Configurar a reinicialização do aplicativo controlado no ISE 3.3

Introdução

Este documento descreve como configurar a Reinicialização do aplicativo controlado para o certificado Admin no ISE 3.3.

Pré-requisitos

Requisitos

A Cisco recomenda que você tenha conhecimento destes tópicos:

• Nós/personas do ISE
• Renovação/edição/criação de certificado ISE

Componentes Utilizados

As informações neste documento são baseadas nas seguintes versões de hardware e software:

• Software Identity Service Engine (ISE) versão 3.3
• Implantação de 2 nós

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a rede estiver ativa, certifique-se de que você entenda o impacto potencial de qualquer comando.

Informações de Apoio

No ISE, quando o certificado Admin do PAN (Primary Admin Node, Nó Admin Primário) é alterado, todos os nós na implantação são recarregados, primeiro o PAN e, em seguida, o restante dos nós, e isso causa uma interrupção em todos os serviços.

Quando o certificado Admin é substituído em qualquer outro nó, o único nó reiniciado é aquele único nó.

O ISE 3.3 apresenta um novo recurso que permite programar quando os nós são recarregados. Isso proporciona um melhor controle sobre a reinicialização de cada nó e ajuda a evitar interrupções em todos os serviços.

Configurar

Há diferentes opções para alterar o certificado Admin do nó PAN, como:

• Crie uma CSR (Certificate Signing Request, Solicitação de assinatura de certificado) e atribua a função Admin.
• Importar certificado, chave privada e atribuir a função Admin.
• Crie um certificado Autoassinado e atribua a função Admin.

Este documento descreve o método que usa um CSR.

Etapa 1. Criar uma CSR (Certificate Signing Request, solicitação de assinatura de certificado)

1. No ISE, navegue até Administration > System > Certificates > Certificate Signing Requests.
2. Clique em Gerar CSR (Certificate Signing Request, Solicitação de assinatura de certificado).
3. Em Uso, selecione Admin.
4. Em Node(s), selecione o nó Primary Admin.
5. Complete as informações do certificado.
6. Clique em Gerar.
7. Exporte o arquivo e assine-o com uma autoridade válida.

Criação de CSR

Etapa 2. Importar a CA raiz que assinou seu CSR

1. No ISE, navegue até Administration > System > Certificates > Trusted Certificates.
2. Clique em Importar.
3. Clique em Escolher arquivo e selecione o Certificado CA raiz.
4. Escreva um nome amigável.
5. Ative as caixas de seleção:
   1. Confiança para autenticação no ISE.
   2. Confiança para autenticação dos serviços Cisco.
6. Clique em Submit.

Importar certificado raiz

Etapa 3. Importar o CSR assinado

1. No ISE, navegue até Administration > System > Certificates > Certificate Signing Requests.
2. Selecione o CSR e clique em Bind Certificate.
3. Clique em Escolher arquivo e selecione o certificado assinado.
4. Configure um Nome Amigável.

Vincular certificado

Vincular certificado

Etapa 4. Configurar a hora de reinicialização

1. Agora você pode ver uma nova seção. Aqui você configura o processo de reinicialização.
2. Você pode configurar uma hora por nó ou selecionar ambos os nós e aplicar a mesma configuração.
3. Escolha um nó e clique em Definir horário de reinicialização.
4. Escolha a data, hora e clique em Salvar.
5. Verifique a Hora e se tudo está correto, clique em Enviar.

Definir hora de reinicialização

Confirmar hora de reinicialização

Verificar

Nova guia está disponível, navegue até Administração > Sistema > Certificados > Admin Certificate Node Restart. Você pode validar a configuração concluída e alterá-la, se necessário. 

Para alterá-lo, clique em Set Restart Time ou Restart Now.

Verificar o status de reinicialização

Você pode validar o status do nó durante o processo. A próxima imagem é um exemplo quando um nó é recarregado e o outro está em andamento:

PAN Reiniciado

Verifique as alterações e recarregue com os relatórios.

Para verificar as alterações de configuração, navegue até Operações > Relatórios > Relatórios > Auditoria > Auditoria de alteração de configuração.

Relatório de configuração

Para verificar a reinicialização, navegue até Operações > Relatórios > Relatórios > Auditoria > Auditoria de Operações.

