Configuración de CSSM en instalaciones y registro de licencias con ISE

Opciones de descarga

  • PDF     (5.2 MB)
    Visualice con Adobe Reader en una variedad de dispositivos
  • ePub     (5.3 MB)
    Visualice en diferentes aplicaciones en iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (3.7 MB)
    Visualice en dispositivo Kindle o aplicación Kindle en múltiples dispositivos
Actualizado:25 de julio de 2024
ID del documento:222207

Lenguaje no discriminatorio

El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.

Acerca de esta traducción

Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).

    Introducción

    Este documento describe la integración de CSSM On-Prem con Cisco Identity Service Engine (ISE) y Cisco Smart Account, lo que garantiza una configuración perfecta.

    Prerequisites

    Requirements

    ISE 3.X

    Cisco Smart Software Manager (CSSM) versión 8 versión 202304 +

    Componentes Utilizados

    • Identity Service Engine 3.2 parche 2
    • SSM en las instalaciones 8.20234
    • Windows Active Directory 2016 (servicios DNS y Certificate Authority)
    • VMWare ESXi versión 7

    La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si tiene una red en vivo, asegúrese de entender el posible impacto de cualquier comando.

    Configurar

    Diagrama de la red

    General topologyTopología general

    Instale CSSM en las instalaciones en VMWARE ESXi.

    1. Descargue Cisco IOS®. Puede utilizar el siguiente enlace: https://software.cisco.com/download/home/286285506/type/286326948/release/8-202304

    2. Cargue el ISO en VMWARE ESXi.

    Vaya a Storage > Datastore Browser.

    Data browser sectionsección Explorador de datos

    3. Haga clic en Crear directorio para crear una nueva carpeta (opcional).

    Creation of directoryCreación del directorio

    En este ejemplo, se creó la carpeta CSSM:

    Creation of foldersCreación de carpetas

    4. Haga clic en Cargar y luego elija su archivo ISO.

    Uploading ISOCargando ISO

    Ahora el archivo ISO está en la carpeta CSSM:

    The ISO upload is completedLa carga de ISO se ha completado

    5. Cree la máquina virtual. Vaya a Máquina virtual > Crear/registrar VM.

    Creating a new VM step 01Creación de un nuevo paso de VM 01

    6. Seleccione Crear una máquina virtual nueva y haga clic en Siguiente.

    Creating a new VM step 02Creación de un nuevo paso de VM 02

    7. Luego configure los siguientes parámetros:

    • Nombre: Introduzca el nombre de la máquina virtual.
    • Compatibilidad: Seleccione ESXi 6.0 o posterior o ESXi 6.5 o posterior. 
    • Familia de SO invitado: Linux.
    • Versión de SO de invitado: Elija CentOS 7 (64 bits) u Otro Linux 2.6x (64 bits)

    Haga clic en Next (Siguiente).

    VM name and IOSNombre de VM e IOS

    8. Seleccione el almacenamiento y haga clic en Siguiente.

    Storage listLista de almacenamiento

    9. Configure los siguientes parámetros:

    • CPU: 4 como mínimo. La configuración real de vCPU depende de los requisitos de escala
    note-icon

    Nota: La cantidad de núcleos por socket debe establecerse en 1 independientemente del número de sockets virtuales seleccionados. Por ejemplo, una configuración de 4 vCPU debe configurarse como 4 sockets y 1 núcleo por socket.

    Configuration of CoresConfiguración de núcleos

    • Memoria: 8 GB
    • Disco duro: 200 GB y verificar que el aprovisionamiento esté configurado como Thin Provisioning.

    Configuration of diskConfiguración del disco

    • Adaptador de red: Seleccione el tipo de adaptador E1000 y seleccione Connect at Power On.

    Configuration of network settingsConfiguración de los parámetros de red

    • Unidad de CD/DVD: Elija "Archivo ISO de datos" y seleccione el archivo ISO.

    ISO imageimagen ISO

    Puede verificar el resumen de la configuración una vez que haya completado los pasos anteriores.

    Summary VM configuration 01Configuración de VM resumida 01

    Haga clic en Next (Siguiente).

    10. Haga clic en Finalizar.

    Summary VM configuration 02Configuración de VM resumida 02

    Configuración inicial de CSSM en las instalaciones .

    1. En VMWARE ESXi, desplácese hasta Máquinas virtuales, seleccione la máquina virtual y, a continuación, haga clic en Encendido.

    Power on optionOpción de encendido

    1. Dispone de varias opciones para administrar la consola de VM. Seleccione Console > Open browser console.

    Options to manage the VMOpciones para administrar la máquina virtual

    1. Configure los parámetros de red.
    note-icon

    Nota: Es importante configurar la dirección IP del servidor DNS que resuelve el FQDN CSSM.

