CSSM configureren op Prem en licenties registreren met ISE

Downloadopties

  • PDF     (5.1 MB)
    Met Adobe Reader op diverse apparaten bekijken
Bijgewerkt:25 juli 2024
Document-id:222207

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

    Inleiding

    Dit document beschrijft de integratie van CSSM On-Prem met Cisco Identity Service Engine (ISE) en Cisco Smart Account, waardoor een naadloze installatie wordt gegarandeerd.

    Voorwaarden

    Vereisten

    ISE 3.X

    Cisco Smart Software Manager (CSSM) versie 8 release 202304 +

    Gebruikte componenten

    • Identity Service Engine 3.2 patch 2
    • GTM op Prem 8.20234
    • Windows Active Directory 2016 (DNS- en Certificate Authority-services)
    • VMWare ESXi versie 7

    De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.

    Configureren

    Netwerkdiagram

    General topologyAlgemene topologie

    CSSM On-Prem installeren op VMWARE ESXi.

    1. Download de Cisco IOS®. U kunt de volgende link gebruiken: https://software.cisco.com/download/home/286285506/type/286326948/release/8-202304

    2. Upload de ISO in VMWARE ESXi.

    Navigeer naar Opslag > Datastore Browser.

    Data browser sectionSectie Gegevensbrowser

    3. Klik op Directory maken om een nieuwe map te maken (optioneel).

    Creation of directoryAanmaken van directory

    In dit voorbeeld is de map CSSM gemaakt:

    Creation of foldersMaken van mappen

    4. Klik op Uploaden en kies vervolgens uw ISO-bestand.

    Uploading ISOISO uploaden

    Het ISO-bestand bevindt zich nu in de CSSM-map:

    The ISO upload is completedDe ISO-upload is voltooid

    5. Maak de virtuele machine. Navigeer naar Virtual Machine > VM maken/registreren.

    Creating a new VM step 01Een nieuwe VM maken stap 01

    6. Kies Een nieuwe virtuele machine maken en klik op Volgende.

    Creating a new VM step 02Een nieuwe VM maken stap 02

    7. Configureer vervolgens de volgende parameters:

    • Naam: Voer de naam van uw virtuele machine in.
    • Compatibiliteit: selecteer ESXi 6.0 of hoger of ESXi 6.5 of hoger. 
    • Gast OS familie: Linux.
    • Gastversie van het besturingssysteem: Kies CentOS 7 (64-bits) of andere 2.6x Linux (64-bits)

    Klik op Next (Volgende).

    VM name and IOSVM-naam en IOS

    8. Selecteer uw opslagruimte en klik op Volgende.

    Storage listOpslaglijst

    9. Configureer de volgende parameters:

    • CPU: minimaal 4. De werkelijke vCPU-instelling is afhankelijk van uw schaalvereisten
    note-icon

    Opmerking: het aantal cores per socket moet worden ingesteld op 1, ongeacht het aantal geselecteerde virtuele sockets. Een configuratie met vier vCPU's moet bijvoorbeeld worden geconfigureerd als vier sockets en één kern per socket.

    Configuration of CoresConfiguratie van kernen

    • Geheugen: 8 GB
    • Harde schijf: 200 GB en controleer of provisioning is ingesteld op Thin Provision.

    Configuration of diskConfiguratie van schijf

    • Netwerkadapter: Selecteer het type E1000-adapter en selecteer Verbinden bij Inschakelen.

    Configuration of network settingsConfiguratie van netwerkinstellingen

    • Cd / dvd-station: Kies "ISO-gegevensbestand" en selecteer het ISO-bestand.

    ISO imageISO-beeld

    U kunt de samenvatting van de instellingen controleren nadat u de vorige stappen hebt voltooid.

    Summary VM configuration 01Samenvatting VM-configuratie 01

    Klik op Next (Volgende).

    10. Klik op Voltooien.

    Summary VM configuration 02Samenvatting VM-configuratie 02

    Eerste configuratie van CSSM On-Prem.

    1. Navigeer in VMWARE ESXi naar Virtuele machines en selecteer uw VM en klik vervolgens op Inschakelen.

    Power on optionInschakelen, optie

    1. U hebt meerdere opties om de VM-console te beheren. Selecteer Console > Browserconsole openen.

    Options to manage the VMOpties voor het beheer van de VM

    1. Configureer uw netwerkinstellingen.
    note-icon

    Opmerking: Het is belangrijk om het IP-adres van de DNS-server te configureren waarmee de CSSM FQDN wordt opgelost.

    Configuration of CSSM network settingsConfiguratie van CSSM-netwerkinstellingen

    Klik op OK om uw nieuwe CLI-wachtwoord te configureren.

