很多工程师之前没有太多接触过ClearPass 6.8

在实施多台ClearPass集群时，在熟悉的界面做了不能再熟悉的操作，却会出现以下页面，不由得让人在客户现场捏一把冷汗。（这是由于在ClearPass 6.8，集群之间启用了HTTPS，易用诚可贵，同步价更高，若为安全故，两者皆可抛。）

“呜呼，怎么2020年建个集群都这么难”

所以就有了这篇教程，放心，按照我的步骤，集群手到擒来。

核心需求是要给加入集群的多台ClearPass各自签发一张可信的HTTPS证书。

首先第一步，在ClearPass上创建证书签名请求，在Administration » Certificates » Certificate Stores 菜单，选择HTTPS Server Certificate选项卡，点击“Create Certificate Signing Request ”，创建证书签名请求。

注意，在每台准备加入集群的ClearPass都要申请一次，在这个演示环境中有两台，因此会得到ClearPass1.CSR和ClearPass2.CSR。

随后，登录到准备做Publisher的那台ClearPass的Guest模块上，在Home » Onboard » Management and Control » View by Certificate 菜单，点击“Upload a certificate signing request”，导入我们创建的证书签名请求。

如果显示Local CA已经过期的情况下，在Home » Onboard » Certificate Authorities 菜单，点击Renew，重新刷新证书即可。

全部导入完成后，我们会被重定向到证书界面，界面中的四张证书都要导出，服务器证书导出采用PEM格式，CA证书导出采用CRT格式。

导出服务器信任证书：

导出CA证书：

在所有Subscriber ClearPass上，将证书导入到Trust DB中，在Administration » Certificates » Trust List  菜单，点击“Add”。

最后，将证书分别导入各自的ClearPass，注意名字要对准，在Administration » Certificates » Certificate Store 菜单，点击“Import Certificate”

导入完证书，就可以重新尝试组件集群了，一切顺利的话，就可以直接组建成功：

细心的人可以发现我最后一张图，ClearPass的IP地址变了，没错，我用我自己家的LAB又翻车了，可能是我自己的笔记本的防火墙拦住了流量，相同的操作在ArubaSE的LAB做就没有问题。

所以建议大家做实验还是通过ArubaSE的LAB来做，架构完整无暗雷，点击这里了解如何登录ArubaSE-LAB

另外在实际环境中遇到类似故障，也问一下客户是否有防火墙（一般不会）。