思科 ISE 升级概览

从 Cisco Identity Services Engine (思科 ISE) 版本 3.1开始，所有 pxGrid 连接都必须基于 pxGrid 2.0。基于 pxGrid 1.0（基于 XMPP）的集成将从版本 3.1 开始在思科 ISE上停止使用。

基于 WebSockets 的 pxGrid 版本 2.0 在思科 ISE 版本 2.4 中引入。我们建议将您的其他系统计划并升级到与 pxGrid 2.0 兼容的版本，以防止对集成造成可能的中断（如有）。

本文档介绍如何将思科 ISE 设备和虚拟机上的思科身份服务引擎 (思科 ISE) 软件升级到版本 3.1。（请参阅《思科身份服务引擎版本 3.1 版本说明》中的部分。 )

思科 ISE 部署升级过程包含多个步骤，必须按照本文档中指定的顺序执行。请使用本文档中提供的时间预计规划升级，以最大程度地减少业务中断时间。对于具有多个属于 PSN 组的策略服务节点 (PSN) 的部署，不会出现停机。如果没有终端通过正在升级的PSN 进行身份验证，则请求将由节点组中的其他 PSN 处理。系统会重新对终端进行身份验证，验证成功后，会向其授予网络访问权限。

小心

如果您执行的是独立部署或仅一个 PSN 的部署，则在 PSN 升级时，所有身份验证都可能会造成停机。

注

升级到思科 ISE 版本 3.2 及更高版本时，在升级流程中会自动重新生成根 CA。因此，不需要在升级后重新生成根 CA。

不同类型的部署

思科 ISE 本地云部署的差异

思科 ISE 升级工作流程在 AWS 上的思科 ISE 中不可用。仅支持全新安装。但是，您可以执行配置数据的备份和恢复。当您在思科 ISE AWS 实例中恢复数据时，数据会升级到思科 ISE 版本 3.1。

重新生成根 CA 链

如果发生以下事件，您必须重新生成根 CA 链：

要重新生成根 CA 链，请执行以下操作：

在思科 ISE GUI 中，单击菜单 图标 (

)，然后选择管理 (Administration) 系统 (System) 证书 (Certificates) 证书管理 (Certificate Management) 证书签名请求 (Certificate Signing Request)。

单击生成证书签名请求 (Generate Certificate Signing Request (CSR))。

从证书将用于 (Certificate(s) will be used for) 下拉列表中选择 ISE 根 CA。

单击替换 ISE 根 CA 证书链 (Replace ISE root CA Certificate Chain)。