6-363290b6b4ce,hostname=asc-ise33-1037,noderestartconfig=2023-09-27:10:00PM,
noderestartstatus=Not Restarted,details=Not Restarted,maxdate=Thu Oct 12 2023 14:43:01 GMT-0600 (hora estandar central)]]
2023-09-27 21:59:12,113 INFO  [DefaultQuartzScheduler_Worker-6][[]] admin.caservice.certmgmt.scheduler.AdminCertControlledRestartStatusJob -:::::- 
Restart configured , proceeding to trackRestartStatus for ***-ise-33-2
2023-09-27 21:59:12,113 INFO  [DefaultQuartzScheduler_Worker-6][[]] admin.caservice.certmgmt.scheduler.AdminCertControlledRestartStatusJob -:::::- 
Restart configured , proceeding to trackRestartStatus for asc-ise33-1037
2023-09-27 22:00:00,003 INFO  [DefaultQuartzScheduler_Worker-3][[]] admin.caservice.certmgmt.scheduler.AdminCertControlledRestartSchedulerJob -:::::- 
Executing AdminCertControlledRestartSchedulerJob 
2023-09-27 22:00:00,022 INFO  [DefaultQuartzScheduler_Worker-3][[]] admin.caservice.certmgmt.scheduler.AdminCertControlledRestartSchedulerJob -:::::- 
Executing AdminCertControlledRestartSchedulerJob [AdminCertControlledRestart[id=4af7d9c4-31d9-48e0-83dc-19a6cf378528,hostname=***-ise-33-2,
noderestartconfig=2023-09-27:10:00PM,noderestartstatus=Not Restarted,details=Not Restarted,maxdate=Thu Oct 12 2023 14:26:59 GMT-0600 (hora estandar central)], 
AdminCertControlledRestart[id=38b811df-03b5-4a64-87b6-363290b6b4ce,hostname=asc-ise33-1037,noderestartconfig=2023-09-27:10:00PM,
noderestartstatus=Not Restarted,details=Not Restarted,maxdate=Thu Oct 12 2023 14:43:01 GMT-0600 (hora estandar central)]]
2023-09-27 22:00:00,288 INFO  [DefaultQuartzScheduler_Worker-3][[]] admin.caservice.certmgmt.scheduler.AdminCertControlledRestartSchedulerJob -:::::- 
Restart failed or not restarted yet , hence preparing restart for ***-ise-33-2
2023-09-27 22:00:00,288 INFO  [DefaultQuartzScheduler_Worker-3][[]] admin.caservice.certmgmt.scheduler.AdminCertControlledRestartSchedulerJob -:::::- 
Configured Date is now , hence proceeding for restart ,  for ***-ise-33-2
023-09-27 22:00:00,288 INFO  [DefaultQuartzScheduler_Worker-3][[]] cpm.infrastructure.certmgmt.api.AdminCertControlRestartUIAPI -:::::- 
updateRestartStatus updating restarted status
2023-09-27 22:00:00,288 INFO  [DefaultQuartzScheduler_Worker-3][[]] cpm.infrastructure.certmgmt.api.AdminCertControlRestartUIAPI -:::::- 
Updating the data for node: ***-ise-33-2
2023-09-27 22:00:00,313 INFO  [DefaultQuartzScheduler_Worker-3][[]] admin.caservice.certmgmt.scheduler.AdminCertControlledRestartSchedulerJob -:::::- 
Restart failed or not restarted yet , hence preparing restart for asc-ise33-1037
2023-09-27 22:00:00,313 INFO  [DefaultQuartzScheduler_Worker-3][[]] admin.caservice.certmgmt.scheduler.AdminCertControlledRestartSchedulerJob -:::::- 
Configured Date is now , hence proceeding for restart ,  forasc-ise33-1037
2023-09-27 22:00:00,324 INFO  [DefaultQuartzScheduler_Worker-3][[]] admin.caservice.certmgmt.scheduler.AdminCertControlledRestartSchedulerJob -:::::- 
restartNowList : ***-ise-33-2.aaamexrub.com,asc-ise33-1037.aaamexrub.com

