Prem에서 CSSM 구성 및 ISE에 라이센스 등록

다운로드 옵션

  • PDF     (5.2 MB)
    다양한 디바이스에서 Adobe Reader로 보기
업데이트:2024년 7월 25일
문서 ID:222207

편견 없는 언어

본 제품에 대한 문서 세트는 편견 없는 언어를 사용하기 위해 노력합니다. 본 설명서 세트의 목적상, 편견 없는 언어는 나이, 장애, 성별, 인종 정체성, 민족 정체성, 성적 지향성, 사회 경제적 지위 및 교차성에 기초한 차별을 의미하지 않는 언어로 정의됩니다. 제품 소프트웨어의 사용자 인터페이스에서 하드코딩된 언어, RFP 설명서에 기초한 언어 또는 참조된 서드파티 제품에서 사용하는 언어로 인해 설명서에 예외가 있을 수 있습니다. 시스코에서 어떤 방식으로 포용적인 언어를 사용하고 있는지 자세히 알아보세요.

이 번역에 관하여

Cisco는 전 세계 사용자에게 다양한 언어로 지원 콘텐츠를 제공하기 위해 기계 번역 기술과 수작업 번역을 병행하여 이 문서를 번역했습니다. 아무리 품질이 높은 기계 번역이라도 전문 번역가의 번역 결과물만큼 정확하지는 않습니다. Cisco Systems, Inc.는 이 같은 번역에 대해 어떠한 책임도 지지 않으며 항상 원본 영문 문서(링크 제공됨)를 참조할 것을 권장합니다.

    소개

    이 문서에서는 CSSM On-Prem과 Cisco ISE(Identity Service Engine)Cisco Smart Account 통합을 설명하여 원활한 설정을 보장합니다.

    사전 요구 사항

    요구 사항

    ISE 3.X

    CSSM(Cisco Smart Software Manager) 버전 8 릴리스 202304 +

    사용되는 구성 요소

    • Identity Service Engine 3.2 패치 2
    • Prem 8.20234의 SSM
    • Windows Active Directory 2016(DNSCertificate Authority 서비스)
    • VMWare ESXi 버전 7

    이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다. 이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다. 현재 네트워크가 작동 중인 경우 모든 명령의 잠재적인 영향을 미리 숙지하시기 바랍니다.

    구성

    네트워크 다이어그램

    General topology일반 토폴로지

    VMWARE ESXi에 CSSM 온프레미스(On-Prem) 설치

    1. Cisco IOS®를 다운로드합니다. 다음 링크를 사용할 수 있습니다. https://software.cisco.com/download/home/286285506/type/286326948/release/8-202304

    2. VMWARE ESXi에서 ISO를 업로드합니다.

    Storage(스토리지) > Datastore Browser(데이터 저장소 브라우저)로 이동합니다.

    Data browser section데이터 브라우저 섹션

    3. 디렉토리 생성을 눌러 새 폴더를 생성합니다(선택사항).

    Creation of directory디렉토리 생성

    이 예에서는 CSSM 폴더를 만들었습니다.

    Creation of folders폴더 생성

    4. 업로드를 클릭한 다음 ISO 파일을 선택합니다.

    Uploading ISOISO 업로드

    이제 ISO 파일이 CSSM 폴더에 있습니다.

    The ISO upload is completedISO 업로드가 완료되었습니다.

    5. 가상 머신을 생성합니다. Virtual Machine(가상 머신) > Create/Register VM(VM 생성/등록)으로 이동합니다.

    Creating a new VM step 01새 VM 생성 01단계

    6. [새 가상 머신 생성]을 선택하고 [다음]을 클릭합니다.

    Creating a new VM step 02새 VM 생성 02단계

    7. 다음 매개변수를 구성합니다.

    • 이름: 가상 머신의 이름을 입력합니다.
    • 호환성: ESXi 6.0 이상 또는 ESXi 6.5 이상을 선택합니다. 
    • 게스트 OS 제품군: Linux.
    • 게스트 OS 버전: CentOS 7(64비트) 또는 기타 2.6x Linux(64비트)를 선택합니다.

    Next(다음)를 클릭합니다.

    VM name and IOSVM 이름 및 IOS

    8. 스토리지를 선택하고 다음을 클릭합니다.

    Storage list저장소 목록

    9. 다음 매개변수를 구성합니다.

    • CPU: 최소 4개. 실제 vCPU 설정은 확장 요구 사항에 따라 달라집니다
    note-icon

    참고: 선택한 가상 소켓 수와 상관없이 소켓당 코어 수를 1로 설정해야 합니다. 예를 들어, 4 vCPU 컨피그레이션은 소켓당 4소켓 및 1코어로 구성해야 합니다.

