DNAC сообщает, что на сервере ISE отсутствует корневой сертификат, но это не так.

Martin Pritchard

Наш сервер Catalyst Center (DNAC) потерял связь с нашим кластером ISE. При попытке повторно подключиться к ISE DNAC выдает следующую ошибку: Один из системных сертификатов (cname=Sectigo Public Server Authentication Root R46), используемый хостом (наш сервер ISE FQDN), не найден в хранилище доверенных сертификатов основного административного узла Cisco ISE. Проверьте и импортируйте отсутствующие сертификаты в доверенные сертификаты основного административного узла, а затем повторите попытку интеграции Cisco ISE. Однако проверка хранилища доверенных сертификатов на сервере ISE показывает, что сертификат ИМЕННО находится в хранилище доверенных сертификатов, и он такой же, как у DNAC. Тот же серийный номер, тот же лот. Я попробовал отметить его как доверенный для всего, на случай, если это решит проблему, но безрезультатно. Кто-нибудь еще сталкивался с этой проблемой и смог ее решить?
Catalyst Center обновлен до последней версии (2.3.7.10.70209.10), ISE — до 3.4.0.608 Patch 3 (версия с золотой звездочкой).

Martin Pritchard

Этот вопрос был поднят от нашего имени одним из инженеров Cisco. Инженер TAC использовал две разные команды для проверки журналов Catalyst Center, вторая из которых дала важную подсказку:
magctl service logs -rf network-design -c network-design-service
magctl service logs -rf ise-bridge
Эти журналы из команды «magctl service logs -rf ise-bridge», сгенерированные вскоре после попытки повторного добавления ISE в DNAC, привели к возникновению проблемы. Обратите внимание на выделенные красным фрагменты: -
{"asctime":"2026-02-24T19:07:38.318Z","correlationId":"","level":"info","msg":"Check if peer has provided complete certificate chain,
chain length=4
","packagename":"Certificate Manager"}
{"asctime":"2026-02-24T19:07:38.318Z","correlationId":"","level":"info","msg":"peerCert[0]: Subject=[MASKED], Issuer=[MASKED], SKID=, AKID=","packagename":"Менеджер сертификатов"}
{"asctime":"2026-02-24T19:07:38.318Z","correlationId":"","level":"info","msg":"peerCert[1]: Subject=[MASKED], Issuer=[MASKED], SKID=, AKID=","packagename":"Менеджер сертификатов"}
{"asctime":"2026-02-24T19:07:38.318Z","correlationId":"","level":"info","msg":"peerCert[2]: Subject=[MASKED], Issuer=[MASKED], SKID=, AKID=","packagename":"Менеджер сертификатов"}
{"asctime":"2026-02-24T19:07:38.318Z","correlationId":"","level":"info","msg":"peerCert[3]: Subject=[MASKED], Issuer=[MASKED], SKID=, AKID=","packagename":"Certificate Manager"}
{"asctime":"2026-02-24T19:07:38.318Z","correlationId":"","level":"info","msg":"Создание/обновление цепочки сертификатов для Node=;cname=(ISE host FQDN)","packagename":"Certificate Manager"}
{"asctime":"2026-02-24T19:07:38.318Z","correlationId":"","level":"info","msg":"Вставка в пул сертификатов ise-bridge. Issuer=CN=Sectigo Public Server Authentication Root R46,O=Sectigo Limited,C=GB; Subject=CN=Sectigo Public Server Authentication CA OV R36,O=Sectigo Limited,C=GB; Серийный номер=2c1a3c76e943ddddff191b31890aed71","packagename":"Менеджер сертификатов"}
{"asctime":"2026-02-24T19:07:38.318Z","correlationId":"","level":"error","msg":"Сертификат не найден в записях доверенных сертификатов ISE. subject=[MASKED], issuer=[MASKED], serialNumber=
d27fbbc1de359e5216ad6149586099c4
.","packagename":"Менеджер сертификатов"}
{"asctime":"2026-02-24T19:07:38.318Z","correlationId":"","level":"error","msg":"{"i18n":{"code":"NCND80018","params":["Sectigo Public Server Authentication Root R46","(ISE host FQDN)"]}}","packagename":"Certificate Manager"}
У нас есть собственный сертификат, подписанный эмитентом, подписанный корнем, так что это цепочка из трех элементов. Но DNAC обнаружила цепочку из четырех элементов и недовольна отсутствующим элементом.
Сертификат с серийным номером, заканчивающимся на 99C4? Это
Sectigo Public Server Authentication Root R46
, но это не
тот
Sectigo Public Server Authentication Root R46. Это другая версия, подписанная корневым ЦС
USERTrust RSA Certification Authority
, тогда как Sectigo Public Server Authentication Root R46 в общем распространении имеет серийный номер 758dfd8bae7c0700faa925a7e1c7ad14 и является самоподписанным. Проверьте хранилище доверенных корневых сертификатов на обновленном компьютере, и вы найдете там версию AD14.
Поиск в Интернете серийного номера сертификата 99C4 привел к странице, где его можно скачать,
здесь
.
К сожалению, ISE не позволяет одновременно использовать на одном сервере Root R46 с окончанием 99C4 и Root R46 с окончанием AD14; один из них всегда перезаписывает другой. Но DNAC ожидает наличие обоих, и не получит их. Переход на другой корневой сертификат просто переносит ошибку по цепочке; DNAC по-прежнему жалуется, что отсутствует Sectigo Public Server Authentication Root R46.
Обходной путь для нас — использовать сертификат, сгенерированный нашим собственным внутренним ЦС для использования администратором. Мы используем самоподписанный сертификат для pxGrid, но, вероятно, можно использовать и внутренний сертификат ЦС. Мы не можем просто использовать самоподписанный сертификат, так как любой, кто входит на страницу администрирования ISE (например, администраторы гостевого Wi-Fi), получит жалобу на сертификат от браузера, поэтому мы используем наш внутренний ЦС (которому доверяют наши компьютеры). Мы не можем использовать внутренний сертификат для общедоступного портала, так как общественность не доверяет нашему центру сертификации.
Итак, обходной путь:

• Портал: использовать общедоступный сертификат
  Администратор: использовать внутренний (например, локальный AD) сертификат, а НЕ самоподписанный
  pxGrid: использовать внутренний или самоподписанный сертификат
  Исправление: -
  Использовать другого поставщика общедоступных сертификатов.

beepmeep

Перед тем как обратиться в TAC, я бы попробовал сгенерировать новый внутренний сертификат корневого центра сертификации. Имейте в виду, что любые интеграции pxgrid должны доверять новому сертификату CA. Если вы начинаете получать ошибки связи с очереди сообщений, вам также необходимо сгенерировать новые сертификаты службы обмена сообщениями ISE. Шаги описаны в разделе «Повторное создание цепочки корневых сертификатов» в этом руководстве. Я знаю, что оно предназначено для версии 3.1, но шаги должны быть такими же. https://www.cisco.com/c/en/us/td/docs/security/ise/3-1/upgrade_guide/HTML/b_upgrade_post_upgrade_tasks_3_1.html#id_125864 Редактирование: это не должно вызвать каких-либо простоев, за исключением отсутствующих привязок sxp для интеграций pxgrid, пока они не работают.

Arne Bier

@beepmeep
совершенно прав — я тоже несколько раз сталкивался с этой проблемой, и восстановление корневого центра сертификации в ISE позволило мне повторно интегрировать Cat C. Меня удивляет, что два продукта Cisco так сложно интегрировать. Но такова реальность. Регенерация корневого ЦС в ISE не должна вызывать проблем, если вы не используете ISE для генерации сертификатов BYOD с помощью его внутреннего ЦС... или, в более общем плане, не выдавали сертификаты ISE CA внешним системам — им необходимо будет доверять новой структуре ISE CA.

Martin Pritchard

Восстановление цепочки, похоже, прошло достаточно безболезненно (спасибо
@beepmeep
). Я также обнаружил тихо (и недавно) истекший сертификат OCSP-респондера на вторичном узле, там также был более новый сертификат OCSP-респондера, поэтому я просто отключил истекший.
К сожалению, DNAC по-прежнему лжет о сертификате R46. Интересно, что у DNAC нет копий самоподписанного корневого сертификата ISE и нет признаков того, что они когда-либо их имели. Завтра
у нас запланирована личная встреча с двумя представителями Cisco (один из отдела продаж, другой — очень опытный технический специалист), я подниму этот вопрос в разговоре и посмотрю, что они скажут.