CSSM configureren op Prem en licenties registreren met ISE

Inleiding

Dit document beschrijft de integratie van CSSM On-Prem met Cisco Identity Service Engine (ISE) en Cisco Smart Account, waardoor een naadloze installatie wordt gegarandeerd.

Voorwaarden

Vereisten

ISE 3.X

Cisco Smart Software Manager (CSSM) versie 8 release 202304 +

Gebruikte componenten

• Identity Service Engine 3.2 patch 2
• GTM op Prem 8.20234
• Windows Active Directory 2016 (DNS- en Certificate Authority-services)
• VMWare ESXi versie 7

De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.

Configureren

Netwerkdiagram

Algemene topologie

CSSM On-Prem installeren op VMWARE ESXi.

1. Download de Cisco IOS®. U kunt de volgende link gebruiken: https://software.cisco.com/download/home/286285506/type/286326948/release/8-202304

2. Upload de ISO in VMWARE ESXi.

Navigeer naar Opslag > Datastore Browser.

Sectie Gegevensbrowser

3. Klik op Directory maken om een nieuwe map te maken (optioneel).

Aanmaken van directory

In dit voorbeeld is de map CSSM gemaakt:

Maken van mappen

4. Klik op Uploaden en kies vervolgens uw ISO-bestand.

ISO uploaden

Het ISO-bestand bevindt zich nu in de CSSM-map:

De ISO-upload is voltooid

5. Maak de virtuele machine. Navigeer naar Virtual Machine > VM maken/registreren.

Een nieuwe VM maken stap 01

6. Kies Een nieuwe virtuele machine maken en klik op Volgende.

Een nieuwe VM maken stap 02

7. Configureer vervolgens de volgende parameters:

• Naam: Voer de naam van uw virtuele machine in.
• Compatibiliteit: selecteer ESXi 6.0 of hoger of ESXi 6.5 of hoger. 
• Gast OS familie: Linux.
• Gastversie van het besturingssysteem: Kies CentOS 7 (64-bits) of andere 2.6x Linux (64-bits)

Klik op Next (Volgende).

VM-naam en IOS

8. Selecteer uw opslagruimte en klik op Volgende.

Opslaglijst

9. Configureer de volgende parameters:

• CPU: minimaal 4. De werkelijke vCPU-instelling is afhankelijk van uw schaalvereisten

Opmerking: het aantal cores per socket moet worden ingesteld op 1, ongeacht het aantal geselecteerde virtuele sockets. Een configuratie met vier vCPU's moet bijvoorbeeld worden geconfigureerd als vier sockets en één kern per socket.

Configuratie van kernen

• Geheugen: 8 GB
• Harde schijf: 200 GB en controleer of provisioning is ingesteld op Thin Provision.

Configuratie van schijf

• Netwerkadapter: Selecteer het type E1000-adapter en selecteer Verbinden bij Inschakelen.

Configuratie van netwerkinstellingen

• Cd / dvd-station: Kies "ISO-gegevensbestand" en selecteer het ISO-bestand.

ISO-beeld

U kunt de samenvatting van de instellingen controleren nadat u de vorige stappen hebt voltooid.

Samenvatting VM-configuratie 01

Klik op Next (Volgende).

10. Klik op Voltooien.

Samenvatting VM-configuratie 02

Eerste configuratie van CSSM On-Prem.

1. Navigeer in VMWARE ESXi naar Virtuele machines en selecteer uw VM en klik vervolgens op Inschakelen.

Inschakelen, optie

2. U hebt meerdere opties om de VM-console te beheren. Selecteer Console > Browserconsole openen.

Opties voor het beheer van de VM

3. Configureer uw netwerkinstellingen.

Opmerking: Het is belangrijk om het IP-adres van de DNS-server te configureren waarmee de CSSM FQDN wordt opgelost.

Configuratie van CSSM-netwerkinstellingen

Klik op OK om uw nieuwe CLI-wachtwoord te configureren.

