1.备份证书
在ISE的CLI下键入:“application configure ise”,此时会出现一个list,选择第7项导出证书。以下为导出的成功画面。
2.导入新证书并清理过期证书
手动把新域的证书导入到设备中。像之前老证书一样导入,先trust CA,再提交csr给CA并生成证书,最后把CA证书绑定到ISE并指定用途。需要注意的是:CA一定要和doman-name名匹配上。可参照之前的证书申请填写。2.2、申请CA证书
首先,要生成“证书请求”文件。进入“Certificate Signing Requests”。如下图所示。
选择证书的用途,并填写CN(common name)及其他信息。CN名一定要和第一个SAN完全匹配。后面的SAN后缀只需和CN的后缀区配即可,不用完全匹配。 
然后提示“EXPORT“导出CSR(证书申请)。 
用记事本打开“证书申请“,内容如下,后面需要把该文本粘贴到CA的证书申请框内。 
现在通过WEB访问CA服务器,例如:下图的http://192.168.16.188/certsrv/,IP地址根据实际情况而定。在此页面中点击“申请证书“。 
然后选择“高级证书申请“。 
把“证书申请”中的文本内容粘贴至下图方框中,并提交。此时页面提示“挂起”,需要到CA服务器上去颁发证书。 
下图为颁发证书的选项,选择“挂起的申请”,然后对“证书申请”颁发证书。 
回到WEB页面,选择“查看挂起的证书申请的状态”。 
选择“下载证书链”进行下载。 
把证书链导入到ISE的“Trusted certificates”中。 
导入后,如下图为已导入到ISE的证书链。 
然后再回到CA的WEB页面,下载证书。也就是导入到ISE的文件有两个:一个为证书链,该文件关联ROOT证书(如果ROOT没有的话也需要单独申请ROOT证书);第二就是证书文件。 
证书下载后可以查看证书的内容。 
2.3、证书绑定到ISE
回到“certificates signing request”,选择”bind”。
绑定“证书文件”,如下图所示。 提交后会提示是否之前已导入“证书链”。如果已导入点击“YES”。注意:绑定证书后会重启服务。 绑定后证书在“system certificates”中可查看到。 
