Configurar o CSSM no local e registrar licenças com o ISE

Opções de download

  • PDF     (5.1 MB)
    Ver no Adobe Reader em vários dispositivos
Atualizado:25 de julho de 2024
ID do documento:222207

Linguagem imparcial

O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.

Sobre esta tradução

A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.

    Introdução

    Este documento descreve a integração do CSSM On-Prem com o Cisco Identity Service Engine (ISE) e Cisco Smart Account, garantindo uma configuração perfeita.

    Pré-requisitos

    Requisitos

    ISE 3.X

    Cisco Smart Software Manager(CSSM) Versão 8 Versão 202304 +

    Componentes Utilizados

    • Identity Service Engine 3.2 patch 2
    • SSM no local 8.20234
    • Serviços do Windows Ative Diretory 2016 (DNS e Autoridade de Certificação)
    • VMWare ESXi versão 7

    As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a rede estiver ativa, certifique-se de que você entenda o impacto potencial de qualquer comando.

    Configurar

    Diagrama de Rede

    General topologyTopologia geral

    Instale o CSSM Local no VMWARE ESXi.

    1. Faça o download do Cisco IOS®. Você pode usar o próximo link: https://software.cisco.com/download/home/286285506/type/286326948/release/8-202304

    2. Carregue o ISO no VMWARE ESXi.

    Navegue até Storage > Datastore Browser.

    Data browser sectionSeção do navegador de dados

    3. Clique em Criar Diretório para criar uma nova pasta (opcional).

    Creation of directoryCriação de diretório

    Neste exemplo, a pasta CSSM foi criada:

    Creation of foldersCriação de pastas

    4. Clique em Carregar e escolha o arquivo ISO.

    Uploading ISOCarregando ISO

    Agora o arquivo ISO está na pasta CSSM:

    The ISO upload is completedO carregamento de ISO foi concluído

    5. Crie a máquina virtual. navegue até Virtual Machine > Create / Register VM.

    Creating a new VM step 01Criando uma nova VM etapa 01

    6. Escolha Create a new virtual machine e clique em next.

    Creating a new VM step 02Criando uma nova VM etapa 02

    7. Em seguida, configure os próximos parâmetros:

    • Nome: Digite o nome da sua máquina virtual.
    • Compatibilidade: Selecione ESXi 6.0 ou posterior ou ESXi 6.5 ou posterior. 
    • Família de sistemas operacionais convidados: Linux.
    • Versão do SO convidado: Escolha CentOS 7 (64 bits) ou Other 2.6x Linux (64 bits)

    Clique em Next.

    VM name and IOSNome da VM e IOS

    8. Selecione seu armazenamento e clique em Avançar.

    Storage listLista de armazenamento

    9. Configure os próximos parâmetros:

    • CPU: 4 no mínimo. A configuração real do vCPU depende do seu requisito de escala
    note-icon

    Note: A quantidade de núcleos por soquete precisa ser definida como 1, independentemente do número de soquetes virtuais selecionados. Por exemplo, uma configuração de 4 vCPUs precisa ser configurada como 4 soquetes e 1 núcleo por soquete.

    Configuration of CoresConfiguração dos núcleos

    • Memória: 8 GB
    • Disco rígido: 200 GB e verifique se o provisionamento está definido como Thin Provision.

    Configuration of diskConfiguração do disco

    • Adaptador de rede: Selecione o tipo de adaptador E1000 e selecione Connect at Power On.

    Configuration of network settingsDefinição de configurações de rede

    • Unidade de CD/DVD: Escolha "Arquivo ISO de dados" e selecione o arquivo ISO.

    ISO imageimagem ISO

    Você pode verificar o resumo das configurações depois de concluir as etapas anteriores.

    Summary VM configuration 01Resumo da configuração da VM 01

    Clique em Next.

    10. Clique em Finalizar.

    Summary VM configuration 02Resumo da configuração da VM 02

    Configuração inicial de CSSM no local .

    1. No VMWARE ESXi, navegue para Máquinas virtuais, selecione sua VM e clique em Ligar.

    Power on optionOpção Ligar

    1. Você tem várias opções para gerenciar o console da VM. Selecione Console > Abrir console do navegador.

    Options to manage the VMOpções para gerenciar a VM

    1. Defina suas configurações de rede.
    note-icon

    Note: É importante configurar o endereço IP do servidor DNS que resolve o FQDN do CSSM.

    Configuration of CSSM network settingsDefinição das configurações de rede CSSM

    Clique em Ok para configurar sua nova senha CLI.

    1. Em seguida, o processo de instalação é iniciado e concluído até que você veja o prompt de acesso.

    CSSM initial configuration completedConfiguração inicial do CSSM concluída

    1. Abra um navegador e digite https://<ip_address_CSSM>.

    CSSM login pagepágina de login do CSSM

    Usar as credenciais padrão:

    Nome de usuário: admin

    Senha: CiscoAdmin!2345

    1. Selecione seu idioma.
    2. Crie uma nova senha da GUI.
    3. Configure o nome comum do host. (exemplo: hostname.seudomínio).