    Configuration of CSSM network settingsConfiguración de los parámetros de red CSSM

    Haga clic en Aceptar para configurar su nueva contraseña CLI.

    1. A continuación, el proceso de instalación se inicia y finaliza hasta que se muestra el mensaje de acceso.

    CSSM initial configuration completedConfiguración inicial de CSSM completada

    1. Abra un navegador e ingrese https://<ip_address_CSSM>.

    CSSM login pagepágina de inicio de sesión CSSM

    Utilice las credenciales predeterminadas:

    Nombre de usuario: admin

    Contraseña CiscoAdmin!2345

    1. Seleccione su idioma.
    2. Cree una nueva contraseña de GUI.
    3. Configure el nombre común del host. (ejemplo: hostname.yourdomain).

    En este caso, cssm.testlab.local se configuró como nombre común de host.

    Host common name configurationConfiguración de nombre común de host

    1. Valide la configuración y haga clic en Apply.

    CSSM initial settings completedConfiguración inicial de CSSM completada.

    Integración de CSSM en las instalaciones con Smart Account

    Debe asociar su cuenta inteligente con su servidor CSSM en las instalaciones.

    1. Abra su cuenta Cisco Smart Account mediante el siguiente enlace:

    https://software.cisco.com/

    1. A continuación, elija Administrar licencias en la sección Smart Software Manager.
    Manage licenses optionOpción Administrar licencias
    1. Navegue hasta Inventario y copie el nombre de su Smart Account name y de su cuenta virtual. En esta guía, se trata de InternalTestDemoAccount67 y AAA MEX TEST.

    Software Cisco pagePágina de software de Cisco

    1. Abra la GUI de CSSM y seleccione la opción Admin Workspace.

    Main CSSM menuMenú principal de CSSM.

    1. A continuación, seleccione Cuentas.

    CSSM AccountsCuentas.

    1. Seleccione Nueva cuenta para crear una nueva solicitud de registro.

    Creation of CSSM accountCreación de una cuenta CSSM.

    1. Introduzca la siguiente información:
    • Nombre de cuenta: Este es un nombre personalizado del nuevo registro.
    • Cisco Smart Account: Pegue el nombre de su cuenta inteligente.
    • Cuenta virtual de Cisco: Pegue el nombre de la cuenta virtual.
    • Correo electrónico de notificación: Escriba su correo electrónico.

    Account registrationRegistro de cuenta.

    Haga clic en Submit (Enviar).

    1. A continuación, haga clic en Solicitudes de cuenta.

    En esta sección puede ver la solicitud realizada en el paso anterior.

    Account request.Solicitud de cuenta.

    1. Haga clic en acciones.

    Actions optionAcciones.

    Dispone de tres opciones:

    • Aprobar: Utilice esta opción para registrar el CSSM en las instalaciones con su cuenta Smart Account a través de Internet.
    • Rechazar: Retirar la solicitud.
    • Registro manual: Utilice esta opción para registrar el CSSM en las instalaciones con su cuenta Smart Account sin Internet.

     OPCIÓN 1: Registre su CSSM en las instalaciones a través de la conexión a Internet.

    1. Si elige Aprobar, debe ingresar su nombre de usuario y contraseña de su Cisco Smart Account y hacer clic en Enviar.

    Approve optionAprobar opción.

    A continuación, haga clic en siguiente para aceptar el registro de la cuenta.

    Account registrationRegistro de cuenta.

    Para confirmar el estado del registro, navegue hasta Account y el estado de la cuenta debe ser el activo.

    Account statusEstado de la cuenta.

    Ahora abra su cuenta Smart Account (https://software.cisco.com/). A continuación, seleccione la opción On-Prem Accounts para ver el nuevo registro.

    On Prem Account.A cuenta de Prem.

    Opción 2: Registre su CSSM en las instalaciones sin conexión a Internet.

    Si selecciona Registro manual, haga clic en Generar archivo de registro. Esto crea una Solicitud de registro que se descargará a su computadora.

    Manual registration.Registro manual.

    A continuación, abra su cuenta Smart Account (https://software.cisco.com/) y navegue hasta Cuentas in situ.

    Haga clic en New On-Prem

    Adding new On-Prem.Añadiendo nuevo en las instalaciones.

    A continuación, configure los siguientes parámetros:

    • Nombre en las instalaciones: Este es un nombre personalizado del nuevo registro.
    • Archivo de registro: Haga clic en Choose File y seleccione la Solicitud de registro.
    • Cuenta virtual: Pegue el nombre de la cuenta virtual.

    Authorization file.Archivo de autorización.

    Y haga clic en Generar archivo de autorización.

