在ISE 3.3中配置受控應用程式重新啟動

下載選項

  • PDF     (1.2 MB)
    在多種裝置上使用 Adobe Reader 檢視
  • ePub     (963.8 KB)
    在 iPhone、iPad、Android、Sony Reader 或 Windows Phone 上的各種應用程式中檢視
  • Mobi (Kindle)     (694.5 KB)
    在 Kindle 裝置或多部裝置的 Kindle 應用程式上檢視
已更新: 2024 年 4 月 17 日
文件 ID:221909

無偏見用語

本產品的文件集力求使用無偏見用語。針對本文件集的目的,無偏見係定義為未根據年齡、身心障礙、性別、種族身分、民族身分、性別傾向、社會經濟地位及交織性表示歧視的用語。由於本產品軟體使用者介面中硬式編碼的語言、根據 RFP 文件使用的語言,或引用第三方產品的語言,因此本文件中可能會出現例外狀況。深入瞭解思科如何使用包容性用語。

關於此翻譯

思科已使用電腦和人工技術翻譯本文件,讓全世界的使用者能夠以自己的語言理解支援內容。請注意,即使是最佳機器翻譯,也不如專業譯者翻譯的內容準確。Cisco Systems, Inc. 對這些翻譯的準確度概不負責,並建議一律查看原始英文文件(提供連結)。

    簡介

    本文檔介紹如何為ISE 3.3中的管理員證書配置受控應用程式重新啟動。

    必要條件

    需求

    思科建議您瞭解以下主題:

    • ISE節點/角色
    • ISE證書續訂/編輯/建立

    採用元件

    本文件中的資訊是以下列硬體與軟體版本為依據:

    • 身分辨識服務引擎(ISE)軟體版本3.3
    • 2節點部署

    本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除(預設)的組態來啟動。如果您的網路運作中,請確保您瞭解任何指令可能造成的影響。

    背景資訊

    在ISE中,當主管理節點(PAN)的管理證書更改時,部署中的所有節點都會重新載入,首先是PAN,然後是其餘節點,這會導致所有服務中斷。

    當在任何其它節點中替換管理員證書時,唯一重新啟動的節點就是該單個節點。

    ISE 3.3引入了一項新功能,允許您安排節點重新載入的時間。這樣可以更好地控制每個節點的重新啟動,並有助於避免中斷所有服務。

    設定

    更改PAN節點的管理員證書有以下不同選項:

    • 建立證書簽名請求(CSR)並分配管理員角色。
    • 導入證書、私鑰並分配管理員角色。
    • 建立自簽名證書並分配管理員角色。

    本檔案介紹使用CSR的方法。

    步驟 1.建立憑證簽署請求(CSR)

    1. 在ISE上,導航到管理>系統>證書>證書簽名請求
    2. 按一下「Generate Certificate Signing Request (CSR)」。
    3. 使用情況中,選擇管理員
    4. 節點中,選取主要管理節點。
    5. 完成憑證資訊。
    6. 按一下Generate
    7. 匯出檔案並使用有效的授權進行簽署。

    CSR建立CSR建立

    步驟 2.導入簽署CSR的根CA

    1. 在ISE上,導航到管理>系統>證書>受信任的證書
    2. 按一下「Import」(匯入)。
    3. 按一下Choose File並選擇Root CA certificate
    4. 寫一個好記的名稱
    5. 啟用覈取方塊:
      1. 信任ISE內的身份驗證
      2. 信任思科服務的身份驗證
    6. 按一下Submit

    導入根證書導入根證書

    步驟 3.導入簽名的CSR

    1. 在ISE上,導航到管理>系統>證書>證書簽名請求
    2. 選擇CSR並按一下Bind Certificate
    3. 按一下Choose file並選擇signed certificate
    4. 配置友好名稱

    繫結證書繫結證書

    繫結CA簽名證書繫結證書

    步驟 4.配置重新啟動時間

    1. 現在您可以看到一個新部分。您可以在此設定重新啟動程式。
    2. 您可以為每個節點配置時間,也可以同時選擇兩個節點並應用相同的配置。
    3. 選擇一個節點並按一下Set Restart Time
    4. 選擇日期時間,然後按一下儲存
    5. 驗證時間,如果一切正確,請按一下Submit

    設定重新啟動時間設定重新啟動時間

    確認重新啟動時間確認重新啟動時間

    驗證

    使用新頁籤時,請導航到管理>系統>證書>管理證書節點重新啟動 您可以驗證配置已完成,並在需要時進行更改。 

    要更改它,請按一下Set Restart TimeRestart Now

    驗證重新啟動狀態驗證重新啟動狀態

    您可以在流程期間驗證節點狀態。下一個影像是一個節點重新載入,另一個節點進行中的範例:

    PAN已重新啟動PAN已重新啟動

    驗證更改並使用報告重新載入。

    要檢查配置更改,請導航到操作>報告>報告>稽核>更改配置稽核

    配置報告配置報告

    要檢查重新啟動,請導航到操作>報告>報告>稽核>操作稽核

    重新啟動報告重新啟動報告

    ***-ise-33-2、ise-psc.log中的示例日誌:

    Configuration applied:

    2023-09-27 15:26:12,109 INFO  [DefaultQuartzScheduler_Worker-6][[]] admin.caservice.certmgmt.scheduler.AdminCertControlledRestartStatusJob -:::::- 
    Restart is Not configured , Hence skipping restart status check for asc-ise33-1037
2023-09-27 15:26:57,775 INFO  [admin-http-pool6][[]] cpm.admin.infra.action.RestartAction -::admin:::- 
    adminCertRestartData  received --{"items":[{"hostName":"asc-ise33-1037","restartTime":"2023-09-27:10:00PM"},
    {"hostName":"***-ise-33-2","restartTime":"2023-09-27:10:00PM"}]}

Restart starts:

2023-09-27 21:59:11,952 INFO  [DefaultQuartzScheduler_Worker-6][[]] admin.caservice.certmgmt.scheduler.AdminCertControlledRestartStatusJob -:::::- 
    Executing AdminCertControlledRestartStatusJob [AdminCertControlledRestart[id=4af7d9c4-31d9-48e0-83dc-19a6cf378528,hostname=***-ise-33-2,
    noderestartconfig=2023-09-27:10:00PM,noderestartstatus=Not Restarted,details=Not Restarted,maxdate=Thu Oct 12 2023 14:26:59 GMT-0600 (hora estandar central)], 
    AdminCertControlledRestart[id=38b811df-03b5-4a64-87b6-363290b6b4ce,hostname=asc-ise33-1037,noderestartconfig=2023-09-27:10:00PM,
    noderestartstatus=Not Restarted,details=Not Restarted,maxdate=Thu Oct 12 2023 14:43:01 GMT-0600 (hora estandar central)]]
2023-09-27 21:59:12,113 INFO  [DefaultQuartzScheduler_Worker-6][[]] admin.caservice.certmgmt.scheduler.AdminCertControlledRestartStatusJob -:::::- 
    Restart configured , proceeding to trackRestartStatus for ***-ise-33-2
2023-09-27 21:59:12,113 INFO  [DefaultQuartzScheduler_Worker-6][[]] admin.caservice.certmgmt.scheduler.AdminCertControlledRestartStatusJob -:::::- 
    Restart configured , proceeding to trackRestartStatus for asc-ise33-1037
2023-09-27 22:00:00,003 INFO  [DefaultQuartzScheduler_Worker-3][[]] admin.caservice.certmgmt.scheduler.AdminCertControlledRestartSchedulerJob -:::::- 
    Executing AdminCertControlledRestartSchedulerJob 
2023-09-27 22:00:00,022 INFO  [DefaultQuartzScheduler_Worker-3][[]] admin.caservice.certmgmt.scheduler.AdminCertControlledRestartSchedulerJob -:::::- 
    Executing AdminCertControlledRestartSchedulerJob [AdminCertControlledRestart[id=4af7d9c4-31d9-48e0-83dc-19a6cf378528,hostname=***-ise-33-2,
    noderestartconfig=2023-09-27:10:00PM,noderestartstatus=Not Restarted,details=Not Restarted,maxdate=Thu Oct 12 2023 14:26:59 GMT-0600 (hora estandar central)], 
    AdminCertControlledRestart[id=38b811df-03b5-4a64-87b6-363290b6b4ce,hostname=asc-ise33-1037,noderestartconfig=2023-09-27:10:00PM,
    noderestartstatus=Not Restarted,details=Not Restarted,maxdate=Thu Oct 12 2023 14:43:01 GMT-0600 (hora estandar central)]]
2023-09-27 22:00:00,288 INFO  [DefaultQuartzScheduler_Worker-3][[]] admin.caservice.certmgmt.scheduler.AdminCertControlledRestartSchedulerJob -:::::- 
    Restart failed or not restarted yet , hence preparing restart for ***-ise-33-2
2023-09-27 22:00:00,288 INFO  [DefaultQuartzScheduler_Worker-3][[]] admin.caservice.certmgmt.scheduler.AdminCertControlledRestartSchedulerJob -:::::- 
    Configured Date is now , hence proceeding for restart ,  for ***-ise-33-2
023-09-27 22:00:00,288 INFO  [DefaultQuartzScheduler_Worker-3][[]] cpm.infrastructure.certmgmt.api.AdminCertControlRestartUIAPI -:::::- 
    updateRestartStatus updating restarted status
2023-09-27 22:00:00,288 INFO  [DefaultQuartzScheduler_Worker-3][[]] cpm.infrastructure.certmgmt.api.AdminCertControlRestartUIAPI -:::::- 
    Updating the data for node: ***-ise-33-2
2023-09-27 22:00:00,313 INFO  [DefaultQuartzScheduler_Worker-3][[]] admin.caservice.certmgmt.scheduler.AdminCertControlledRestartSchedulerJob -:::::- 
    Restart failed or not restarted yet , hence preparing restart for asc-ise33-1037
2023-09-27 22:00:00,313 INFO  [DefaultQuartzScheduler_Worker-3][[]] admin.caservice.certmgmt.scheduler.AdminCertControlledRestartSchedulerJob -:::::- 
    Configured Date is now , hence proceeding for restart ,  forasc-ise33-1037
2023-09-27 22:00:00,324 INFO  [DefaultQuartzScheduler_Worker-3][[]] admin.caservice.certmgmt.scheduler.AdminCertControlledRestartSchedulerJob -:::::- 
    restartNowList : ***-ise-33-2.aaamexrub.com,asc-ise33-1037.aaamexrub.com


