Configurar o CSSM no local e registrar licenças com o ISE

Introdução

Este documento descreve a integração do CSSM On-Prem com o Cisco Identity Service Engine (ISE) e Cisco Smart Account, garantindo uma configuração perfeita.

Pré-requisitos

Requisitos

ISE 3.X

Cisco Smart Software Manager(CSSM) Versão 8 Versão 202304 +

Componentes Utilizados

• Identity Service Engine 3.2 patch 2
• SSM no local 8.20234
• Serviços do Windows Ative Diretory 2016 (DNS e Autoridade de Certificação)
• VMWare ESXi versão 7

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a rede estiver ativa, certifique-se de que você entenda o impacto potencial de qualquer comando.

Configurar

Diagrama de Rede

Topologia geral

Instale o CSSM Local no VMWARE ESXi.

1. Faça o download do Cisco IOS®. Você pode usar o próximo link: https://software.cisco.com/download/home/286285506/type/286326948/release/8-202304

2. Carregue o ISO no VMWARE ESXi.

Navegue até Storage > Datastore Browser.

Seção do navegador de dados

3. Clique em Criar Diretório para criar uma nova pasta (opcional).

Criação de diretório

Neste exemplo, a pasta CSSM foi criada:

Criação de pastas

4. Clique em Carregar e escolha o arquivo ISO.

Carregando ISO

Agora o arquivo ISO está na pasta CSSM:

O carregamento de ISO foi concluído

5. Crie a máquina virtual. navegue até Virtual Machine > Create / Register VM.

Criando uma nova VM etapa 01

6. Escolha Create a new virtual machine e clique em next.

Criando uma nova VM etapa 02

7. Em seguida, configure os próximos parâmetros:

• Nome: Digite o nome da sua máquina virtual.
• Compatibilidade: Selecione ESXi 6.0 ou posterior ou ESXi 6.5 ou posterior. 
• Família de sistemas operacionais convidados: Linux.
• Versão do SO convidado: Escolha CentOS 7 (64 bits) ou Other 2.6x Linux (64 bits)

Clique em Next.

Nome da VM e IOS

8. Selecione seu armazenamento e clique em Avançar.

Lista de armazenamento

9. Configure os próximos parâmetros:

• CPU: 4 no mínimo. A configuração real do vCPU depende do seu requisito de escala

Note: A quantidade de núcleos por soquete precisa ser definida como 1, independentemente do número de soquetes virtuais selecionados. Por exemplo, uma configuração de 4 vCPUs precisa ser configurada como 4 soquetes e 1 núcleo por soquete.

Configuração dos núcleos

• Memória: 8 GB
• Disco rígido: 200 GB e verifique se o provisionamento está definido como Thin Provision.

Configuração do disco

• Adaptador de rede: Selecione o tipo de adaptador E1000 e selecione Connect at Power On.

Definição de configurações de rede

• Unidade de CD/DVD: Escolha "Arquivo ISO de dados" e selecione o arquivo ISO.

imagem ISO

Você pode verificar o resumo das configurações depois de concluir as etapas anteriores.

Resumo da configuração da VM 01

Clique em Next.

10. Clique em Finalizar.

Resumo da configuração da VM 02

Configuração inicial de CSSM no local .

1. No VMWARE ESXi, navegue para Máquinas virtuais, selecione sua VM e clique em Ligar.

Opção Ligar

2. Você tem várias opções para gerenciar o console da VM. Selecione Console > Abrir console do navegador.

Opções para gerenciar a VM

3. Defina suas configurações de rede.

Note: É importante configurar o endereço IP do servidor DNS que resolve o FQDN do CSSM.

Definição das configurações de rede CSSM

Clique em Ok para configurar sua nova senha CLI.

4. Em seguida, o processo de instalação é iniciado e concluído até que você veja o prompt de acesso.

Configuração inicial do CSSM concluída

5. Abra um navegador e digite https://<ip_address_CSSM>.

página de login do CSSM

Usar as credenciais padrão:

Nome de usuário: admin

Senha: CiscoAdmin!2345

6. Selecione seu idioma.
7. Crie uma nova senha da GUI.
8. Configure o nome comum do host. (exemplo: hostname.seudomínio).

Nesse caso, o cssm.testlab.local foi configurado como Host Common Name.

Configuração de nome comum do host

9. Valide sua configuração e clique em Apply.

Configurações iniciais de CSSM concluídas.

Integrar o CSSM no local com Smart Account

Você precisa associar sua Smart Account ao seu CSSM no servidor local.

1. Abra sua Cisco Smart Account usando o próximo link:

https://software.cisco.com/

2. Em seguida, selecione Manage Licenses na seção Smart Software Manager.

	Opção Gerenciar licenças

3. Navegue até Inventário e copie o nome de sua Conta inteligente e Conta virtual. Neste guia, esta é InternalTestDemoAccount67 e AAA MEX TEST.

página Software Cisco

4. Abra a GUI do CSSM e selecione a opção Admin Workspace.

Menu principal do CSSM.