4. Vervolgens wordt het installatieproces gestart en voltooid totdat u de toegangsprompt kunt zien.

Eerste configuratie van CSSM voltooid

5. Open een browser en voer https://<ip_address_CSSM> in.

CSSM-aanmeldingspagina

De standaardreferenties gebruiken:

gebruikersnaam: admin

Wachtwoord: CiscoAdmin!2345

6. Selecteer uw taal.
7. Maak een nieuw GUI-wachtwoord aan.
8. Configureer de gemeenschappelijke hostnaam. (Voorbeeld: hostname.yourdomain).

In dit geval is cssm.testlab.local geconfigureerd als gemeenschappelijke hostnaam.

Configuratie van algemene hostnaam

9. Valideer uw configuratie en klik op Toepassen.

De eerste CSSM-instellingen zijn voltooid.

CSSM On-Prem integreren met Smart Account

U moet uw Smart Account koppelen aan uw CSSM On Prem Server.

1. Open uw Cisco Smart-account via de volgende link:

https://software.cisco.com/

2. Kies vervolgens Licenties beheren onder de sectie Slimme softwarebeheer.

	Licenties beheren, optie

3. Navigeer naar Inventory en kopieer de naam van uw Smart Account naam en Virtual Account. In deze handleiding is dit InternalTestDemoAccount67 en AAA MEX TEST.

Cisco-softwarepagina

4. Open de CSSM GUI en selecteer de optie Admin Workspace.

Hoofdmenu van CSSM.

5. Selecteer vervolgens Accounts.

Rekeningen.

6. Selecteer Nieuwe account om een nieuwe registratieaanvraag te maken.

Het aanmaken van een CSSM account.

7. Voer de volgende informatie in:

• Accountnaam: Dit is een aangepaste naam van het nieuwe register.
• Cisco Smart Account: Plak uw Smart Account naam.
• Cisco Virtual Account: Plak de naam van uw virtuele account.
• E-mail voor melding: Typ uw e-mail.

Accountregistratie.

Klik op Indienen.

8. Klik vervolgens op Accountverzoeken.

U kunt het verzoek gedaan op de vorige stap in deze sectie zien.

Rekeningaanvraag.

9. Klik op Acties.

Acties, optie.

Je hebt drie opties:

• Goedkeuren: Gebruik deze optie om de CSSM On-Prem via internet te registreren bij uw Smart Account.
• Afwijzen: Verzoek laten vallen.
• Handmatige registratie: Gebruik deze optie om de CSSM On-Prem te registreren bij uw Smart Account zonder internet.

 OPTIE 1: Registreer uw CSSM On-Prem via een internetverbinding.

1. Als u Goedkeuren kiest, moet u uw gebruikersnaam en wachtwoord van uw Cisco Smart-account invoeren en op Indienen klikken.

Optie goedkeuren.

Klik vervolgens op Volgende om de accountregistratie te accepteren.

Accountregistratie.

Om de status van de registratie te bevestigen, navigeert u naar Account en de accountstatus moet actief zijn.

Rekeningoverzicht.

Open nu uw Smart Account (https://software.cisco.com/). Selecteer vervolgens de optie On-Prem-accounts om het nieuwe register te bekijken.

Op rekening van Prem.

OPTIE 2: Registreer uw CSSM On-Prem zonder internetverbinding.

Als u Handmatige registratie kiest, klikt u op Registratiebestand genereren. Hierdoor wordt een registratieverzoek gemaakt dat naar uw computer wordt gedownload.

Handmatige registratie.

Open vervolgens uw Smart Account (https://software.cisco.com/) en navigeer naar On-Prem Accounts.

Klik op Nieuw op Prem

Nieuwe On-Prem toevoegen.

Configureer vervolgens de volgende parameters:

• On-Prem Name: Dit is een aangepaste naam van het nieuwe register.
• Registratiebestand: Klik op Bestand kiezen en selecteer het registratieverzoek.
• Virtuele account: Plak de naam van uw virtuele account.

Machtigingsbestand.

Klik op Machtigingsbestand genereren.

Download vervolgens het autorisatiebestand.

Autorisatiebestand downloaden.

Open de CSSM GUI om het autorisatiebestand te uploaden. Klik op Bladeren, kies het bestand en klik vervolgens op Uploaden.

Machtigingsbestand uploaden.