    Configuration of Cores코어 컨피그레이션

    • Memory : 8GB
    • 하드 디스크: 200GB 및 verify provisioning is set to Thin Provision(씬 프로비저닝).

    Configuration of disk디스크 컨피그레이션

    • 네트워크 어댑터: E1000 어댑터 유형을 선택하고 Connect at Power On을 선택합니다.

    Configuration of network settings네트워크 설정 컨피그레이션

    • CD / DVD 드라이브: "데이터 ISO 파일"을 선택하고 ISO 파일을 선택합니다.

    ISO imageISO 이미지

    이전 단계를 완료한 후 설정 요약을 확인할 수 있습니다.

    Summary VM configuration 01요약 VM 컨피그레이션 01

    Next(다음)를 클릭합니다.

    10. 완료를 클릭합니다.

    Summary VM configuration 02요약 VM 구성 02

    CSSM 온프레미스의 초기 컨피그레이션

    1. VMWARE ESXi에서 Virtual Machines(가상 머신)로 이동하여 VM을 선택한 다음 Power On(전원 켜기)을 클릭합니다.

    Power on option전원 켜기 옵션

    1. VM 콘솔을 관리할 수 있는 여러 옵션이 있습니다. Console(콘솔) > Open browser console(브라우저 콘솔 열기)을 선택합니다.

    Options to manage the VMVM 관리 옵션

    1. 네트워크 설정을 구성합니다.
    note-icon

    참고: CSSM FQDN을 확인하는 DNS 서버 IP 주소를 구성하는 것이 중요합니다.

    Configuration of CSSM network settingsCSSM 네트워크 설정 컨피그레이션

    CLI 비밀번호를 구성하려면 OK(확인)를 클릭합니다.

    1. 그러면 설치 프로세스가 시작되고 액세스 프롬프트가 표시될 때까지 종료됩니다.

    CSSM initial configuration completedCSSM 초기 컨피그레이션 완료

    1. 브라우저를 열고 https:// <ip_address_CSSM>을 입력합니다.

    CSSM login pageCSSM 로그인 페이지

    기본 자격 증명 사용:

    사용자 이름: admin

    암호: CiscoAdmin!2345

    1. 언어를 선택합니다.
    2. GUI 비밀번호를 생성합니다.
    3. 호스트 CN을 구성합니다. (예: hostname.yourdomain).

    이 경우 cssm.testlab.local은 호스트 CN으로 구성되었습니다.

    Host common name configuration호스트 CN 컨피그레이션

    1. 컨피그레이션을 검증하고 Apply를 클릭합니다.

    CSSM initial settings completedCSSM 초기 설정이 완료되었습니다.

    Smart Account와 CSSM 온프레미스 통합

    Smart Account를 Prem Server의 CSSM연결해야 합니다.

    1. 다음 링크를 사용하여 Cisco Smart Account를 엽니다.

    https://software.cisco.com/

    1. 그런 다음 Smart Software Manager 섹션에서 Manage Licenses(라이센스 관리)를 선택합니다.
    Manage licenses option라이센스 관리 옵션
    1. Inventory(인벤토리)로 이동하여 Smart Account 이름Virtual Account의 이름을 복사합니다. 이 가이드에서는 InternalTestDemoAccount67 및 AAA MEX TEST를 다룹니다.

    Software Cisco page소프트웨어 Cisco 페이지

    1. CSSM GUI를 열고 Admin Workspace(관리 작업 공간) 옵션을 선택합니다.

    Main CSSM menu기본 CSSM 메뉴.

    1. 그런 다음 Accounts를 선택합니다.

    CSSM Accounts어카운트.

    1. 새 등록 요청을 생성하려면 New Account(새 어카운트)를 선택합니다.

    Creation of CSSM accountCSSM 어카운트 생성

    1. 다음 정보를 입력합니다.
    • 계정 이름: 새 레지스터의 사용자 지정 이름입니다.
    • Cisco Smart Account: Smart Account 이름 붙여넣습니다.
    • Cisco 가상 어카운트: Virtual Account 이름 붙여넣습니다.
    • 알림 이메일: 이메일을 입력합니다.

    Account registration계정 등록.

    Submit(제출)을 클릭합니다.

    1. 그런 다음 Account Requests(어카운트 요청) 클릭합니다.

    이 섹션의 이전 단계에서 수행한 요청을 확인할 수 있습니다.