5. Em seguida, selecione Contas.

Contas.

6. Selecione Nova conta para criar uma nova solicitação de registro.

Criação de conta CSSM.

7. Digite as próximas informações:

• Nome da conta: Este é um nome personalizado do novo registro.
• Conta inteligente da Cisco: Cole o nome da sua conta inteligente.
• Conta virtual da Cisco: Cole o nome da Virtual Account.
• Email para notificação: Digite seu email.

Registro de conta.

Clique em Submit.

8. Em seguida, clique em Account Requests.

Você pode ver a solicitação feita na etapa anterior nesta seção.

Solicitação de conta.

9. Clique em ações.

opção Ações.

Você tem três opções:

• Aprovar: Use esta opção para registrar o CSSM no local com sua Conta inteligente pela Internet.
• Reject: Descartar a solicitação.
• Registro manual: Use esta opção para registrar o CSSM no local com sua Conta inteligente sem Internet.

 OPÇÃO 1: Registre seu CSSM no local por meio da conexão com a Internet.

1. Se você escolher Aprovar, será necessário inserir o nome de usuário e a senha da sua Conta inteligente da Cisco e clicar em Enviar.

Opção Aprovar.

Em seguida, clique em avançar para aceitar o registro da conta.

Registro de conta.

Para confirmar o status do registro, navegue até Conta e o status da conta deve ser como ativo.

Status da conta.

Agora abra sua Conta inteligente (https://software.cisco.com/). Em seguida, selecione a opção On-Prem Accounts para ver o novo registro.

Na Conta Local.

OPÇÃO 2: Registre seu CSSM no local sem uma conexão com a Internet.

Se você escolher Manual Registration, clique em Generate Registration File. Isso cria uma solicitação de registro que será baixada para o seu computador.

Registro manual.

Em seguida, abra sua Conta inteligente (https://software.cisco.com/) e navegue até Contas locais.

Clique em Novo no local

Adicionando novo Local.

Em seguida, configure os próximos parâmetros:

• Nome no local: Este é um nome personalizado do novo registro.
• Arquivo de registro: Clique em Choose File e selecione a Registration Request.
• Conta virtual: Cole o nome da Virtual Account.

Arquivo de autorização.

E clique em Gerar arquivo de autorização.

Em seguida, faça o download do arquivo de autorização.

Baixando arquivo de autorização.

Abra a GUI do CSSM para carregar o arquivo de autorização. Clique em Procurar, escolha o arquivo e clique em Carregar.

Carregando arquivo de autorização.

Em seguida, navegue até Sincronização e clique em Ações > Sincronização manual > Sincronização completa.

Manual Sync (Sincronização manual).

Baixe o arquivo de solicitação de sincronização.

Baixando a Sincronização de Arquivos.

Abra sua Smart Account, selecione On-Prem Account, procure seu nome CSSM On-Prem na lista e clique em Ações > Sincronização de arquivos

Carregando sincronização de arquivos.

Em seguida, carregue o arquivo de solicitação de sincronização e clique em Gerar arquivo de resposta.

Gerar um arquivo de resposta.

Em seguida, clique em Download Synch Response File

Sincronizar arquivo.

Por fim, carregue o Synch Response File no CSSM no local.

Sincronização concluída.

 Integrar o CSSM no local com o ISE.

1. Abra a GUI do CSSM e selecione Admin Workspace.

Menu principal do CSSM.

2. Navegue até Segurança > Certificados > Gerar CSR

Note: É importante ter o nome do host + domínio configurado no Nome comum do host , pois o ISE usa esse parâmetro para estabelecer uma conexão com o CSSM. Você pode usar um endereço IP em vez do nome do host + domínio, entretanto a recomendação é usar o nome do host + domínio

Note: As próximas etapas descrevem o procedimento para instalar o certificado da GUI no CSSM. Se você quiser proteger a conexão de gerenciamento ao seu CSSM de GUI usando um certificado assinado por sua CA (Autoridade de Certificação) pessoal, você precisará verificar as próximas etapas. Caso contrário, verifique diretamente a etapa 9.

opção de CSR.

3. Em seguida, insira suas informações pessoais. Esteja ciente de que o Nome alternativo do assunto é criado automaticamente usando o mesmo valor que o Nome comum. O download do CSR é feito automaticamente após clicar em Gerar.
   

Detalhes de CSR.

4. Assine o CSR: Para obter mais informações, consulte "Criar certificados a partir da CA do Windows". neste documento.

5. Carregue o certificado CA raiz.

Carregando CA raiz.

Clique em Continuar.

Opção Prosseguir.

6. Insira uma descrição, escolha o certificado raiz e clique em Ok.

Descrição da CA raiz.

7. Carregue o CSR assinado pela CA (CSSM Identity Certificate).

Carregando o certificado de identidade CSSM.

Note: NOTE: Em nosso caso, o certificado intermediário não existe em nossa CA. No entanto, se você usar um certificado intermediário em sua arquitetura, o certificado intermediário será obrigatório.

