解決ACI故障代碼F3081：SAML證書過期

簡介

本文檔介紹ACI故障F3081及其補救步驟。

背景資訊

SAML X.509證書在APIC上將於一個月後到期時，會發生此故障。

F3081: fltAaaSamlEncCertSamlEncCertExpiring
Severity: major
Explanation: This fault occurs when the SAML X.509 Certificate is going to expire in one month.
Recommended Action: If you see this fault, take the following actions:
Update SAML X.509 Certificate soon.

注意：即使沒有SAML實施，也會發生相同的情況。但是，如果未使用SAML，則不會對系統產生影響。

Intersight連線ACI網狀架構

此故障作為主動ACI活動的一部分受到主動監控。

如果您有與Intersight連線的ACI交換矩陣，則會代表您生成服務請求，以表示在與Intersight連線的ACI交換矩陣中發現了此故障的例項。

快速入門解決故障

1. 驗證SAML X.509證書過期狀態，如果它顯示過期或過期故障，則會引發F3081。

2. 驗證證書頒發者是思科還是第三方。

3. 如果頒發者是Cisco，則繼續重新生成SAML加密金鑰對。

解決故障的詳細步驟

驗證SAML X.509憑證到期狀態

透過APIC GUI

1. 定位至Admin > AAA > Authentication > SAML > Management。

2. 驗證SAML X.509證書過期狀態。Expiring意味著證書即將在一個月內過期。

重新產生並更新SAML X.509憑證

為了解決此故障，您可以重新生成並更新證書並延長其到期日來清除此故障。

重新生成SAML X.509證書不會有任何影響。

繼續之前，請確保仔細檢查證書的證書頒發機構(CA)頒發者是思科還是第三方實體。

為了從APIC獲取證書內容，請解碼任意X.509解碼器中的證書以獲取證書引數：

如果證書是由第三方CA頒發，請與CA聯絡以續訂SAML X.509證書。

但是，如果證書頒發者是Cisco，您可以繼續執行以下步驟。

透過APIC GUI

1. 定位至Admin > AAA > Authentication > SAML > Management > Regenerate SAML Encryption Key Pair。

注意：透過續訂證書，證書有效性中顯示的到期日期將延長至續訂日期之後三年。

驗證過期狀態是否更改為活動

透過APIC GUI

1. 定位至Admin > AAA > Authentication > SAML > Management。

其他資訊

SAML是基於XML的開放式標準資料格式，使管理員能夠在登入到其中某個應用後無縫訪問一組已定義的思科合作應用。SAML描述了可信賴的業務合作夥伴之間與安全相關的資訊交換。這是服務提供者用於驗證使用者的驗證通訊協定。SAML允許在身份提供程式(IdP)和服務提供商之間交換安全身份驗證資訊。

SAML SSO使用SAML 2.0協定為思科合作解決方案提供跨域和跨產品的SSO。SAML 2.0支援跨思科應用的SSO，並支援思科應用和IdP之間的聯合。SAML 2.0還允許思科管理使用者訪問安全Web域，以便在IdP和服務提供商之間交換使用者身份驗證和授權資料，同時保持高安全級別。此功能提供安全機制，可在各種應用程式中使用通用憑證和相關資訊。