    1. Vervolgens wordt het installatieproces gestart en voltooid totdat u de toegangsprompt kunt zien.

    CSSM initial configuration completedEerste configuratie van CSSM voltooid

    1. Open een browser en voer https://<ip_address_CSSM> in.

    CSSM login pageCSSM-aanmeldingspagina

    De standaardreferenties gebruiken:

    gebruikersnaam: admin

    Wachtwoord: CiscoAdmin!2345

    1. Selecteer uw taal.
    2. Maak een nieuw GUI-wachtwoord aan.
    3. Configureer de gemeenschappelijke hostnaam. (Voorbeeld: hostname.yourdomain).

    In dit geval is cssm.testlab.local geconfigureerd als gemeenschappelijke hostnaam.

    Host common name configurationConfiguratie van algemene hostnaam

    1. Valideer uw configuratie en klik op Toepassen.

    CSSM initial settings completedDe eerste CSSM-instellingen zijn voltooid.

    CSSM On-Prem integreren met Smart Account

    U moet uw Smart Account koppelen aan uw CSSM On Prem Server.

    1. Open uw Cisco Smart-account via de volgende link:

    https://software.cisco.com/

    1. Kies vervolgens Licenties beheren onder de sectie Slimme softwarebeheer.
    Manage licenses optionLicenties beheren, optie
    1. Navigeer naar Inventory en kopieer de naam van uw Smart Account naam en Virtual Account. In deze handleiding is dit InternalTestDemoAccount67 en AAA MEX TEST.

    Software Cisco pageCisco-softwarepagina

    1. Open de CSSM GUI en selecteer de optie Admin Workspace.

    Main CSSM menuHoofdmenu van CSSM.

    1. Selecteer vervolgens Accounts.

    CSSM AccountsRekeningen.

    1. Selecteer Nieuwe account om een nieuwe registratieaanvraag te maken.

    Creation of CSSM accountHet aanmaken van een CSSM account.

    1. Voer de volgende informatie in:
    • Accountnaam: Dit is een aangepaste naam van het nieuwe register.
    • Cisco Smart Account: Plak uw Smart Account naam.
    • Cisco Virtual Account: Plak de naam van uw virtuele account.
    • E-mail voor melding: Typ uw e-mail.

    Account registrationAccountregistratie.

    Klik op Indienen.

    1. Klik vervolgens op Accountverzoeken.

    U kunt het verzoek gedaan op de vorige stap in deze sectie zien.

    Account request.Rekeningaanvraag.

    1. Klik op Acties.

    Actions optionActies, optie.

    Je hebt drie opties:

    • Goedkeuren: Gebruik deze optie om de CSSM On-Prem via internet te registreren bij uw Smart Account.
    • Afwijzen: Verzoek laten vallen.
    • Handmatige registratie: Gebruik deze optie om de CSSM On-Prem te registreren bij uw Smart Account zonder internet.

     OPTIE 1: Registreer uw CSSM On-Prem via een internetverbinding.

    1. Als u Goedkeuren kiest, moet u uw gebruikersnaam en wachtwoord van uw Cisco Smart-account invoeren en op Indienen klikken.

    Approve optionOptie goedkeuren.

    Klik vervolgens op Volgende om de accountregistratie te accepteren.

    Account registrationAccountregistratie.

    Om de status van de registratie te bevestigen, navigeert u naar Account en de accountstatus moet actief zijn.

    Account statusRekeningoverzicht.

    Open nu uw Smart Account (https://software.cisco.com/). Selecteer vervolgens de optie On-Prem-accounts om het nieuwe register te bekijken.

    On Prem Account.Op rekening van Prem.

    OPTIE 2: Registreer uw CSSM On-Prem zonder internetverbinding.

    Als u Handmatige registratie kiest, klikt u op Registratiebestand genereren. Hierdoor wordt een registratieverzoek gemaakt dat naar uw computer wordt gedownload.

    Manual registration.Handmatige registratie.

    Open vervolgens uw Smart Account (https://software.cisco.com/) en navigeer naar On-Prem Accounts.

    Klik op Nieuw op Prem

    Adding new On-Prem.Nieuwe On-Prem toevoegen.

    Configureer vervolgens de volgende parameters:

    • On-Prem Name: Dit is een aangepaste naam van het nieuwe register.
    • Registratiebestand: Klik op Bestand kiezen en selecteer het registratieverzoek.
    • Virtuele account: Plak de naam van uw virtuele account.

    Authorization file.Machtigingsbestand.

    Klik op Machtigingsbestand genereren.

    Download vervolgens het autorisatiebestand.

    Downloading authorization fileAutorisatiebestand downloaden.

    Open de CSSM GUI om het autorisatiebestand te uploaden. Klik op Bladeren, kies het bestand en klik vervolgens op Uploaden.

    Uploading authorization file.Machtigingsbestand uploaden.

    Navigeer vervolgens naar Synchronisatie en klik op Acties > Handmatige synchronisatie > Volledige synchronisatie.