    來自***-ise-33-2, restartutil.log的示例日誌:

    [main] Wed Sep 27 22:00:09 EST 2023:--------------------------------------------------------------- 
[main] Wed Sep 27 22:00:09 EST 2023:RestartUtil: BEGIN - Restart called with args apponly:1377:***-ise-33-2.aaamexrub.com,asc-ise33-1037.aaamexrub.com
[main] Wed Sep 27 22:00:09 EST 2023:--------------------------------------------------------------- 
[main] Wed Sep 27 22:00:14 EST 2023:RestartUtil: Restarting Local node
[main] Wed Sep 27 22:00:14 EST 2023:[/usr/bin/sudo, /opt/CSCOcpm/bin/cpmcontrol.sh, restart_appserver_es]
[main] Wed Sep 27 22:27:13 EST 2023:RestartUtil: Restarted local node and waiting for it to come up...
[main] Wed Sep 27 22:37:47 EST 2023:RestartUtil: Restart success for  local node .
[main] Wed Sep 27 22:37:48 EST 2023:RestartUtil: Restarting node asc-ise33-1037.aaamexrub.com
[main] Wed Sep 27 22:37:54 EST 2023:RestartUtil: statusLine>>>HTTP/1.1 200 
[main] Wed Sep 27 22:37:54 EST 2023:RestartUtil: Waiting for node asc-ise33-1037.aaamexrub.com to come up after restart...
[main] Wed Sep 27 22:52:43 EST 2023:RestartUtil: Restart successful on node: asc-ise33-1037.aaamexrub.com
[main] Wed Sep 27 22:52:43 EST 2023:RestartUtil: cred file deleted 
[main] Wed Sep 27 22:52:43 EST 2023:--------------------------------------------------------------- 
[main] Wed Sep 27 22:52:43 EST 2023:RestartUtil:END-  Restart called with args apponly:1377:***-ise-33-2.aaamexrub.com,asc-ise33-1037.aaamexrub.com
[main] Wed Sep 27 22:52:43 EST 2023:--------------------------------------------------------------- 
[main] Wed Sep 27 23:00:10 EST 2023: Usage RestartUtil local||remote  apponly|full


    來自asc-ise33-1037, restartutil.log的示例日誌:

    main] Wed Sep 27 19:00:10 UTC 2023: Usage RestartUtil local||remote  apponly|full  
[main] Thu Sep 28 04:37:14 UTC 2023:--------------------------------------------------------------- 
[main] Thu Sep 28 04:37:14 UTC 2023:RestartUtil: BEGIN - Restart called with args apponly:1377:localhost
[main] Thu Sep 28 04:37:14 UTC 2023:--------------------------------------------------------------- 
[main] Thu Sep 28 04:37:16 UTC 2023:RestartUtil: Restarting Local node
[main] Thu Sep 28 04:37:16 UTC 2023:[/usr/bin/sudo, /opt/CSCOcpm/bin/cpmcontrol.sh, restart_appserver_es]
[main] Thu Sep 28 04:52:41 UTC 2023:RestartUtil: Restarted local node and waiting for it to come up...

[main] Thu Sep 28 04:53:12 UTC 2023:RestartUtil: Restart success for  local node .
[main] Thu Sep 28 04:53:12 UTC 2023:RestartUtil: cred file deleted 
[main] Thu Sep 28 04:53:12 UTC 2023:--------------------------------------------------------------- 
[main] Thu Sep 28 04:53:12 UTC 2023:RestartUtil:END-  Restart called with args apponly:1377:localhost
[main] Thu Sep 28 04:53:12 UTC 2023:---------------------------------------------------------------

    疑難排解

    若要檢查關於此功能的資訊,您可以檢查下列檔案:

    • ise-psc.log
    • restartutil.log

    若要從指令行即時檢查它們,您可以使用下列指令:

    show logging application restartutil.log tail
    show logging application ise-psc.log tail

    相關資訊

    •思科技術支援與下載

    修訂記錄

    修訂 發佈日期 意見
    1.0
    18-Apr-2024
    初始版本
    TAC Authored

    由思科工程師貢獻

    • 魯本·德拉維加
      技術諮詢工程師

    這份文件是否有所幫助?

    Feedback意見

    讓思科協助您

    本文件適用於這些產品