Reiniciar Relatório

Exemplos de registros de ***-ise-33-2, ise-psc.log:

Configuration applied:

2023-09-27 15:26:12,109 INFO  [DefaultQuartzScheduler_Worker-6][[]] admin.caservice.certmgmt.scheduler.AdminCertControlledRestartStatusJob -:::::- 
Restart is Not configured , Hence skipping restart status check for asc-ise33-1037
2023-09-27 15:26:57,775 INFO  [admin-http-pool6][[]] cpm.admin.infra.action.RestartAction -::admin:::- 
adminCertRestartData  received --{"items":[{"hostName":"asc-ise33-1037","restartTime":"2023-09-27:10:00PM"},
{"hostName":"***-ise-33-2","restartTime":"2023-09-27:10:00PM"}]}

Restart starts:

2023-09-27 21:59:11,952 INFO  [DefaultQuartzScheduler_Worker-6][[]] admin.caservice.certmgmt.scheduler.AdminCertControlledRestartStatusJob -:::::- 
Executing AdminCertControlledRestartStatusJob [AdminCertControlledRestart[id=4af7d9c4-31d9-48e0-83dc-19a6cf378528,hostname=***-ise-33-2,
noderestartconfig=2023-09-27:10:00PM,noderestartstatus=Not Restarted,details=Not Restarted,maxdate=Thu Oct 12 2023 14:26:59 GMT-0600 (hora estandar central)], 
AdminCertControlledRestart[id=38b811df-03b5-4a64-87b6-363290b6b4ce,hostname=asc-ise33-1037,noderestartconfig=2023-09-27:10:00PM,
noderestartstatus=Not Restarted,details=Not Restarted,maxdate=Thu Oct 12 2023 14:43:01 GMT-0600 (hora estandar central)]]
2023-09-27 21:59:12,113 INFO  [DefaultQuartzScheduler_Worker-6][[]] admin.caservice.certmgmt.scheduler.AdminCertControlledRestartStatusJob -:::::- 
Restart configured , proceeding to trackRestartStatus for ***-ise-33-2
2023-09-27 21:59:12,113 INFO  [DefaultQuartzScheduler_Worker-6][[]] admin.caservice.certmgmt.scheduler.AdminCertControlledRestartStatusJob -:::::- 
Restart configured , proceeding to trackRestartStatus for asc-ise33-1037
2023-09-27 22:00:00,003 INFO  [DefaultQuartzScheduler_Worker-3][[]] admin.caservice.certmgmt.scheduler.AdminCertControlledRestartSchedulerJob -:::::- 
Executing AdminCertControlledRestartSchedulerJob 
2023-09-27 22:00:00,022 INFO  [DefaultQuartzScheduler_Worker-3][[]] admin.caservice.certmgmt.scheduler.AdminCertControlledRestartSchedulerJob -:::::- 
Executing AdminCertControlledRestartSchedulerJob [AdminCertControlledRestart[id=4af7d9c4-31d9-48e0-83dc-19a6cf378528,hostname=***-ise-33-2,
noderestartconfig=2023-09-27:10:00PM,noderestartstatus=Not Restarted,details=Not Restarted,maxdate=Thu Oct 12 2023 14:26:59 GMT-0600 (hora estandar central)], 
AdminCertControlledRestart[id=38b811df-03b5-4a64-87b6-363290b6b4ce,hostname=asc-ise33-1037,noderestartconfig=2023-09-27:10:00PM,
noderestartstatus=Not Restarted,details=Not Restarted,maxdate=Thu Oct 12 2023 14:43:01 GMT-0600 (hora estandar central)]]
2023-09-27 22:00:00,288 INFO  [DefaultQuartzScheduler_Worker-3][[]] admin.caservice.certmgmt.scheduler.AdminCertControlledRestartSchedulerJob -:::::- 
Restart failed or not restarted yet , hence preparing restart for ***-ise-33-2
2023-09-27 22:00:00,288 INFO  [DefaultQuartzScheduler_Worker-3][[]] admin.caservice.certmgmt.scheduler.AdminCertControlledRestartSchedulerJob -:::::- 
Configured Date is now , hence proceeding for restart ,  for ***-ise-33-2
023-09-27 22:00:00,288 INFO  [DefaultQuartzScheduler_Worker-3][[]] cpm.infrastructure.certmgmt.api.AdminCertControlRestartUIAPI -:::::- 
updateRestartStatus updating restarted status
2023-09-27 22:00:00,288 INFO  [DefaultQuartzScheduler_Worker-3][[]] cpm.infrastructure.certmgmt.api.AdminCertControlRestartUIAPI -:::::- 
Updating the data for node: ***-ise-33-2
2023-09-27 22:00:00,313 INFO  [DefaultQuartzScheduler_Worker-3][[]] admin.caservice.certmgmt.scheduler.AdminCertControlledRestartSchedulerJob -:::::- 
Restart failed or not restarted yet , hence preparing restart for asc-ise33-1037
2023-09-27 22:00:00,313 INFO  [DefaultQuartzScheduler_Worker-3][[]] admin.caservice.certmgmt.scheduler.AdminCertControlledRestartSchedulerJob -:::::- 
Configured Date is now , hence proceeding for restart ,  forasc-ise33-1037
2023-09-27 22:00:00,324 INFO  [DefaultQuartzScheduler_Worker-3][[]] admin.caservice.certmgmt.scheduler.AdminCertControlledRestartSchedulerJob -:::::- 
restartNowList : ***-ise-33-2.aaamexrub.com,asc-ise33-1037.aaamexrub.com