    Manual Sync.Handmatige synchronisatie.

    Download het aanvraagbestand voor synchronisatie.

    Downloading file SyncBestand downloaden Sync.

    Open uw Smart Account en selecteer On-Prem Account, zoek vervolgens naar uw CSSM On-Prem-naam in de lijst en klik op Acties > Bestandssynchronisatie

    Uploading file SyncBestand uploaden Sync.

    Upload vervolgens het aanvraagbestand voor synchronisatie en klik op Antwoordbestand genereren.

    Generating a response fileGenereer een antwoordbestand.

    Klik vervolgens op Synchronisatiebestand downloaden

    Sync fileSynchroniseer bestand.

    Upload ten slotte het Synch Response File in het CSSM on Premise.

    Sync completedSync voltooid.

     CSSM On-Prem integreren met ISE.

    1. Open de CSSM GUI en selecteer Admin Workspace.

    Main CSSM menu.Hoofdmenu van CSSM.

    1. Navigeer naar Beveiliging > Certificaten > MVO genereren
    note-icon

    Opmerking: Het is belangrijk dat de hostnaam + het domein op de gemeenschappelijke hostnaam is geconfigureerd omdat ISE deze parameter gebruikt om een verbinding met de CSSM tot stand te brengen. U kunt een IP-adres gebruiken in plaats van de hostnaam + domein, maar de aanbeveling is om de hostnaam + domein gebruiken

    note-icon

    Opmerking: in de volgende stappen wordt de procedure beschreven voor de installatie van het GUI-certificaat in het CSSM. Als u de beheerverbinding met uw GUI CSSM wilt beveiligen met behulp van een certificaat dat is ondertekend door uw persoonlijke certificeringsinstantie (CA), moet u de volgende stappen controleren. Controleer anders direct de stap 9.

    CSR optionMVO-optie.

    1. Voer vervolgens uw persoonlijke gegevens in. De alternatieve naam van het onderwerp wordt automatisch gemaakt met dezelfde waarde als de algemene naam. De CSR wordt automatisch gedownload nadat u op Genereren hebt geklikt.

    CSR detailsMVO-details.

    1. Onderteken de CSR: Controleer de optie "Certificaten maken op basis van Windows CA." op dit document voor meer informatie.
    1. Upload het root CA-certificaat.

    Uploading Root CARoot CA wordt geüpload.

    Klik op Doorgaan.

    Proceed optionOptie Doorgaan.

    1. Voer een beschrijving in en kies het basiscertificaat en klik op OK.

    Description root CABeschrijving root CA.

    1. Upload de door de CA ondertekende CSR (CSSM Identity Certificate).

    Uploading CSSM Identity CertCSSM Identity Cert uploaden.

    note-icon

    Opmerking: In ons geval bestaat het tussenliggende certificaat niet in onze CA. Als u echter een tussencertificaat in uw architectuur gebruikt, is het tussencertificaat verplicht.

    8. Controleer vervolgens of beide certificaten zijn geïnstalleerd.

    Certificates validationCertificaten valideren.

    1. Maak een token op de SSM On-Prem: Selecteer licentiewerkruimte.

    Workspace pageWerkruimte pagina.

    1. Ga naar Smart Licensing.

    CSSM Smart licensing pageCSSM Smart-licentiepagina

    1. Zoek naar uw lokale virtuele account, klik vervolgens op Nieuwe token en klik op Doorgaan.

    New token optionNieuwe token-optie.

    1. Selecteer Token maken en kopieer deze.

    Creation of new tokenCreatie van een nieuwe token.

    Token detailsToken-details.

    1. Open de ISE GUI en navigeer naar Beheer > Systemen > Licenties, klik vervolgens op Registratiegegevens, selecteer de SSM On-Prem server Host methode, en plak de token.

    Registration of licensesRegistratie van licenties.

    1. Voer de SSM On-Prem FQDN in op de SSM On-Prem-serverhost en klik op Registreren.

    CSSM and ISE settingsCSSM en ISE instellingen.

    note-icon

    Opmerking: Het is belangrijk dat de hostnaam + het domein is geconfigureerd op de gemeenschappelijke hostnaam omdat ISE deze parameter gebruikt om een verbinding met de CSSM tot stand te brengen. U kunt een IP-adres gebruiken in plaats van de hostnaam + domein, maar de aanbeveling is om de hostnaam + domein gebruiken

    1. Tot slot is de registratie afgerond.

    Registration completedRegistratie voltooid.

     Certificaten maken vanuit Windows CA.

    Als u de beheerder van de certificeringsinstantie bent, moet u het volgende doen:

    1. Open een webbrowser en ga naar http://localhost/certsrv/
    2. Klik op Certificaat aanvragen.

    Request certificateCertificaat aanvragen.

