проблема с сертификатом подключения расширенного узла на основе Supplicant

kimhi

Здравствуйте! Я использовал это руководство для настройки нашего SBEN
https://www.cisco.com/c/en/us/td/docs/cloud-systems-management/network-automation-and-management/dna-center/2-3-5/user_guide/b_cisco_dna_center_ug_2_3_5/b_cisco_dna_center_ug_2_3_5_chapter_01110.html#Cisco_Concept.dita_5214333f-f583-4fd1-a3db-093ca3f...
. Проблема заключается в том, что DNAC продвигает неверный корневой сертификат для ISE, поэтому коммутатор, в нашем случае C9200CX, отклоняет сертификат ISE во время аутентификации dot1x и в результате попадает в недоступное состояние из-за нашей настройки по умолчанию «запретить». Мне удалось вручную поместить правильный сертификат на коммутатор перед его авторизацией, и все работает отлично, но это сводит на нет смысл автоматической регистрации. Необходимо ли, чтобы корневые сертификаты DNAC и ISE были одинаковыми, чтобы это работало, или DNAC должен передавать пакет trustpoool, в котором находится правильный корневой сертификат? Я также пытался поместить сертификат на коммутатор с помощью шаблона day0, но не удалось из-за ограничений шаблонов day0.

Andrii Oliinyk

Проверьте этот Trustpoint <custom-dnac-ca-name>: Настроен
сертификат выдающего ЦС: Имя
субъекта:
cn=My company Root CA,ou=My company Services,o=My company Group
Вам необходимо настроить его в DNAC аналогичным образом, чтобы ваш сертификат ISE EAP имел того же выдающего TL «My company Root CA».

kimhi

Это то, чего мы и боялись. Спасибо! Я проверил в лаборатории, и все работает нормально. Теперь осталось только дождаться подходящего момента для смены сертификата.