    Account request.계정 요청.

    1. Actions(작업)를 클릭합니다.

    Actions option작업 옵션.

    세 가지 옵션이 있습니다.

    • 승인: 인터넷을 통해 Smart Account에 CSSM 온프레미스(On-Prem)를 등록하려면 이 옵션을 사용합니다.
    • 거부: 요청을 삭제합니다.
    • 수동 등록: 이 옵션을 사용하여 인터넷 없이 Smart Account에 CSSM 온프레미스(On-Prem)를 등록합니다.

     옵션 1: 인터넷 연결을 통해 CSSM을 온프레미스(On-Prem)에 등록합니다.

    1. Approve(승인)를 선택한 경우 Cisco Smart Account의 사용자 이름과 비밀번호를 입력하고 Submit(제출)을 클릭해야 합니다.

    Approve option승인 옵션.

    그런 다음 다음을 클릭하여 계정 등록을 수락합니다.

    Account registration계정 등록.

    등록 상태를 확인하려면 Account(계정)로 이동하고 Account(계정) 상태가 Active(활성)여야 합니다.

    Account status계정 상태.

    이제 Smart Account를 엽니다(https://software.cisco.com/). 그런 다음 On-Prem Accounts(온프레미스 어카운트) 옵션을 선택하여 새 등록을 확인합니다.

    On Prem Account.Prem 어카운트

    옵션 2: 인터넷에 연결하지 않고도 CSSM을 온프레미스(On-Prem)에 등록합니다.

    Manual Registration(수동 등록)을 선택한 경우 Generate Registration File(등록 파일 생성)을 클릭합니다. 이렇게 하면 컴퓨터에 다운로드할 등록 요청이 생성됩니다.

    Manual registration.수동 등록.

    그런 다음 Smart Account(https://software.cisco.com/)를 열고 온프레미스 어카운트로 이동합니다.

    온프레미스 클릭

    Adding new On-Prem.새 온프레미스 추가

    그런 다음 다음 매개변수를 구성합니다.

    • 온-프레미스 이름: 새 레지스터의 사용자 지정 이름입니다.
    • 등록 파일: Choose File(파일 선택)을 클릭하고 Registration Request(등록 요청)를 선택합니다.
    • 가상 어카운트: Virtual Account 이름 붙여넣습니다.

    Authorization file.권한 부여 파일.

    Generate Authorization File(권한 부여 파일 생성)을 클릭합니다.

    그런 다음 권한 부여 파일을 다운로드합니다.

    Downloading authorization file권한 부여 파일을 다운로드하는 중입니다.

    CSSM GUI를 열어 권한 부여 파일 업로드합니다. Browse(찾아보기)를 클릭하고 파일을 선택한 다음 Upload(업로드)를 클릭합니다.

    Uploading authorization file.권한 부여 파일을 업로드하는 중입니다.

    그런 다음 Synchronization(동기화)으로 이동하고 Actions(작업) > Manual Synchronization(수동 동기화) > Full Synchronization(전체 동기화)을 클릭합니다.

    Manual Sync.수동 동기화.

    동기화 요청 파일 다운로드합니다.

    Downloading file Sync파일 동기화를 다운로드하는 중입니다.

    Smart Account를 열고 On-Prem Account를 선택한 다음 목록에서 CSSM On-Prem 이름을 찾고 Actions(작업) > File Sync(파일 동기화)를 클릭합니다.

    Uploading file Sync파일 동기화를 업로드하는 중입니다.

    그런 다음 Sync 요청 파일을 업로드하고 Generate Response File(응답 파일 생성)을 클릭합니다.

    Generating a response file응답 파일을 생성합니다.

    그런 다음 Download Synch Response File(동기화 응답 파일 다운로드)을 클릭합니다

    Sync file파일 동기화.

    마지막으로, CSSM on Premise에서 동기화 응답 파일을 업로드합니다.

    Sync completed동기화가 완료되었습니다.

     CSSM On-Prem을 ISE와 통합합니다.

    1. CSSM GUI를 열고 Admin Workspace를 선택합니다.

    Main CSSM menu.기본 CSSM 메뉴.

