DNAC сообщает, что на сервере ISE отсутствует корневой сертификат, но это не так.

Reply to DNAC сообщает, что на сервере ISE отсутствует корневой сертификат, но это не так. on Mon, 02 Mar 2026 12:20:27 GMT

Martin Pritchard — Mon, 02 Mar 2026 12:20:27 GMT

Восстановление цепочки, похоже, прошло достаточно безболезненно (спасибо
@beepmeep
). Я также обнаружил тихо (и недавно) истекший сертификат OCSP-респондера на вторичном узле, там также был более новый сертификат OCSP-респондера, поэтому я просто отключил истекший.
К сожалению, DNAC по-прежнему лжет о сертификате R46. Интересно, что у DNAC нет копий самоподписанного корневого сертификата ISE и нет признаков того, что они когда-либо их имели. Завтра
у нас запланирована личная встреча с двумя представителями Cisco (один из отдела продаж, другой — очень опытный технический специалист), я подниму этот вопрос в разговоре и посмотрю, что они скажут.

Reply to DNAC сообщает, что на сервере ISE отсутствует корневой сертификат, но это не так. on Mon, 02 Mar 2026 12:20:26 GMT

Arne Bier — Mon, 02 Mar 2026 12:20:26 GMT

@beepmeep
совершенно прав — я тоже несколько раз сталкивался с этой проблемой, и восстановление корневого центра сертификации в ISE позволило мне повторно интегрировать Cat C. Меня удивляет, что два продукта Cisco так сложно интегрировать. Но такова реальность. Регенерация корневого ЦС в ISE не должна вызывать проблем, если вы не используете ISE для генерации сертификатов BYOD с помощью его внутреннего ЦС... или, в более общем плане, не выдавали сертификаты ISE CA внешним системам — им необходимо будет доверять новой структуре ISE CA.

Reply to DNAC сообщает, что на сервере ISE отсутствует корневой сертификат, но это не так. on Mon, 02 Mar 2026 12:20:25 GMT

beepmeep — Mon, 02 Mar 2026 12:20:25 GMT

Перед тем как обратиться в TAC, я бы попробовал сгенерировать новый внутренний сертификат корневого центра сертификации. Имейте в виду, что любые интеграции pxgrid должны доверять новому сертификату CA. Если вы начинаете получать ошибки связи с очереди сообщений, вам также необходимо сгенерировать новые сертификаты службы обмена сообщениями ISE. Шаги описаны в разделе «Повторное создание цепочки корневых сертификатов» в этом руководстве. Я знаю, что оно предназначено для версии 3.1, но шаги должны быть такими же. https://www.cisco.com/c/en/us/td/docs/security/ise/3-1/upgrade_guide/HTML/b_upgrade_post_upgrade_tasks_3_1.html#id_125864 Редактирование: это не должно вызвать каких-либо простоев, за исключением отсутствующих привязок sxp для интеграций pxgrid, пока они не работают.

Reply to DNAC сообщает, что на сервере ISE отсутствует корневой сертификат, но это не так. on Mon, 02 Mar 2026 12:20:24 GMT