Navigeer vervolgens naar Synchronisatie en klik op Acties > Handmatige synchronisatie > Volledige synchronisatie.

Handmatige synchronisatie.

Download het aanvraagbestand voor synchronisatie.

Bestand downloaden Sync.

Open uw Smart Account en selecteer On-Prem Account, zoek vervolgens naar uw CSSM On-Prem-naam in de lijst en klik op Acties > Bestandssynchronisatie

Bestand uploaden Sync.

Upload vervolgens het aanvraagbestand voor synchronisatie en klik op Antwoordbestand genereren.

Genereer een antwoordbestand.

Klik vervolgens op Synchronisatiebestand downloaden

Synchroniseer bestand.

Upload ten slotte het Synch Response File in het CSSM on Premise.

Sync voltooid.

 CSSM On-Prem integreren met ISE.

1. Open de CSSM GUI en selecteer Admin Workspace.

Hoofdmenu van CSSM.

2. Navigeer naar Beveiliging > Certificaten > MVO genereren

Opmerking: Het is belangrijk dat de hostnaam + het domein op de gemeenschappelijke hostnaam is geconfigureerd omdat ISE deze parameter gebruikt om een verbinding met de CSSM tot stand te brengen. U kunt een IP-adres gebruiken in plaats van de hostnaam + domein, maar de aanbeveling is om de hostnaam + domein gebruiken

Opmerking: in de volgende stappen wordt de procedure beschreven voor de installatie van het GUI-certificaat in het CSSM. Als u de beheerverbinding met uw GUI CSSM wilt beveiligen met behulp van een certificaat dat is ondertekend door uw persoonlijke certificeringsinstantie (CA), moet u de volgende stappen controleren. Controleer anders direct de stap 9.

MVO-optie.

3. Voer vervolgens uw persoonlijke gegevens in. De alternatieve naam van het onderwerp wordt automatisch gemaakt met dezelfde waarde als de algemene naam. De CSR wordt automatisch gedownload nadat u op Genereren hebt geklikt.
   

MVO-details.

4. Onderteken de CSR: Controleer de optie "Certificaten maken op basis van Windows CA." op dit document voor meer informatie.

5. Upload het root CA-certificaat.

Root CA wordt geüpload.

Klik op Doorgaan.

Optie Doorgaan.

6. Voer een beschrijving in en kies het basiscertificaat en klik op OK.

Beschrijving root CA.

7. Upload de door de CA ondertekende CSR (CSSM Identity Certificate).

CSSM Identity Cert uploaden.

Opmerking: In ons geval bestaat het tussenliggende certificaat niet in onze CA. Als u echter een tussencertificaat in uw architectuur gebruikt, is het tussencertificaat verplicht.

8. Controleer vervolgens of beide certificaten zijn geïnstalleerd.

Certificaten valideren.

9. Maak een token op de SSM On-Prem: Selecteer licentiewerkruimte.

Werkruimte pagina.

10. Ga naar Smart Licensing.

CSSM Smart-licentiepagina

11. Zoek naar uw lokale virtuele account, klik vervolgens op Nieuwe token en klik op Doorgaan.

Nieuwe token-optie.

12. Selecteer Token maken en kopieer deze.

Creatie van een nieuwe token.

Token-details.

13. Open de ISE GUI en navigeer naar Beheer > Systemen > Licenties, klik vervolgens op Registratiegegevens, selecteer de SSM On-Prem server Host methode, en plak de token.

Registratie van licenties.

14. Voer de SSM On-Prem FQDN in op de SSM On-Prem-serverhost en klik op Registreren.

CSSM en ISE instellingen.

Opmerking: Het is belangrijk dat de hostnaam + het domein is geconfigureerd op de gemeenschappelijke hostnaam omdat ISE deze parameter gebruikt om een verbinding met de CSSM tot stand te brengen. U kunt een IP-adres gebruiken in plaats van de hostnaam + domein, maar de aanbeveling is om de hostnaam + domein gebruiken

15. Tot slot is de registratie afgerond.

Registratie voltooid.

 Certificaten maken vanuit Windows CA.

