お世話になっております。
1月上旬に冗長化したClearPassのサーバ証明書を更新しなければならず、
手順を色々と調べております。
ユーザガイドを参照した結果、単体で証明書更新を実施した時の記憶など
から、数点お聞きしたい点が発生いたしました。
以下の点をご教示いただきたいのですがよろしくお願いいたします。
1. サーバの再起動の発生について
ClearPassのサーバ証明書には、
・RADIUS/EAPサーバ証明書
・HTTPS サーバ証明書
・RadSec サーバ証明書
・Database サーバ証明書
の4種類あり、期限がくると、上記すべてを更新する必要があるかと存じます。
単体の証明書更新を実施した時の記憶ですが、Database Server Certificateを更新
しようとすると再起動が必要だというメッセージが表示され、再起動を実施した記憶
があります。
これはClearPassのバージョンによる差により、要不要があるのでしょうか。
それともやはり、再起動が必要となるのでしょうか。
2. 証明書の更新について
(1) 更新方法の流れについて
自己署名証明書の場合、更新方法は、証明書ストア右上の、「Create Self-Signed
Certificate」ボタンをクリックし、各タイプの証明書を新規作成することにより行うと
いう認識でよろしいでしょうか。
(2) 証明書作成対象について
Create Self-Signed Certificateをクリックする際に、証明書ストアの左上に表示される
「Select Server」で選択されているサーバのサーバ証明書が作成されるという認識で
よろしいでしょうか。
(3) 適用方法について
証明書の作成が終了した際に、「インストール」画面が表示され、インストールすると、
該当するClearPass(上記と同様、「Select Server」で選択されたサーバ)の証明書更新
が完了する認識でよろしいでしょうか。
3. 証明書更新時のクラスタ構成について
上記操作を実施した際に、HTTPSサーバ証明書の更新が完了すると、その時点で
クラスタ間の信頼性がくずれてしまい、再度互いの証明書を信頼するように構成するまで
冗長動作が一時的に停止するように思うのですが、そこは回避する手段があるのでしょうか。
それとも、すでにクラスタ構成ができた状態での更新作業となるため、自動的に新規証明書
が、各サーバ信頼された証明書リストの中に登録され、冗長動作が停止することはないのでしょうか。
以上、お手数おかけしますが、よろしくお願いいたします。
------------------------------
Hiroki Murata
------------------------------