Ripristino delle chiavi SSH per Cisco ISE nelle macchine virtuali di Azure
Introduzione
In questo documento viene descritto come ripristinare le chiavi SSH per le macchine virtuali di Azure ISE.
Prerequisiti
- Conoscenze base di ISE
- Accesso alla console ISE tramite Microsoft Azure
- Accesso all'interfaccia grafica ISE
- Privilegi per creare nuove coppie di chiavi in Microsoft Azure
Requisiti
- Cisco ISE, nodo
Componenti usati
- Cisco ISE 3.3
Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.
Configurazione
-
In Microsoft Azure, cercare il servizio chiavi SSH.
-
Fare clic su Create (Crea) per creare una nuova chiave SSH. Selezionare la sottoscrizione e il gruppo di risorse. Specificare un nome personalizzato per la nuova chiave SSH. Per il campo SSH public key source (Origine chiave pubblica SSH), selezionare l'opzione Generate new key pair (Genera nuova coppia di chiavi) e per SSH key type (Tipo di chiave SSH) selezionare RSA SSH Format (Formato SSH RSA). Infine, fare clic su Revisione + Crea per convalidare e creare la chiave.
- Quando viene creato il tasto, viene visualizzata una nuova finestra. Fare clic su Scarica chiave privata e crea risorsa.
Attenzione: È importante mantenere la chiave privata in modo sicuro, in quanto questo è l'unico momento in cui Azure consente di scaricare la chiave privata. Azure non archivia questa chiave privata e non può essere scaricato da altre posizioni.
- Tornare al servizio Chiavi SSH e cercare la chiave appena creata e fare clic su di essa per visualizzarne la panoramica.
- Nella panoramica della chiave verrà visualizzata la chiave pubblica. Copiare il testo e incollarlo in un editor di testo in modo da poterlo salvare come file locale con estensione .pem. In questa guida, il file viene salvato come public.pem .
Suggerimento: È possibile fare clic sul pulsante Copia negli Appunti per copiare la stringa della chiave pubblica.
- Carica questa chiave pubblica sul disco locale ISE. A tale scopo, selezionare ISE > Amministrazione > Sistema > Manutenzione > Gestione disco locale. Fare clic sul proprio nome host ISE, quindi su Upload e infine su Select File e individuare e selezionare la chiave pubblica nel computer locale. Infine, fare clic su Start Upload (Avvia caricamento).
- Creare un repository che punti al disco locale ISE in modo da poterlo utilizzare per installare la chiave pubblica; in questo esempio il nostro repository è denominato locale.
Nota: Se si desidera caricare il file della chiave pubblica in un repository diverso da quello già creato su ISE, non è necessario che sia un disco locale.
- Accedere ad ISE Serial Console da Azure usando il nome utente per il quale si desidera reimpostare la chiave SSH.
9. Verificare che la chiave pubblica (file .pem) si trovi correttamente nel repository e installarla con il comando crypto key import { nome del file di chiave pubblica } repository { nome del repository }.
Verifica
Per configurare il protocollo SSH in ISE usando le nuove coppie di chiavi, è necessario usare la chiave privata come identificazione durante l'accesso.
- Assegnare le autorizzazioni appropriate alla chiave privata (quella scaricata al passaggio 3)
Dal terminale macOS:
chmod 600 { file di chiave privata }
Da Windows:
Individuare il file in Esplora risorse, fare clic con il pulsante destro del mouse su di esso, quindi selezionare Proprietà. Passare alla scheda Protezione e fare clic su Avanzate.
Cambiare il proprietario, disabilitare l'ereditarietà ed eliminare tutte le autorizzazioni. Quindi concediti il controllo completo e salva le autorizzazioni.
- SSH nell'ISE usando la nuova chiave privata, il nome utente ISE e l'indirizzo IP ISE o il FQDN.
Dal terminale macOS:
ssh -I { file chiave privata } { nomeutente }@{ ISE IP o FQDN }
Da CMD di Windows:
ssh -i "{ private key file }" { nomeutente }@{ ISE IP o FQDN }
Risoluzione dei problemi
- Assicurarsi di copiare il testo completo del file della chiave pubblica nel file con estensione pem.
- Verificare che il repository contenga il file di chiave pubblica.
- Se il comando crypto non riesce a installare la chiave pubblica sull'ISE, creare un ticket con Cisco TAC in modo che la chiave possa essere installata manualmente dalla radice. Errore comune per questa operazione: "% Errore: Impossibile aggiornare il file di chiave autorizzato."
Cronologia delle revisioni
| Revisione | Data di pubblicazione | Commenti |
|---|---|---|
1.0 |
11-Sep-2025
|
Versione iniziale |
Feedback