Сертификат ISE

Reply to Сертификат ISE on Mon, 02 Mar 2026 12:23:30 GMT

ajc — Mon, 02 Mar 2026 12:23:30 GMT

Мое мнение: есть несколько ошибок, которые мы только что обнаружили и с которыми столкнулись, когда у вас есть несколько сертификатов для разных «ИСПОЛЬЗОВАНИЙ» (администратор/портал/аутентификация EAP). Во-вторых, при замене сертификата вам предлагается перезагрузить ВСЕ узлы в развертывании, но этот процесс ничего не дает. Это известная проблема TAC, поэтому, как только ВСЕ узлы вернутся в сеть (независимо от того, как вы это запланируете), вам придется повторить назначение сертификата вручную на каждом узле.

Reply to Сертификат ISE on Mon, 02 Mar 2026 12:23:29 GMT

Marcelo Morais — Mon, 02 Mar 2026 12:23:29 GMT

@farih-kurniawan
, рекомендуется: переключиться на
новый
сертификат
до
истечения срока действия существующего
импортировать
новый
сертификат во все
узлы
по одному
удалите старый
сертификат только после нескольких дней тестирования нового сертификата Примечание: всегда проверяйте не только
системные сертификаты
, но и
доверенные сертификаты
(
Администрирование > Система > Сертификаты > Управление сертификатами
) и
сертификаты центра сертификации
(в разделе
Администрирование > Система > Сертификаты > Центр сертификации
). Надеюсь, это поможет!

Reply to Сертификат ISE on Mon, 02 Mar 2026 12:23:28 GMT

farih-kurniawan — Mon, 02 Mar 2026 12:23:28 GMT

Спасибо,
@Marcelo Morais
. Если мы хотим перейти на новый сертификат EAP, мы можем сделать это после истечения срока действия существующего сертификата или сразу же, как только это будет возможно, до истечения срока действия существующих сертификатов? Кстати, мы используем два узла Cisco ISE. Какой способ импорта сертификатов является лучшим: по одному (для каждого узла) или одновременно?

Reply to Сертификат ISE on Mon, 02 Mar 2026 12:23:27 GMT

Marcelo Morais — Mon, 02 Mar 2026 12:23:27 GMT

@farih-kurniawan
, посмотрев на ваше изображение... всегда полезно удалить сертификат, который
не используется
. Пожалуйста, ознакомьтесь со следующей информацией: [ISE - Ошибка связи с очередью]
, найдите
ВАЖНО 2: удаление старых внутренних сертификатов является важным шагом
. Надеюсь, это поможет!

Reply to Сертификат ISE on Mon, 02 Mar 2026 12:23:26 GMT

PSM — Mon, 02 Mar 2026 12:23:26 GMT

@farih-kurniawan
Без проблем. Вот документ. https://www.cisco.com/c/en/us/td/docs/security/ise/3-4/admin_guide/b_ise_admin_3_4/b_ISE_admin_basic_setup.html?bookSearch=true#reference_3CE11FC8D0F14A3285E37D197B5646A3

Reply to Сертификат ISE on Mon, 02 Mar 2026 12:23:25 GMT

farih-kurniawan — Mon, 02 Mar 2026 12:23:25 GMT

Спасибо,
@PSM
. Я новичок в Cisco ISE. Вы имели в виду, что в 1 узле должно быть только 1 сертификат для администратора или EAP? Если да, то как поступить, если мы хотим обновить сертификат? Есть ли исходный документ, в котором объясняется, что в Cisco ISE запрещено использовать только 1 сертификат для администратора или EAP?

Reply to Сертификат ISE on Mon, 02 Mar 2026 12:23:24 GMT

PSM — Mon, 02 Mar 2026 12:23:24 GMT

@farih-kurniawan
ISE может иметь несколько сертификатов, установленных одновременно, но вы не можете использовать более одного сертификата для целей «администратора» или «аутентификации EAP». Я предполагаю, что ваша обеспокоенность связана с тем, что вы заменяете сертификат другим сертификатом, подписанным другим центром сертификации. Если новый сертификат выдан другим центром сертификации, вы можете доверять обоим центрам сертификации (существующему и новому) на стороне конечной точки.