    1. Security(보안) > Certificates(인증서) > Generate CSR(CSR 생성)로 이동합니다.
    note-icon

    참고: ISE는 CSSM과의 연결을 설정하기 위해 이 매개변수를 사용하므로 호스트 일반 이름에 호스트 이름 + 도메인을 구성해야 합니다. 호스트 이름 + 도메인 대신 IP 주소를 사용할 수 있지만 권장 사항은 호스트 이름 + 도메인을 사용하는 것입니다

    note-icon

    참고: 다음 단계에서는 CSSM에 GUI 인증서를 설치하는 절차에 대해 설명합니다. 개인 CA(인증 기관)에서 서명한 인증서를 사용하여 GUI CSSM에 대한 관리 연결을 보호하려면 다음 단계를 확인해야 합니다. 그렇지 않은 경우 9단계를 직접 선택합니다.

    CSR optionCSR 옵션

    1. 그런 다음 개인 정보를 입력합니다. Subject Alternative Name Common Name과 동일한 값을 사용하여 자동으로 생성됩니다. CSR Generate(생성)를 클릭하면 자동으로 다운로드됩니다.

    CSR detailsCSR 세부 정보.

    1. CSR에 서명: 자세한 내용은 "Create certificates from Windows CA(Windows CA에서 인증서 생성)"를 참조하십시오. 이 문서에 대해 설명합니다.
    1. 루트 CA 인증서 업로드합니다.

    Uploading Root CA루트 CA 업로드 중.

    Proceed(진행)를 클릭합니다.

    Proceed optionProceed(진행) 옵션을 선택합니다.

    1. 설명을 입력 하고 루트 인증서를 선택 하고 확인을 클릭 합니다.

    Description root CA설명 루트 CA.

    1. CA에서 서명한 CSR(CSSM Identity Certificate)을 업로드합니다.

    Uploading CSSM Identity CertCSSM ID 인증서 업로드 중

    note-icon

    참고: 참고: 우리의 경우, 중간 인증서는 우리의 CA에 존재하지 않습니다. 그러나 아키텍처에서 중간 인증서를 사용하는 경우 중간 인증서는 필수입니다.

    8. 그런 다음 두 인증서가 모두 설치되었는지 확인합니다.

    Certificates validation인증서 검증.

    1. SSM 온프레미스에서 토큰을 만듭니다. Licensing Workspace를 선택합니다.

    Workspace pageWorkspace 페이지

    1. Smart Licensing으로 이동합니다.

    CSSM Smart licensing pageCSSM Smart Licensing 페이지

    1. 로컬 가상 어카운트를 찾은 다음 New Token(새 토큰)을 클릭하고 Proceed(진행)를 클릭합니다.

    New token option새 토큰 옵션.

    1. Create Token(토큰 생성)을 선택하고 복사합니다.

    Creation of new token새 토큰을 만듭니다.

    Token details토큰 세부 정보.

    1. ISE GUI를 열고 Administration(관리) > Systems(시스템) > Licensing(라이센싱)으로 이동한 다음 Registration details(등록 세부사항)를 클릭하고 SSM On-Prem 서버 호스트 방법을 선택한 다음 토큰을 붙여넣습니다.

    Registration of licenses라이센스 등록.

    1. SSM 온프레미스 서버 호스트SSM 온프레미스 FQDN을 입력하고 Register(등록)를 클릭합니다.

    CSSM and ISE settingsCSSM 및 ISE 설정

    note-icon

    참고: ISE는 CSSM과의 연결을 설정하기 위해 이 매개변수를 사용하므로 호스트 일반 이름에 호스트 이름 + 도메인을 구성하는 것이 중요합니다. 호스트 이름 + 도메인 대신 IP 주소를 사용할 수 있지만 권장 사항은 호스트 이름 + 도메인을 사용하는 것입니다

    1. 그리고 마지막으로 등록이 완료되었습니다.

    Registration completed등록이 완료되었습니다.

     Windows CA에서 인증서를 만듭니다.

    인증 기관의 관리자인 경우 다음을 수행해야 합니다.

    1. 웹 브라우저를 열고 http://localhost/certsrv/으로 이동합니다.
    2. Request a certificate(인증서 요청)를 클릭합니다.

    Request certificate인증서를 요청합니다.

    1. 고급 인증서 요청 클릭합니다.

    Advanced certificate request고급 인증서 요청

    1. 이전에 생성한 CSR을 엽니다.  그런 다음 정보를 복사하여 저장된 요청에 붙여넣습니다.

    Submit certificate인증서 제출

    Submit the certificate(인증서 제출)를 클릭하면 인증서가 자동으로 다운로드됩니다.

    1. 이제 CA 인증서 루트를 다운로드합니다. 다시 http://localhost/certsrv/으로 이동하고 Download a CA Certificate, Certificate Chain 또는 CRL을 선택합니다.

    Download root CA루트 CA 다운로드

    1. Base64로 인코딩 방법을 사용하여 CA 인증서를 다운로드합니다.

    Base 64 optionBase 64 옵션.