Exemplos de logs de ***-ise-33-2, restartutil.log:

[main] Wed Sep 27 22:00:09 EST 2023:--------------------------------------------------------------- 
[main] Wed Sep 27 22:00:09 EST 2023:RestartUtil: BEGIN - Restart called with args apponly:1377:***-ise-33-2.aaamexrub.com,asc-ise33-1037.aaamexrub.com
[main] Wed Sep 27 22:00:09 EST 2023:--------------------------------------------------------------- 
[main] Wed Sep 27 22:00:14 EST 2023:RestartUtil: Restarting Local node
[main] Wed Sep 27 22:00:14 EST 2023:[/usr/bin/sudo, /opt/CSCOcpm/bin/cpmcontrol.sh, restart_appserver_es]
[main] Wed Sep 27 22:27:13 EST 2023:RestartUtil: Restarted local node and waiting for it to come up...
[main] Wed Sep 27 22:37:47 EST 2023:RestartUtil: Restart success for  local node .
[main] Wed Sep 27 22:37:48 EST 2023:RestartUtil: Restarting node asc-ise33-1037.aaamexrub.com
[main] Wed Sep 27 22:37:54 EST 2023:RestartUtil: statusLine>>>HTTP/1.1 200 
[main] Wed Sep 27 22:37:54 EST 2023:RestartUtil: Waiting for node asc-ise33-1037.aaamexrub.com to come up after restart...
[main] Wed Sep 27 22:52:43 EST 2023:RestartUtil: Restart successful on node: asc-ise33-1037.aaamexrub.com
[main] Wed Sep 27 22:52:43 EST 2023:RestartUtil: cred file deleted 
[main] Wed Sep 27 22:52:43 EST 2023:--------------------------------------------------------------- 
[main] Wed Sep 27 22:52:43 EST 2023:RestartUtil:END-  Restart called with args apponly:1377:***-ise-33-2.aaamexrub.com,asc-ise33-1037.aaamexrub.com
[main] Wed Sep 27 22:52:43 EST 2023:--------------------------------------------------------------- 
[main] Wed Sep 27 23:00:10 EST 2023: Usage RestartUtil local||remote  apponly|full  

Exemplos de logs de asc-ise33-1037, restartutil.log:

main] Wed Sep 27 19:00:10 UTC 2023: Usage RestartUtil local||remote  apponly|full  
[main] Thu Sep 28 04:37:14 UTC 2023:--------------------------------------------------------------- 
[main] Thu Sep 28 04:37:14 UTC 2023:RestartUtil: BEGIN - Restart called with args apponly:1377:localhost
[main] Thu Sep 28 04:37:14 UTC 2023:--------------------------------------------------------------- 
[main] Thu Sep 28 04:37:16 UTC 2023:RestartUtil: Restarting Local node
[main] Thu Sep 28 04:37:16 UTC 2023:[/usr/bin/sudo, /opt/CSCOcpm/bin/cpmcontrol.sh, restart_appserver_es]
[main] Thu Sep 28 04:52:41 UTC 2023:RestartUtil: Restarted local node and waiting for it to come up...

[main] Thu Sep 28 04:53:12 UTC 2023:RestartUtil: Restart success for  local node .
[main] Thu Sep 28 04:53:12 UTC 2023:RestartUtil: cred file deleted 
[main] Thu Sep 28 04:53:12 UTC 2023:--------------------------------------------------------------- 
[main] Thu Sep 28 04:53:12 UTC 2023:RestartUtil:END-  Restart called with args apponly:1377:localhost
[main] Thu Sep 28 04:53:12 UTC 2023:--------------------------------------------------------------- 

Troubleshooting

Para verificar as informações sobre este recurso, você pode verificar estes arquivos:

• ise-psc.log
• restartutil.log

Para verificá-los em tempo real a partir da linha de comando, você pode usar estes comandos:

show logging application restartutil.log tail
show logging application ise-psc.log tail

Informações Relacionadas

•Suporte técnico e downloads da Cisco