Martin Pritchard — Mon, 02 Mar 2026 12:20:24 GMT

Этот вопрос был поднят от нашего имени одним из инженеров Cisco. Инженер TAC использовал две разные команды для проверки журналов Catalyst Center, вторая из которых дала важную подсказку:
magctl service logs -rf network-design -c network-design-service
magctl service logs -rf ise-bridge
Эти журналы из команды «magctl service logs -rf ise-bridge», сгенерированные вскоре после попытки повторного добавления ISE в DNAC, привели к возникновению проблемы. Обратите внимание на выделенные красным фрагменты: -
{"asctime":"2026-02-24T19:07:38.318Z","correlationId":"","level":"info","msg":"Check if peer has provided complete certificate chain,
chain length=4
","packagename":"Certificate Manager"}
{"asctime":"2026-02-24T19:07:38.318Z","correlationId":"","level":"info","msg":"peerCert[0]: Subject=[MASKED], Issuer=[MASKED], SKID=, AKID=","packagename":"Менеджер сертификатов"}
{"asctime":"2026-02-24T19:07:38.318Z","correlationId":"","level":"info","msg":"peerCert[1]: Subject=[MASKED], Issuer=[MASKED], SKID=, AKID=","packagename":"Менеджер сертификатов"}
{"asctime":"2026-02-24T19:07:38.318Z","correlationId":"","level":"info","msg":"peerCert[2]: Subject=[MASKED], Issuer=[MASKED], SKID=, AKID=","packagename":"Менеджер сертификатов"}
{"asctime":"2026-02-24T19:07:38.318Z","correlationId":"","level":"info","msg":"peerCert[3]: Subject=[MASKED], Issuer=[MASKED], SKID=, AKID=","packagename":"Certificate Manager"}
{"asctime":"2026-02-24T19:07:38.318Z","correlationId":"","level":"info","msg":"Создание/обновление цепочки сертификатов для Node=;cname=(ISE host FQDN)","packagename":"Certificate Manager"}
{"asctime":"2026-02-24T19:07:38.318Z","correlationId":"","level":"info","msg":"Вставка в пул сертификатов ise-bridge. Issuer=CN=Sectigo Public Server Authentication Root R46,O=Sectigo Limited,C=GB; Subject=CN=Sectigo Public Server Authentication CA OV R36,O=Sectigo Limited,C=GB; Серийный номер=2c1a3c76e943ddddff191b31890aed71","packagename":"Менеджер сертификатов"}
{"asctime":"2026-02-24T19:07:38.318Z","correlationId":"","level":"error","msg":"Сертификат не найден в записях доверенных сертификатов ISE. subject=[MASKED], issuer=[MASKED], serialNumber=
d27fbbc1de359e5216ad6149586099c4
.","packagename":"Менеджер сертификатов"}
{"asctime":"2026-02-24T19:07:38.318Z","correlationId":"","level":"error","msg":"{"i18n":{"code":"NCND80018","params":["Sectigo Public Server Authentication Root R46","(ISE host FQDN)"]}}","packagename":"Certificate Manager"}
У нас есть собственный сертификат, подписанный эмитентом, подписанный корнем, так что это цепочка из трех элементов. Но DNAC обнаружила цепочку из четырех элементов и недовольна отсутствующим элементом.
Сертификат с серийным номером, заканчивающимся на 99C4? Это
Sectigo Public Server Authentication Root R46
, но это не
тот
Sectigo Public Server Authentication Root R46. Это другая версия, подписанная корневым ЦС
USERTrust RSA Certification Authority
, тогда как Sectigo Public Server Authentication Root R46 в общем распространении имеет серийный номер 758dfd8bae7c0700faa925a7e1c7ad14 и является самоподписанным. Проверьте хранилище доверенных корневых сертификатов на обновленном компьютере, и вы найдете там версию AD14.
Поиск в Интернете серийного номера сертификата 99C4 привел к странице, где его можно скачать,
здесь
.
К сожалению, ISE не позволяет одновременно использовать на одном сервере Root R46 с окончанием 99C4 и Root R46 с окончанием AD14; один из них всегда перезаписывает другой. Но DNAC ожидает наличие обоих, и не получит их. Переход на другой корневой сертификат просто переносит ошибку по цепочке; DNAC по-прежнему жалуется, что отсутствует Sectigo Public Server Authentication Root R46.
Обходной путь для нас — использовать сертификат, сгенерированный нашим собственным внутренним ЦС для использования администратором. Мы используем самоподписанный сертификат для pxGrid, но, вероятно, можно использовать и внутренний сертификат ЦС. Мы не можем просто использовать самоподписанный сертификат, так как любой, кто входит на страницу администрирования ISE (например, администраторы гостевого Wi-Fi), получит жалобу на сертификат от браузера, поэтому мы используем наш внутренний ЦС (которому доверяют наши компьютеры). Мы не можем использовать внутренний сертификат для общедоступного портала, так как общественность не доверяет нашему центру сертификации.
Итак, обходной путь:

Портал: использовать общедоступный сертификат
Администратор: использовать внутренний (например, локальный AD) сертификат, а НЕ самоподписанный
pxGrid: использовать внутренний или самоподписанный сертификат
Исправление: -
Использовать другого поставщика общедоступных сертификатов.