    Windows Server에서 DNS 레코드를 추가합니다.

    관리자인 경우 ISE 및 CSSM FQDN을 추가합니다.

    1. DNS Manager를 엽니다. Windows Finder에 "DNS"를 입력하고 DNS 앱을 엽니다.

    DNS optionDNS 옵션.

    1. Forward Lookup Zones(정방향 조회 영역) > And choose your domain(도메인을 선택합니다.

    DNS managerDNS 관리자.

    1. 화면 위의 검은색 공간을 마우스 오른쪽 버튼으로 클릭하고 "New Host (A or AAAA)"를 선택합니다.

    Adding record레코드를 추가하는 중입니다.

    1. 다음으로 레코드 DNS를 구성합니다.
    • 이름: 호스트의 이름을 의미합니다.
    • 디바이스의 IP 주소입니다.

    "Add Host(호스트 추가)"를 클릭합니다.

    Record settings설정을 기록합니다.

    문제 해결

    호스트/IP 주소에 연결할 수 없습니다. (ISE 오류)

    Not reachable error연결 가능한 오류입니다.

    해결 방법 1: ISE 노드에서 DNS 컨피그레이션을 확인하고 수정합니다.

    1. ISE CLI를 열고 "nslookup <CSSM_FQDN>"을 입력합니다.

    다음 예에서는 cssm.testlab.local이 ISE 노드에서 확인되지 않았음을 확인할 수 있습니다.

    CSSM resolution failedCSSM 확인에 실패했습니다.

    올바른 해결 방법은 다음과 같습니다.

    CSSM resolution successfullyCSSM을 확인했습니다.

    실행 계획:

    1. 이 문서의 DNS 구성 항목을 확인하십시오.
    2. "ip name-server"를 확인하려면 ISE CLI에서 show running-config 명령을 입력합니다. "ip name-server"는 DNS 서버의 IP 주소와 일치해야 합니다.

    해결 방법 2: CSSM GUI를 열어 호스트 CN브라우저 인증서가 ISE 측의 CSSM On-Prem 서버 호스트 매개변수와 동일한지 확인합니다.

    잘못된 시나리오:

    CSSM resolution and ISE setting are incorrectCSSM 확인 및 ISE 설정이 잘못되었습니다.

    올바른 시나리오:

    CSSM resolution and ISE setting are correctCSSM 확인 및 ISE 설정이 정확합니다.

    실행 계획: 자세한 내용은 이 가이드의 "ISE CSSM 컨피그레이션"을 참조하십시오.

    SSO 서비스: Cisco에 연결할 수 없습니다. (CSSM 온프레미스 오류)

    Account registration failed계정을 등록하지 못했습니다.

    해결책: 인터넷 연결을 확인합니다.

    실행 계획:

    1. 인터넷에 액세스하기 위해 프록시가 필요한 경우 Network(네트워크) > Proxy(프록시)로 이동하여 Use A Proxy Server(프록시 서버 사용) 옵션을 활성화하고 Apply(적용)를 클릭합니다.

    Proxy configuration프록시 구성.

    CSR의 공용 이름이 DNS를 확인할 수 있는 호스트 이름 또는 IP 주소가 아닙니다. 다시 시도하십시오. (CSSM On-Prem 오류)

    CSR errorCSR 오류입니다.

    해결책: CSSM 서버에서 DNS 확인을 확인하고 수정합니다.

    1. CSSM CLI를 열고 "nslookup <CSSM_FQDN>"을 입력합니다.

    다음 예에서는 cssm.testlab.local이 CSSM 서버에서 확인되지 않았음을 확인할 수 있습니다.

    The DNS server is not reachableDNS 서버에 연결할 수 없습니다.

    올바른 출력은 다음과 같습니다.

    The DNS server is reachableDNS 서버에 연결할 수 있습니다.

    실행 계획:

    CSSM On-Prem에서 DNS 컨피그레이션을 확인합니다.

    1. Network > General > DNS Setting으로 이동합니다.

    기본 또는 대체 DNSDNS 서버의 IP 주소와 동일해야 합니다.

    DNS settingsDNS 설정.

    개정 이력

    개정 게시 날짜 의견
    1.0
    25-Jul-2024
    최초 릴리스
    TAC Authored

    Cisco 엔지니어가 작성

    • 오스카 데 헤수스 테고마 아길라르

    이 문서가 도움이 되셨습니까?

    Feedback피드백

    지원 문의

    이 문서가 적용되는 제품