8. Em seguida, confirme se ambos os certificados foram instalados.

Validação de certificados.

9. Crie um token no SSM Local: Selecione licenciamento Workspace.

Página do Workspace.

10. navegue até Smart Licensing.

Página de licenciamento do CSSM Smart

11. Procure sua Conta virtual local e clique em Novo token e em Continuar.

Nova opção de token.

12. Selecione Create Token e copie-o.

Criação de novo token.

Detalhes do token.

13. Abra a GUI do ISE e navegue para Administration > Systems > Licensing, em seguida, clique em Registration details, selecione o SSM On-Prem server Host method, e cole o token.

Registro de licenças.

14. Insira o SSM On-Prem FQDN no SSM On-Prem server Host e clique em Register.

Configurações de CSSM e ISE.

Note: É importante ter o nome do host + domínio configurado no Nome comum do host, pois o ISE usa esse parâmetro para estabelecer uma conexão com o CSSM. Você pode usar um endereço IP em vez do nome do host + domínio, entretanto a recomendação é usar o nome do host + domínio

15. E, finalmente, o registro foi completado.

Registro concluído.

 Criar certificados da autoridade de certificação do Windows.

Se você for o administrador da Autoridade de certificação, deverá fazer o seguinte:

1. Abra um navegador e navegue até http://localhost/certsrv/
2. Clique em Request a certificate.

Solicitar certificado.

3. Clique em solicitação de certificado avançado.

Solicitação avançada de certificado.

4. Abra o CSR gerado anteriormente.  Em seguida, copie as informações e cole-as na solicitação salva.

Enviar certificado.

Após clicar em Enviar, o download do certificado é feito automaticamente.

5. Agora baixe a raiz do certificado CA. navegue de volta para http://localhost/certsrv/ e selecione Baixar um Certificado de Autoridade de Certificação, Cadeia de Certificados ou CRL.

Baixar CA raiz.

6. Baixe o certificado CA usando o método de codificação Base64.

Opção de base 64.

Adicionar registros DNS no Windows Server.

Se você for o administrador, adicione os FQDNs do ISE e do CSSM.

1. Abra o DNS Manager: Digite "DNS" no localizador do Windows e abra o aplicativo DNS.

opção DNS.

2. Navegue até Forward Lookup Zones > E escolha seu domínio.

gerenciador DNS.

3. Clique com o botão direito do mouse em um espaço preto sobre a tela e selecione "New Host (A or AAAA)"

Adicionando registro.

4. Configure o registro DNS como o seguinte:

• Nome: Significa o nome do host.
• O endereço IP do dispositivo.

Clique em "Add Host"

Configurações de gravação.

Troubleshooting

Host/Endereço IP não está acessível. (Erro no ISE)

Erro alcançável.

Solução 1: Verifique e corrija a configuração DNS no nó ISE.

1. Abra o ISE CLI e digite "nslookup <CSSM_FQDN>"

No próximo exemplo, podemos ver que cssm.testlab.local não foi resolvido no nó ISE.

Falha na resolução CSSM.

A resolução correta seria:

Resolução CSSM com êxito.

Plano de ação:

1. Verifique o tópico de configuração de DNS neste documento.
2. Insira o comando show running-config na CLI do ISE para verificar o "ip name-server". O "ip name-server" precisa coincidir com o endereço IP do servidor DNS.

Solução 2: Abra a GUI do CSSM para confirmar se o nome comum do host e o certificado do navegador são os mesmos que o parâmetro host do servidor local CSSM no lado do ISE.

Cenário errado:

A resolução CSSM e a configuração ISE estão incorretas.

Cenário correto:

A resolução CSSM e a configuração ISE estão corretas.

Plano de ação: Consulte "Configuração do ISE e do CSSM" neste guia para obter mais informações.

Serviço SSO: Não é possível contatar a Cisco. (Erro no CSSM no local)

Falha no registro da conta.

Solução: Verifique sua conectividade com a Internet.

Plano de ação:

1. Se precisar de um proxy para obter acesso à Internet, navegue para Rede > Proxy, ative a opção Usar um servidor proxy e clique em Aplicar.

Configuração de proxy.

O nome comum no CSR não é um nome de host ou endereço IP que possa ser resolvido por DNS. Tente novamente. (Erro no CSSM Local)

Erro de CSR.

Solução: Verifique e corrija a resolução DNS no servidor CSSM.

1. Abra o CSSM CLI e digite "nslookup <CSSM_FQDN>"

No próximo exemplo, podemos ver que cssm.testlab.local não foi resolvido no servidor CSSM.

O servidor DNS não está acessível.

A saída correta seria a seguinte:

O servidor DNS está acessível.

Plano de ação:

Verifique as configurações DNS no CSSM Local.

1. navegue até Network > General > DNS Setting.

O DNS primário ou alternativo precisa ser o mesmo que o endereço IP do servidor DNS.

Configurações DNS.