Как зарегистрировать устройство с помощью HTTPS на сервере Satellite Smart-licensing Server
-
Здравствуйте. Как правильно зарегистрировать стек коммутаторов (cat9300) в спутнике? Все выглядит нормально (спутник видит такой узел как резервный с двумя устройствами), пока я не выполняю переключение — после переключения я получаю следующее: 000236: 7 декабря 09:43:48.383: %CRYPTO_ENGINE-5-KEY_DELETED: Ключ с именем SLA-KeyPair2 был удален из хранилища ключей
000237: 7 декабря 09:43:50.008: %CRYPTO_ENGINE-5-KEY_ADDITION: Ключ с именем SLA-KeyPair2 был сгенерирован или импортирован криптографическим движком
000238: 7 декабря 09:43:50.049: %PKI-6-CONFIGAUTOSAVE: Рабочая конфигурация сохранена в NVRAM
000239: 7 декабря 09:43:52.753: %SMART_LIC-3-ID_CERT_RENEW_FAILED: Автоматическое продление регистрации не удалось: Ошибка, полученная от Smart Software Manager: 500 Внутренняя ошибка
сервера 000240: 7 декабря 09:43:52.753: %SMART_LIC-3-ID_CERT_RENEW_FAILED: Автоматическое продление регистрации не удалось: FAILED #sh license status
Smart Licensing включен
Утилита:
Статус: ОТКЛЮЧЕН
Конфиденциальность данных:
Отправка имени хоста: да
Конфиденциальность имени хоста Callhome: ОТКЛЮЧЕНА
Конфиденциальность имени хоста Smart Licensing: ОТКЛЮЧЕНА
Конфиденциальность версии: ОТКЛЮЧЕНА
Транспорт:
Тип: Callhome
Регистрация:
Статус: REGISTERED
Smart Account: cssm_sat_prod
Виртуальная учетная запись: по умолчанию
Функциональность, подлежащая экспортному контролю: разрешена
Первоначальная регистрация: первая попытка в
процессе Последняя попытка продления: FAILED 07 декабря 2018 г. в 09:43:52 EET
Причина сбоя: агент получил статус сбоя в ответном сообщении. Подробное сообщение см. в файле журнала агента.
Следующая попытка продления: 07 декабря 2018 г., 10:02:23 EET
Срок действия регистрации истекает: 05 декабря 2019 г., 09:57:44 EET
Авторизация лицензии:
Статус: АВТОРИЗОВАНО 07 декабря 09:39:59 2018 EET
Последняя попытка связи: УСПЕШНО 07 декабря 09:39:59 2018 EET
Следующая попытка связи: 06 января 09:39:58 2019 EET Крайний
срок связи: 07 марта 09:36:57 2019 EET Ключ
авторизации экспорта:
Авторизованные функции:
<нет> и спутник видит только активный коммутатор (который ранее был в режиме ожидания), а вкладка HA исчезла В руководстве пользователя есть глава о поддержке избыточности приложений, но я считаю, что она подходит не для коммутационного стека, а для двух отдельных узлов в избыточной конфигурации br -
Здравствуйте, Я не уверен в поведении CAT9300 в режиме HA. Вам необходимо открыть заявку TAC и обратиться за помощью к экспертам по Cat9300.
-
Здравствуйте, В нашем случае мы реализовали следующую команду, чтобы преодолеть сбой регистрации на локальном спутниковом сервере: http client secure-verify-peer disable. Кроме того, спутниковый сервер не имеет имени хоста, вместо этого он доступен по IP-адресу. Мы не изменяли настройки шифрования. Спасибо.
-
Привет Хорошо, я понимаю, что в вашем случае вы отключили SSL-проверку соединения. Эта команда уникальна для некоторых продуктов Cisco и не может использоваться во всех. В вашем случае я бы сказал, что это ошибка, вам не следовало отключать проверку соединения. Спасибо, Росс
-
Здравствуйте, я установил спутниковую версию сервера лицензий Smart 6.3.0, и все работает нормально, то есть синхронизация со счетом Smart выполнена, и у меня есть все лицензии, но моя функция CallHome не отправляет сообщения. Версия моего коммутатора стеков: / Порты коммутатора Модель Версия SW Образ SW Режим ------ ----- ----- ---------- ---------- ---- * 1 64 C9300-48P 16.9.1 CAT9K_IOSXE BUNDLE 2 64 C9300-48P 16.9.1 CAT9K_IOSXE BUNDLE 3 64 C9300-48P 16.9.1 CAT9K_IOSXE BUNDLE Мое подключение в порядке, и я могу подключиться по теленету на порту 80. Вот моя конфигурация/ профиль «N93K» отчет о данных интеллектуального лицензирования метод транспортировки назначения http нет метода транспортировки назначения email адрес назначения http
http://172.18.90.120/TransportGateway/services/DeviceRequestHandler диагностическая подпись профиль «N93K» ST005A-IXCMA#sho лицензия все Статус интеллектуального лицензирования ====================== Интеллектуальное лицензирование ВКЛЮЧЕНО Регистрация: Статус: РЕГИСТРАЦИЯ — РЕГИСТРАЦИЯ В ПРОЦЕССЕ Функции, подлежащие экспортному контролю: не разрешены Первоначальная регистрация: НЕ УДАЛАСЬ 17 декабря 2019 г. в 13:49:43 UTC Причина неудачи: Не удалось отправить HTTP-сообщение Call Home. Следующая попытка регистрации: 17 декабря 14:49:46 2019 UTC Авторизация лицензии: Статус: EVAL ИСТЕЧЕН 24 апреля 07:01:28 2019 UTC Утилита: Статус: DISABLED Конфиденциальность данных: Отправка имени хоста: да Конфиденциальность имени хоста Callhome: ОТКЛЮЧЕНО Конфиденциальность имени хоста Smart Licensing: ОТКЛЮЧЕНО Конфиденциальность версии: ОТКЛЮЧЕНО Транспорт: Тип: Callhome Использование лицензии ============== (C9300-48 DNA Advantage): Описание: Количество: 3 Версия: 1.0 