Cisco Cisco NAC Appliance 4.1.0

If planning to regenerate certificates based on the DNS name instead of the IP address of your servers:

Make sure the CA-signed certificate you are importing is the one with which you generated the CSR 
and that you have NOT subsequently generated another temporary certificate. Generating a new 
temporary certificate will create a new private-public key combination. In addition, always export 
and save the private key when you are generating a CSR for signing (to have the private key handy).

When importing certain CA-signed certificates, the system may warn you that you need to import 
the root certificate (the CA’s root certificate) used to sign the CA-signed certificate, or the 
intermediate root certificate may need to be imported. 

Make sure there is a DNS entry in the DNS server. 

Make sure the DNS address in your Clean Access Server is correct (see 

). 

For High-Availability (failover) configurations, use the DNS name for the Service IP (virtual DNS)

It is recommended to reboot when you generate a new certificate or import a CA-signed certificate. 

When using a DNS-based certificate, if it is not CA-signed, the user will simply be prompted to 
accept the certificate. 

For troubleshooting purposes, 

 lists certificate-related files on the Clean Access Server. For 

example, if the admin console becomes unreachable due to a mismatch of the CA-certificate/private key 
combination, these files may need to be modified directly in the file system of the Clean Access Server. 

/root/.tomcat.key 

Private key

/root/.tomcat.crt 

Certificate

/root/.tomcat.csr 

Certificate Signing Request

/root/.chain.crt 

Intermediate certificate

/perfigo/common/conf/perfigo-ca-bundle.crt

The root CA bundle