    1. Klik op geavanceerde certificaataanvraag.

    Advanced certificate requestGeavanceerde certificaataanvraag.

    1. Open de eerder gegenereerde CSR.  Kopieer vervolgens de informatie en plak deze op Opgeslagen verzoek.

    Submit certificateCertificaat indienen.

    Nadat u op Indienen hebt geklikt, wordt het certificaat automatisch gedownload.

    1. Download nu de hoofdmap van het CA-certificaat. Navigeer terug naar http://localhost/certsrv/ en selecteer CA-certificaat, certificaatketen of CRL downloaden.

    Download root CADownload root CA.

    1. Download het CA-certificaat met behulp van de coderingsmethode als Base64.

    Base 64 optionOptie Base 64.

    DNS-records toevoegen op Windows Server.

    Als u de beheerder bent, voegt u de ISE- en CSSM-FQDN's toe.

    1. Open de DNS Manager: Typ "DNS" in de Windows-zoeker en open de DNS-app.

    DNS optionDNS-optie.

    1. Navigeer naar Forward Lookup Zones > En kies uw domein.

    DNS managerDNS-beheer.

    1. Klik met de rechtermuisknop op een zwarte ruimte boven het scherm en selecteer "Nieuwe host (A of AAAA)"

    Adding recordRecord toevoegen.

    1. Configureer de record-DNS als de volgende:
    • Naam: De naam van de gastheer.
    • Het IP-adres van het apparaat.

    Klik op "Host toevoegen"

    Record settingsRecord-instellingen.

    Problemen oplossen

    Host/IP-adres is niet bereikbaar.  (Fout bij ISE)

    Not reachable errorBereikbare fout.

    Oplossing 1: Controleer en repareer de DNS-configuratie in de ISE-node.

    1. Open de ISE CLI en typ "nslookup <CSSM_FQDN>"

    In het volgende voorbeeld kunnen we zien dat cssm.testlab.local niet is opgelost vanuit de ISE-node.

    CSSM resolution failedCSSM-resolutie is mislukt.

    De juiste resolutie zou zijn:

    CSSM resolution successfullyCSSM-resolutie met succes.

    actieplan:

    1. Controleer het onderwerp DNS-configuratie in dit document.
    2. Voer de opdracht show running-config in op de ISE CLI om de "ip name-server" te controleren. De "ip name-server" moet overeenkomen met het IP-adres van de DNS-server.

    Oplossing 2: Open de CSSM GUI om te bevestigen dat de gemeenschappelijke hostnaam en het browsercertificaat dezelfde zijn als de CSSM On-Prem server Host-parameter aan de ISE-zijde.

    Verkeerd scenario:

    CSSM resolution and ISE setting are incorrectDe CSSM-resolutie en ISE-instelling zijn onjuist.

    Correct scenario:

    CSSM resolution and ISE setting are correctDe CSSM-resolutie en ISE-instelling zijn correct.

    Actieplan: Zie "ISE- en CSSM-configuratie" in deze handleiding voor meer informatie.

    SSO-service: Cisco kan niet worden bereikt. (Fout bij CSSM On-Prem)

    Account registration failedRegistratie van account mislukt.

    Oplossing: controleer uw internetverbinding.

    actieplan:

    1. Als u een proxy nodig hebt om toegang te krijgen tot internet, gaat u naar Netwerk > Proxy en schakelt u de optie Een proxyserver gebruiken in en klikt u op Toepassen.

    Proxy configurationProxyconfiguratie.

    De algemene naam in de CSR is geen DNS-resolvable hostnaam of IP-adres. Probeer het opnieuw. (Fout bij CSSM On-Prem)

    CSR errorCSR-fout.

    Oplossing: controleer en repareer de DNS-resolutie op de CSSM-server.

    1. Open de CSSM CLI en typ "nslookup <CSSM_FQDN>"

    In het volgende voorbeeld kunnen we zien dat cssm.testlab.local niet is opgelost vanuit de CSSM-server.

    The DNS server is not reachableDe DNS-server is niet bereikbaar.

    De juiste output zou de volgende zijn:

    The DNS server is reachableDe DNS-server is bereikbaar.

    actieplan:

    Controleer de DNS-configuraties op de CSSM On-Prem.

    1. Navigeer naar Netwerk > Algemeen > DNS-instelling.

    De primaire of alternatieve DNS moet hetzelfde zijn als het IP-adres van de DNS-server.

    DNS settingsDNS-instellingen.

    Revisiegeschiedenis

    Revisie Publicatiedatum Opmerkingen
    1.0
    25-Jul-2024
    Eerste vrijgave
    TAC Authored

    Bijgedragen door Cisco-engineers

    • Oscar de Jesus Tegoma Aguilar

    Was dit document nuttig?

    FeedbackFeedback

    Contact Cisco

    Dit document is van toepassing op deze producten