    A continuación, descargue el archivo de autorización.

    Downloading authorization fileDescargando el archivo de autorización.

    Abra la GUI de CSSM para cargar el archivo de autorización. Haga clic en Browse, elija el archivo y, a continuación, haga clic en Upload.

    Uploading authorization file.Cargando archivo de autorización.

    A continuación, vaya a Sincronización y haga clic en Acciones > Sincronización manual > Sincronización completa.

    Manual Sync.Sincronización manual.

    Descargue el archivo de solicitud de sincronización.

    Downloading file SyncDescargando el archivo Sync.

    Abra su Smart Account y seleccione On-Prem Account, busque su nombre CSSM On-Prem en la lista y haga clic en Acciones > File Sync.

    Uploading file SyncCargando sincronización de archivos.

    A continuación, cargue el archivo de solicitud de sincronización y haga clic en Generar archivo de respuesta.

    Generating a response fileGenerar un archivo de respuesta.

    A continuación, haga clic en Descargar archivo de respuesta de sincronización

    Sync fileSincronizar archivo.

    Y, por último, cargue el archivo de respuesta de sincronización en el CSSM in situ.

    Sync completedSincronización completada.

     Integre CSSM en las instalaciones con ISE.

    1. Abra la GUI de CSSM y seleccione Admin Workspace.

    Main CSSM menu.Menú principal de CSSM.

    1. Vaya a Seguridad > Certificados > Generar CSR
    note-icon

    Nota: Es importante tener el nombre de host + dominio configurado en el nombre común de host porque ISE utiliza este parámetro para establecer una conexión con el CSSM. Puede utilizar una dirección IP en lugar del nombre de host + dominio; sin embargo, se recomienda utilizar el nombre de host + dominio

    note-icon

    Nota: Los siguientes pasos describen el procedimiento para instalar el certificado de GUI en el CSSM. Si desea proteger la conexión de administración a su CSSM GUI mediante un certificado firmado por su autoridad de certificación (CA), debe comprobar los siguientes pasos. De lo contrario, compruebe directamente el paso 9.

    CSR optionOpción CSR.

    1. A continuación, introduzca su información personal. Tenga en cuenta que el nombre alternativo del sujeto se crea automáticamente utilizando el mismo valor que el nombre común. El CSR se descarga automáticamente después de hacer clic en Generar.

    CSR detailsDetalles de CSR.

    1. Firme el CSR: Para obtener más información, consulte "Crear certificados desde CA de Windows". en este documento.
    1. Cargue el certificado de CA raíz.

    Uploading Root CACargando CA raíz.

    Haga clic en Proceed.

    Proceed optionOpción Proceed.

    1. Ingrese una descripción y elija el certificado raíz y haga clic en Aceptar.

    Description root CACA raíz de descripción.

    1. Cargue el CSR firmado por la CA (certificado de identidad CSSM).

    Uploading CSSM Identity CertCargando certificado de identidad CSSM.

    note-icon

    Nota: NOTE: En nuestro caso, el certificado intermedio no existe en nuestra CA. Sin embargo, si utiliza un certificado intermedio en su arquitectura, el certificado intermedio es obligatorio.

    8. A continuación, confirme que se han instalado ambos certificados.

    Certificates validationValidación de certificados.

    1. Cree un token en SSM On-Prem: Seleccione Licensing Workspace.

    Workspace pagePágina de Workspace.

    1. vaya a Licencias inteligentes.

    CSSM Smart licensing pagePágina de licencias inteligentes CSSM

    1. Busque su cuenta virtual local, haga clic en Nuevo token y haga clic en Continuar.

    New token optionNueva opción de token.

    1. Seleccione Create Token y cópielo.

    Creation of new tokenCreación de un nuevo token.

    Token detailsDetalles del token.

    1. Abra la GUI de ISE y navegue hasta Administration > Systems > Licensing, luego haga clic en Registration details, seleccione el método SSM On-Prem server Host , y pegue el token.

    Registration of licensesRegistro de licencias.

    1. Ingrese el SSM On-Prem FQDN en el SSM On-Prem server Host y haga clic en Register.

    CSSM and ISE settingsConfiguración de CSSM e ISE.

    note-icon

    Nota: Es importante tener el nombre de host + dominio configurado en el nombre común de host porque ISE utiliza este parámetro para establecer una conexión con el CSSM. Puede utilizar una dirección IP en lugar del nombre de host + dominio, sin embargo, se recomienda utilizar el nombre de host + dominio

    1. Y, por último, se ha completado el registro.

    Registration completedRegistro completado.

     Crear certificados desde CA de Windows.

    Si es el administrador de la Autoridad de certificación, debe hacer lo siguiente:

    1. Abra un navegador web y navegue hasta http://localhost/certsrv/
    2. Haga clic en Solicitar un certificado.

    Request certificateSolicitar certificado.

