Konfigurieren der Authentifizierung mit dem privaten Schlüssel mithilfe der ISE

Einleitung

In diesem Dokument wird beschrieben, wie Sie einen privaten SSH-Schlüssel (Secure Shell) für die Authentifizierung bei der CLI der Identity Secure Engine (ISE) erstellen.

Voraussetzungen

Anforderungen

Cisco empfiehlt, dass Sie über Kenntnisse in folgenden Bereichen verfügen:

• Repository in der ISE.
• Authentifizierung des Zertifikats.

Verwendete Komponenten

Die Informationen in diesem Dokument basierend auf folgenden Software- und Hardware-Versionen:

• ISE 3.3 Patch 3
• Windows 10
• MacOS X
• SSH-Client-Putty

Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die möglichen Auswirkungen aller Befehle kennen.

Konfigurieren

Erstellen des privaten und öffentlichen Schlüssels in Windows

Klicken Sie in der Taskleiste auf das Symbol Search (Suchen):

・ Geben Sie cmd in die Suchleiste ein
・ Klicken Sie in den Suchergebnissen mit der rechten Maustaste auf Eingabeaufforderung, und wählen Sie Als Administrator ausführen aus. Dadurch wird sichergestellt, dass Sie über die erforderlichen Berechtigungen zum Ausführen von Befehlen verfügen.

・ Führen Sie den nächsten Befehl aus:

ssh-keygen

• Sie werden aufgefordert, den Verschlüsselungsschlüssel zweimal einzugeben. Speichern Sie das Kennwort, da es für die Authentifizierung gegenüber der ISE als neues Kennwort verwendet wird. Danach werden zwei Dateien erstellt, die privaten (id_rsa) und die öffentlichen (id_rsa.pub) Schlüssel. Speichern Sie die Dateien in einem Verzeichnis. Zum Beispiel wurde die Standardeinstellung verwendet

• Überprüfen Sie, wo die Dateien gespeichert sind

Übertragen Sie den öffentlichen Schlüssel (id_rsa.pub) in den Datei-Repository-Ordner, der auf der ISE konfiguriert ist.

Erstellen der privaten und öffentlichen Schlüssel über in MacOS

Klicken Sie auf das Finder Symbol im Dock.
・ Navigieren Sie zum Applications folder
・ Suchen Sie im Ordner Utilities Applications folder(Dienstprogramme), und öffnen Sie ihn.
・ Suchen Sie in der Liste Dienstprogramme nach Terminal
・ Doppelklicken Sie auf Terminal , um es zu öffnen.
・ Geben Sie im Terminal Fenster "ssh-keygen -t rsa" ein, und drücken Sie die Eingabetaste, um die Eingabe auszuführen.
・ Schreiben Sie den Verschlüsselungsschlüssel zweimal und save it
・ Gehe zum Dateispeicherort
Übertragen Sie den öffentlichen Schlüssel (id_rsa.pub) in den Datei-Repository-Ordner, der auf der ISE konfiguriert ist.

Konfigurieren des Zertifikats für die Anmeldung bei der ISE

Bestätigen Sie, ob sich die öffentliche Datei unter dem Repository befindet, indem Sie den folgenden Befehl verwenden:

show repository 

• Importieren Sie die Datei mit dem öffentlichen Schlüssel (id_rsa.pub) mithilfe des Befehls im privilegierten Modus:

crypto key import  repository 

• Wechseln Sie in den globalen Konfigurationsmodus, und verwenden Sie den folgenden Befehl:

service sshd PubkeyAuthentication

Verwenden Sie den Befehl, um sicherzustellen, dass Sie beim Importieren des öffentlichen Schlüssels keine Fehler erhalten. Es wird empfohlen, diesen Vorgang über den Konsolenport fortzusetzen, um einen Verlust des Zugriffs auf die ISE zu vermeiden.

Überprüfung

Anmelden in Windows

Versuchen Sie, mithilfe des folgenden Befehls auf die ISE zuzugreifencmd:

ssh -i  @
EXAMPLE: 
ssh -i id_rsa admin@192.168.57.13

Verwenden Sie den Verschlüsselungsschlüssel, der im Schritt Erstellen der privaten und öffentlichen Schlüssel in Windows konfiguriert wurde, um sich zu authentifizieren.

Anmelden in MacOS

Geben Sie den folgenden Befehl in das Terminal ein:

ssh -i  @
EXAMPLE: 
ssh -i id_rsa admin@192.168.57.13 

Oder

ssh -i ~/.ssh/  @
EXAMPLE:
ssh -i ~/.ssh/id_rsa admin@192.168.57.13

Verwenden Sie den im Schritt konfigurierten Verschlüsselungsschlüssel Erstellen Sie die privaten und öffentlichen Schlüssel über in MacOS, um sich zu authentifizieren.

Anmelden Putty

Öffnen PuTTy key generator  (Suche nach PuttyGen in der Start-Suchleiste), klicken Sie auf Laden, wählen Sie alle Dateien, und öffnen Sie den privaten Schlüssel von cmd (Windows) oder Terminal (MacOS) generiert:

• Schreiben Sie den zuvor im Befehl oder Terminal verwendeten Verschlüsselungsschlüssel.

Konvertieren Sie diese Datei in eine Putty-Version kompatibel, indem Sie die folgenden Schritte ausführen:

• Klicken Sie auf Schlüssel > Parameter zum Speichern von Schlüsseldateien 

• PPK file version : 2 auswählen
• Key derivation function: Argon2id auswählen

Anmerkung: Verwenden Sie für die übrigen Parameter die Standardwerte.

• Klicken Sie auf  Ok

• Klicken Sie Save private Key

Nachdem Sie den Schlüssel auf Ihrem Computer gespeichert haben, können Sie ihn verwenden, indem Sie auf die folgenden Beispiele verweisen:

• Putt öffnen
• Klicken Sie auf Connection > SSH > Auth > Browse
• Wählen Sie Ihren privaten Schlüssel aus, und klicken Sie auf Open

• Kehren Sie zu Sitzung zurück, und legen Sie die IP-Adresse oder den Hostnamen (FQDN) der ISE fest.
• Öffnen

Verwenden Sie den im Schritt konfigurierten Verschlüsselungsschlüssel Erstellen Sie die privaten und öffentlichen Schlüssel über in MacOS oder Erstellen Sie die privaten und öffentlichen Schlüssel in Windows, um sich zu authentifizieren.

Fehlerbehebung

Auschecken von Fehlermeldungen vom Endpunktstandort, Hinzufügen des Flags -v zur SSH-Verbindung

Example for Windows: 
ssh -v -i id_rsa admin@192.168.57.13

Example for MacOS:
ssh -v -i id_rsa admin@192.168.57.13

Oder

ssh -v -i ~/.ssh/id_rsa admin@192.168.57.13

Fehler beim Importieren des öffentlichen Schlüssels

% Fehler: Die Datei mit dem öffentlichen Schlüssel kann nicht analysiert werden.

Wenn Sie beim Importieren mehrerer öffentlicher Schlüssel Schwierigkeiten haben, wenden Sie sich an den Cisco Support.