ISE 2.4-p2证书续期

Question

我们的ISE管理和策略节点证书即将到期。ISE大师，谁建立了整个基础设施，做了一个跑步者和证书更新已经落在我的腿上。上一次我做了一些ISE课程一定是三年前的事了。:-(

在文档之后，我为每个节点创建了一个多用途csr，并由我们的第三方对它们进行了验证。接下来将把新的证书上传到这些pan和psn节点中，供所有无线客户端开始使用。

如果有人在过去必须更新ISE证书并使其开始工作，那么在我安装新证书的时候，还有什么值得注意的地方吗?如果有的话，还有什么值得注意的吗？

先谢谢大家。

Answer 1

对于所有的人来说，这个过程顺利地升级了ISE节点，只有一个障碍。

所有操作都是从主PAN完成的，每次一个节点，最后一个主PAN。

1. 创建证书请求，使其成为“多用途”，下载它们，但之后不要触摸/打喷嚏在/删除这些证书从锅。以后还需要它们。
2. 让第三方验证/创建所需的证书。
3. 从您的第三方下载您的新验证证书，以及它们的中间证书和根证书。将第三方中级证书和根证书上载到主PAN可信证书区域。
4. 回到“主PAN”和“证书请求”部分，选择以前为特定节点创建的证书，并将它们“绑定”到第三方创建的相关证书。接下来，确保选择与要替换的旧证书完全匹配的其他选项。
5. 在单击apply之前，ssh进入节点并使用命令“显示应用程序状态ise”进行监视。
6. 绑定新的证书，同意/应用，通过ssh监视正在更新的节点，直到所有进程重新启动。不要删除旧的证书，清理之后可以执行。
7. 测试您所有已知的操作系统客户端可用，我有一系列的byod设备测试和一对夫妇，我不得不接受新的证书。

备注:一些OsX/iThingys之前已经安装了一个dot1x配置文件，删除该dot1x配置文件和记住的/相关的wifi连接。然后重新连接到您的wifi并接受新的证书。唯一的障碍和最大的噩梦是Win10设备，所有其他的OS客户机/设备都玩得很好。我现在有个梦..。如果可行，禁止所有的Win10设备从企业甚至OsX玩得很好！