    1. Haga clic en Advanced Certificate Request.

    Advanced certificate requestSolicitud de certificado avanzada.

    1. Abra el CSR generado anteriormente.  A continuación, copie la información y péguela en Solicitud guardada.

    Submit certificateEnviar certificado.

    Después de hacer clic en Enviar, el certificado se descarga automáticamente.

    1. Ahora descargue la raíz del certificado de la CA. navegue hasta http://localhost/certsrv/ y seleccione Descargar un certificado de CA, cadena de certificados o CRL.

    Download root CADescargar CA raíz.

    1. Descargue el certificado de CA utilizando el método de codificación como Base64.

    Base 64 optionOpción Base 64.

    Agregue registros DNS en Windows Server.

    Si es el administrador, agregue los FQDN de ISE y CSSM.

    1. Abra el Administrador de DNS: Escriba "DNS" en el buscador de Windows y abra la aplicación DNS.

    DNS optionOpción DNS.

    1. Navegue hasta Forward Lookup Zones > Y elija su dominio.

    DNS managerAdministrador de DNS.

    1. Haga clic con el botón derecho del ratón en un espacio en negro sobre la pantalla y seleccione "Nuevo host (A o AAAA)"

    Adding recordAgregando registro.

    1. Configure el registro DNS como el siguiente:
    • Nombre: Significa el nombre del host.
    • La dirección IP del dispositivo.

    Haga clic en "Agregar host"

    Record settingsAjustes de registro.

    Troubleshoot

    No se puede alcanzar la dirección IP/de host. (Error en ISE)

    Not reachable errorError alcanzable.

    Solución 1: Verifique y corrija la configuración DNS en el nodo ISE.

    1. Abra la ISE CLI y escriba "nslookup <CSSM_FQDN>"

    En el siguiente ejemplo, podemos ver que cssm.testlab.local no se resolvió desde el nodo ISE.

    CSSM resolution failedError de resolución de CSSM.

    La solución correcta sería:

    CSSM resolution successfullyResolución CSSM correcta.

    Plan de acción:

    1. Verifique el tema de configuración DNS en este documento.
    2. Ingrese el comando show running-config en la CLI de ISE para verificar el "ip name-server". El "ip name-server" debe coincidir con la dirección IP del servidor DNS.

    Solución 2: Abra la GUI de CSSM para confirmar que el nombre común del host y el certificado del explorador son los mismos que el parámetro de host del servidor en las instalaciones de CSSM en el lado de ISE.

    Escenario incorrecto:

    CSSM resolution and ISE setting are incorrectLa resolución de CSSM y la configuración de ISE son incorrectas.

    Situación correcta:

    CSSM resolution and ISE setting are correctLa resolución CSSM y la configuración de ISE son correctas.

    Plan de acción: Consulte "Configuración de ISE y CSSM" en esta guía para obtener más información.

    Servicio SSO: No se puede contactar con Cisco. (Error en CSSM en las instalaciones)

    Account registration failedError al registrar la cuenta.

    Solución: Compruebe su conectividad a Internet.

    Plan de acción:

    1. Si necesita un proxy para obtener acceso a Internet, navegue hasta Network > Proxy y habilite la opción Use A Proxy Server y haga clic en Apply.

    Proxy configurationConfiguración de proxy.

    El nombre común en el CSR no es un nombre de host o dirección IP que se pueda resolver mediante DNS. Inténtelo de nuevo. (Error en CSSM in situ)

    CSR errorError CSR.

    Solución: Verifique y corrija la resolución DNS en el servidor CSSM.

    1. Abra la CLI CSSM y escriba "nslookup <CSSM_FQDN>"

    En el siguiente ejemplo, podemos ver que cssm.testlab.local no se resolvió desde el servidor CSSM.

    The DNS server is not reachableEl servidor DNS no es accesible.

    El resultado correcto sería el siguiente:

    The DNS server is reachableEl servidor DNS es accesible.

    Plan de acción:

    Verifique las configuraciones DNS en el CSSM en las instalaciones.

    1. Vaya a Red > General > Configuración DNS.

    El DNS primario o alternativo debe ser el mismo que la dirección IP del servidor DNS.

    DNS settingsConfiguración de DNS.

    Historial de revisiones

    Revisión Fecha de publicación Comentarios
    1.0
    25-Jul-2024
    Versión inicial
    TAC Authored

    Con la colaboración de ingenieros de Cisco

    • Oscar de Jesus Tegoma Aguilar

    ¿Resultó útil este documento?

    FeedbackComentarios

    Contacte a Cisco

    Este documento se aplica a estos productos