Als u de beheerder van de certificeringsinstantie bent, moet u het volgende doen:

1. Open een webbrowser en ga naar http://localhost/certsrv/
2. Klik op Certificaat aanvragen.

Certificaat aanvragen.

3. Klik op geavanceerde certificaataanvraag.

Geavanceerde certificaataanvraag.

4. Open de eerder gegenereerde CSR.  Kopieer vervolgens de informatie en plak deze op Opgeslagen verzoek.

Certificaat indienen.

Nadat u op Indienen hebt geklikt, wordt het certificaat automatisch gedownload.

5. Download nu de hoofdmap van het CA-certificaat. Navigeer terug naar http://localhost/certsrv/ en selecteer CA-certificaat, certificaatketen of CRL downloaden.

Download root CA.

6. Download het CA-certificaat met behulp van de coderingsmethode als Base64.

Optie Base 64.

DNS-records toevoegen op Windows Server.

Als u de beheerder bent, voegt u de ISE- en CSSM-FQDN's toe.

1. Open de DNS Manager: Typ "DNS" in de Windows-zoeker en open de DNS-app.

DNS-optie.

2. Navigeer naar Forward Lookup Zones > En kies uw domein.

DNS-beheer.

3. Klik met de rechtermuisknop op een zwarte ruimte boven het scherm en selecteer "Nieuwe host (A of AAAA)"

Record toevoegen.

4. Configureer de record-DNS als de volgende:

• Naam: De naam van de gastheer.
• Het IP-adres van het apparaat.

Klik op "Host toevoegen"

Record-instellingen.

Problemen oplossen

Host/IP-adres is niet bereikbaar.  (Fout bij ISE)

Bereikbare fout.

Oplossing 1: Controleer en repareer de DNS-configuratie in de ISE-node.

1. Open de ISE CLI en typ "nslookup <CSSM_FQDN>"

In het volgende voorbeeld kunnen we zien dat cssm.testlab.local niet is opgelost vanuit de ISE-node.

CSSM-resolutie is mislukt.

De juiste resolutie zou zijn:

CSSM-resolutie met succes.

actieplan:

1. Controleer het onderwerp DNS-configuratie in dit document.
2. Voer de opdracht show running-config in op de ISE CLI om de "ip name-server" te controleren. De "ip name-server" moet overeenkomen met het IP-adres van de DNS-server.

Oplossing 2: Open de CSSM GUI om te bevestigen dat de gemeenschappelijke hostnaam en het browsercertificaat dezelfde zijn als de CSSM On-Prem server Host-parameter aan de ISE-zijde.

Verkeerd scenario:

De CSSM-resolutie en ISE-instelling zijn onjuist.

Correct scenario:

De CSSM-resolutie en ISE-instelling zijn correct.

Actieplan: Zie "ISE- en CSSM-configuratie" in deze handleiding voor meer informatie.

SSO-service: Cisco kan niet worden bereikt. (Fout bij CSSM On-Prem)

Registratie van account mislukt.

Oplossing: controleer uw internetverbinding.

actieplan:

1. Als u een proxy nodig hebt om toegang te krijgen tot internet, gaat u naar Netwerk > Proxy en schakelt u de optie Een proxyserver gebruiken in en klikt u op Toepassen.

Proxyconfiguratie.

De algemene naam in de CSR is geen DNS-resolvable hostnaam of IP-adres. Probeer het opnieuw. (Fout bij CSSM On-Prem)

CSR-fout.

Oplossing: controleer en repareer de DNS-resolutie op de CSSM-server.

1. Open de CSSM CLI en typ "nslookup <CSSM_FQDN>"

In het volgende voorbeeld kunnen we zien dat cssm.testlab.local niet is opgelost vanuit de CSSM-server.

De DNS-server is niet bereikbaar.

De juiste output zou de volgende zijn:

De DNS-server is bereikbaar.

actieplan:

Controleer de DNS-configuraties op de CSSM On-Prem.

1. Navigeer naar Netwerk > Algemeen > DNS-instelling.

De primaire of alternatieve DNS moet hetzelfde zijn als het IP-adres van de DNS-server.

DNS-instellingen.