Статус: EVAL EXPIRED (C9300-48 Network Advantage): Описание: Количество: 3 Версия: 1.0 Статус: СРОК ДЕЙСТВИЯ ОЦЕНКИ ИСТЕК Информация о продукте =================== UDI: PID:C9300-48P,SN:FOC2231Q0E9 Список HA UDI: Активный: PID: C9300-48P, SN: FOC2231Q0E9 В режиме ожидания: PID: C9300-48P, SN: FOC2231Q0E5 Член: PID: C9300-48P, SN: FOC2231Z0CC Версия агента ============= Smart Agent для лицензирования: 4.4.13_rel/116 Версии компонентов: SA:(1_3_dev)1.0.15, SI:(dev22)1.2.1, CH:(rel5)1.0.3, PK:(dev18)1.0.3 Информация о резервировании ================ Бронирование лицензии: ОТКЛЮЧЕНО Не могли бы вы сказать, отличается ли конфигурация для коммутаторов в стеках? Или после развертывания сервера мне нужно активировать что-то на сервере? Я действительно застрял с этой проблемой:-( Обычно я думаю, что для регистрации нам не нужно устанавливать уровень загрузки, я имею в виду, что это для авторизации, я прав? Заранее спасибо. Рамтин -
Привет У меня была такая же проблема. Имя спутника в команде address должно совпадать с реальным именем спутника. Например, сначала я пытался использовать IP-адрес своего спутника (как в вашем примере), но это не сработало, потому что имя моего спутника было «CiscoSatellite», а не «10.x.y.z», и в этом случае имя CN не совпадало (идея этой проблемы описана автором темы в начале). http работает нормально, но https — нет. В моем случае я просто заменил IP-адрес на имя моего спутника и добавил команду локального разрешения имени для него (ip host <sat> <ip>). Но я рекомендую обновиться до версии 7.x.x. Запланированная синхронизация начинает работать (более или менее) в 7.x.x, но проблема переключения стека все равно остается.
-
Привет, Adorins, я запустил его на порту 80, но проблема осталась: у меня такой же сертификат CSSM, как у вас, но когда я меняю имя хоста на вкладке «Сеть» и «Безопасность» для сертификата и сохраняю полную синхронизацию, CN не меняется в сертификате, то есть я нахожу последнее имя хоста. У вас есть какие-нибудь идеи по поводу этой проблемы? Заранее спасибо Рамтин
-
Какую версию SAT вы используете? Вы пробовали перезапустить сервер после изменения имени хоста?
-
Адоринс, спасибо за ответ. Я использую версию 6.3. Смотрите ниже: ![SHOT1.png]
![SHOT2.png] ![SHOT3.png] Да, перезагрузка выполняется после полной синхронизации. Бр Рамтин
-
Я бы порекомендовал обновить до версии 7, если это возможно. На ваших скриншотах все выглядит нормально. У меня нет большого опыта работы со спутниками, в моей сети они еще не используются. У меня была такая же конфигурация, но с именем хоста вместо IP-адреса. В начале версии v6 было невозможно использовать IP-адрес в конфигурации, только имя хоста. Возможно, это все еще так. Предполагалось использовать имя хоста в конфигурации коммутатора, а затем преобразовывать его в IP-адрес. Поскольку мы не настраиваем DNS на нашем сетевом оборудовании, я был вынужден добавить статическое преобразование в конфигурацию коммутатора. С IP-адресом просто не было возможности использовать https. Кроме того, мне не удалось настроить работу запланированной синхронизации в v6. V7 решила эту проблему.
-
Здравствуйте, Я получил дело и обновил его до версии V7-202001, выполнил полную синхронизацию, но HTTPS-связь с CSSM, похоже, не работает даже после полной синхронизации. Я полагаю, что проблема связана с именем хоста, которое не может быть IP-адресом. Может ли кто-нибудь это подтвердить? Спасибо за помощь.
![Capture.GIF]
-
Если кто-либо пытается зарегистрировать ASA с помощью локального Smart Software Manager и получает ошибку Connect_Failed(35) из-за проблем с проверкой сертификата, вы можете получить доступ к необходимым ЦС из локального компьютера через ssh. Та же проблема может также влиять на серию Catalyst 9k, хотя я еще не имел возможности это проверить. Необходимый сертификат находится на локальном компьютере в папке
/home/deployer/ssl/product.pem В этой цепочке всего три сертификата, и вам нужно будет импортировать два из них. Вам понадобятся сертификаты CiscoLicenseRootCA и TG-SSL CA. Я использовал
https://certlogik.com/decoder/ для декодирования сертификатов из product.pem, чтобы понять, что к чему, и импортировать их по одному. Если у вас есть время и вы хотите посмотреть видео о том, что я сделал, посмотрите:
https://www.youtube.com/watch?v=jhKpD3ZC8JQ Надеюсь, это поможет.
Здравствуйте! Похоже, вам интересна эта беседа, но у вас пока нет учетной записи.
Вы устали просматривать одни и те же посты каждый раз, когда заходите на сайт? После регистрации, вам не придётся искать обсуждения в которых вы принимали участие, настройте уведомления о новых сообщениях так как вам это удобно (по электронной почте или уведомлением). У вас появится возможность сохранять закладки и ставить лайки постам, чтобы выразить свою благодарность другим участникам сообщества.
С вашими комментариями этот пост может стать ещё лучше 💗
Зарегистрироваться Войти