Cisco Cisco Web Security Appliance S680 Guía Del Usuario
A-7
思科网络安全设备 AsyncOS 8.8 用户指南
附录 A 故障排除
身份服务引擎问题
注
Mozilla Firefox 浏览器:您上传的证书必须包含 “basicConstraints=CA:TRUE”,才能
与 Mozilla Firefox 浏览器配合使用。此限制允许 Firefox 将根证书识别为受信任根证书
颁发机构。
与 Mozilla Firefox 浏览器配合使用。此限制允许 Firefox 将根证书识别为受信任根证书
颁发机构。
身份服务引擎问题
•
•
•
用于对 ISE 问题进行故障排除的工具
在对 ISE 相关问题进行故障排除时下列内容非常有用:
•
ISE 测试实用程序,用于测试与 ISE 服务器之间的连接,提供有价值连接相关的信息。这是
身份服务引擎页面上的开始测试 (Start Test) 选项;请参阅
身份服务引擎页面上的开始测试 (Start Test) 选项;请参阅
•
ISE 和代理日志;请参阅
。
•
ISE 相关的 CLI 命令
iseconfig
和
isedata
,特别是
isedata
,以确认安全组标记 (SGT) 下
载。有关其他信息,请参阅
。
•
Web 跟踪和策略跟踪功能可用于调试策略匹配问题;例如,应允许的用户被阻止,反之亦
然。有关其他信息,请参阅
然。有关其他信息,请参阅
和
•
•
要检查证书状态,您可以使用
openssl
在线证书状态协议 (
ocsp
) 实用程序,该实用程序可从
ISE 服务器连接问题
证书问题
WSA 和 ISE 服务器 使用证书手动验证连接是否成功。因此,一个实体展示的每个证书应可被其
他实体识别。例如,如果 WSA 的客户端证书是自签名证书,则必须在相应 ISE 服务器上的受信
任证书列表中显示相同的证书。相应地,如果 WSA 客户端证书为 CA 签名证书,则 CA 根证书
必须出现在相应的 ISE 服务器上。类似的要求也适用于 ISE 服务器相关的管理员证书和 pxGrid
证书。
他实体识别。例如,如果 WSA 的客户端证书是自签名证书,则必须在相应 ISE 服务器上的受信
任证书列表中显示相同的证书。相应地,如果 WSA 客户端证书为 CA 签名证书,则 CA 根证书
必须出现在相应的 ISE 服务器上。类似的要求也适用于 ISE 服务器相关的管理员证书和 pxGrid
证书。
证书要求和安装在
中有所介绍。如果您遇到证书相关的问题,请检查以下
条目:
•
如果使用 CA 签发的证书:
–
验证管理员证书和 pxGrid 证书的根 CA 签名证书是否显示在 WSA 上。
–
验证 WSA 客户端证书的根 CA 签名证书是否显示在 ISE 服务器上的受信任证书列
表中。
表中。