思科 ISE - 新 CA 证书后的问题

网络工程 思科 故障排除 思科
2021-07-21 01:27:04

我们的根 CA 证书最近过期,我们提前在 ISE 服务器上加载了新证书,但是在到期后,我们遇到了 Android 设备和 BYOD 登录问题。

Apple 设备正常工作,我们的 802.1x 工作站也正常工作,但 Android 设备在日志中标记以下错误:“EAP-TLS 未能通过 SSL/TLS 握手,因为客户端拒绝了 ISE 本地证书”

我们尝试删除旧证书,重新启动 PSN 和 ISE 服务器并强制重新同步。Apple 和 Windows 设备显示证书正常,并且没有标记相同的错误,它们 100% 的时间都在运行。

注意:所有 ISE 证书均来自我们的企业 CA

有没有人遇到过这个问题?

2个回答

我会建议打开一个 TAC 案例。但是,考虑到您的根证书到期,您可能需要确保您还上传了您的中间证书。

需要明确的是,您的 PAN 应该拥有根证书和中间证书,并且您的 PSN 将发送整个链。不要将证书串联在一起。

我以前见过这个错误,我们缺少一个中间链。我会回应 Mike 的建议并转向 ISE 1.2 并意识到许多其他好处/错误修正。

如果这对其他人有帮助,我可以通过强制手动同步 PSN 来确认问题最终得到解决,不需要其他更改。

其它你可能感兴趣的问题
上一篇我可以使用不同版本的 CME 和 CUE 下一篇EX 系列交换机高效 BPDU 保护语句