Esempi di log da ***-ise-33-2, restartutil.log:

[main] Wed Sep 27 22:00:09 EST 2023:--------------------------------------------------------------- 
[main] Wed Sep 27 22:00:09 EST 2023:RestartUtil: BEGIN - Restart called with args apponly:1377:***-ise-33-2.aaamexrub.com,asc-ise33-1037.aaamexrub.com
[main] Wed Sep 27 22:00:09 EST 2023:--------------------------------------------------------------- 
[main] Wed Sep 27 22:00:14 EST 2023:RestartUtil: Restarting Local node
[main] Wed Sep 27 22:00:14 EST 2023:[/usr/bin/sudo, /opt/CSCOcpm/bin/cpmcontrol.sh, restart_appserver_es]
[main] Wed Sep 27 22:27:13 EST 2023:RestartUtil: Restarted local node and waiting for it to come up...
[main] Wed Sep 27 22:37:47 EST 2023:RestartUtil: Restart success for  local node .
[main] Wed Sep 27 22:37:48 EST 2023:RestartUtil: Restarting node asc-ise33-1037.aaamexrub.com
[main] Wed Sep 27 22:37:54 EST 2023:RestartUtil: statusLine>>>HTTP/1.1 200 
[main] Wed Sep 27 22:37:54 EST 2023:RestartUtil: Waiting for node asc-ise33-1037.aaamexrub.com to come up after restart...
[main] Wed Sep 27 22:52:43 EST 2023:RestartUtil: Restart successful on node: asc-ise33-1037.aaamexrub.com
[main] Wed Sep 27 22:52:43 EST 2023:RestartUtil: cred file deleted 
[main] Wed Sep 27 22:52:43 EST 2023:--------------------------------------------------------------- 
[main] Wed Sep 27 22:52:43 EST 2023:RestartUtil:END-  Restart called with args apponly:1377:***-ise-33-2.aaamexrub.com,asc-ise33-1037.aaamexrub.com
[main] Wed Sep 27 22:52:43 EST 2023:--------------------------------------------------------------- 
[main] Wed Sep 27 23:00:10 EST 2023: Usage RestartUtil local||remote  apponly|full  

Esempi di log da asc-ise33-1037, restartutil.log:

main] Wed Sep 27 19:00:10 UTC 2023: Usage RestartUtil local||remote  apponly|full  
[main] Thu Sep 28 04:37:14 UTC 2023:--------------------------------------------------------------- 
[main] Thu Sep 28 04:37:14 UTC 2023:RestartUtil: BEGIN - Restart called with args apponly:1377:localhost
[main] Thu Sep 28 04:37:14 UTC 2023:--------------------------------------------------------------- 
[main] Thu Sep 28 04:37:16 UTC 2023:RestartUtil: Restarting Local node
[main] Thu Sep 28 04:37:16 UTC 2023:[/usr/bin/sudo, /opt/CSCOcpm/bin/cpmcontrol.sh, restart_appserver_es]
[main] Thu Sep 28 04:52:41 UTC 2023:RestartUtil: Restarted local node and waiting for it to come up...

[main] Thu Sep 28 04:53:12 UTC 2023:RestartUtil: Restart success for  local node .
[main] Thu Sep 28 04:53:12 UTC 2023:RestartUtil: cred file deleted 
[main] Thu Sep 28 04:53:12 UTC 2023:--------------------------------------------------------------- 
[main] Thu Sep 28 04:53:12 UTC 2023:RestartUtil:END-  Restart called with args apponly:1377:localhost
[main] Thu Sep 28 04:53:12 UTC 2023:--------------------------------------------------------------- 

Risoluzione dei problemi

Per controllare le informazioni su questa funzione, è possibile controllare i seguenti file:

• ise-psc.log
• restartutil.log

Per controllarli in tempo reale dalla riga di comando, è possibile utilizzare i seguenti comandi:

show logging application restartutil.log tail
show logging application ise-psc.log tail

Informazioni correlate

•Supporto tecnico Cisco e download