    Nesse caso, o cssm.testlab.local foi configurado como Host Common Name.

    Host common name configurationConfiguração de nome comum do host

    1. Valide sua configuração e clique em Apply.

    CSSM initial settings completedConfigurações iniciais de CSSM concluídas.

    Integrar o CSSM no local com Smart Account

    Você precisa associar sua Smart Account ao seu CSSM no servidor local.

    1. Abra sua Cisco Smart Account usando o próximo link:

    https://software.cisco.com/

    1. Em seguida, selecione Manage Licenses na seção Smart Software Manager.
    Manage licenses optionOpção Gerenciar licenças
    1. Navegue até Inventário e copie o nome de sua Conta inteligente e Conta virtual. Neste guia, esta é InternalTestDemoAccount67 e AAA MEX TEST.

    Software Cisco pagepágina Software Cisco

    1. Abra a GUI do CSSM e selecione a opção Admin Workspace.

    Main CSSM menuMenu principal do CSSM.

    1. Em seguida, selecione Contas.

    CSSM AccountsContas.

    1. Selecione Nova conta para criar uma nova solicitação de registro.

    Creation of CSSM accountCriação de conta CSSM.

    1. Digite as próximas informações:
    • Nome da conta: Este é um nome personalizado do novo registro.
    • Conta inteligente da Cisco: Cole o nome da sua conta inteligente.
    • Conta virtual da Cisco: Cole o nome da Virtual Account.
    • Email para notificação: Digite seu email.

    Account registrationRegistro de conta.

    Clique em Submit.

    1. Em seguida, clique em Account Requests.

    Você pode ver a solicitação feita na etapa anterior nesta seção.

    Account request.Solicitação de conta.

    1. Clique em ações.

    Actions optionopção Ações.

    Você tem três opções:

    • Aprovar: Use esta opção para registrar o CSSM no local com sua Conta inteligente pela Internet.
    • Reject: Descartar a solicitação.
    • Registro manual: Use esta opção para registrar o CSSM no local com sua Conta inteligente sem Internet.

     OPÇÃO 1: Registre seu CSSM no local por meio da conexão com a Internet.

    1. Se você escolher Aprovar, será necessário inserir o nome de usuário e a senha da sua Conta inteligente da Cisco e clicar em Enviar.

    Approve optionOpção Aprovar.

    Em seguida, clique em avançar para aceitar o registro da conta.

    Account registrationRegistro de conta.

    Para confirmar o status do registro, navegue até Conta e o status da conta deve ser como ativo.

    Account statusStatus da conta.

    Agora abra sua Conta inteligente (https://software.cisco.com/). Em seguida, selecione a opção On-Prem Accounts para ver o novo registro.

    On Prem Account.Na Conta Local.

    OPÇÃO 2: Registre seu CSSM no local sem uma conexão com a Internet.

    Se você escolher Manual Registration, clique em Generate Registration File. Isso cria uma solicitação de registro que será baixada para o seu computador.

    Manual registration.Registro manual.

    Em seguida, abra sua Conta inteligente (https://software.cisco.com/) e navegue até Contas locais.

    Clique em Novo no local

    Adding new On-Prem.Adicionando novo Local.

    Em seguida, configure os próximos parâmetros:

    • Nome no local: Este é um nome personalizado do novo registro.
    • Arquivo de registro: Clique em Choose File e selecione a Registration Request.
    • Conta virtual: Cole o nome da Virtual Account.

    Authorization file.Arquivo de autorização.

    E clique em Gerar arquivo de autorização.

    Em seguida, faça o download do arquivo de autorização.

    Downloading authorization fileBaixando arquivo de autorização.

    Abra a GUI do CSSM para carregar o arquivo de autorização. Clique em Procurar, escolha o arquivo e clique em Carregar.

    Uploading authorization file.Carregando arquivo de autorização.

    Em seguida, navegue até Sincronização e clique em Ações > Sincronização manual > Sincronização completa.

    Manual Sync.Manual Sync (Sincronização manual).

    Baixe o arquivo de solicitação de sincronização.

    Downloading file SyncBaixando a Sincronização de Arquivos.

    Abra sua Smart Account, selecione On-Prem Account, procure seu nome CSSM On-Prem na lista e clique em Ações > Sincronização de arquivos

    Uploading file SyncCarregando sincronização de arquivos.

    Em seguida, carregue o arquivo de solicitação de sincronização e clique em Gerar arquivo de resposta.

    Generating a response fileGerar um arquivo de resposta.

    Em seguida, clique em Download Synch Response File

    Sync fileSincronizar arquivo.

    Por fim, carregue o Synch Response File no CSSM no local.

    Sync completedSincronização concluída.

     Integrar o CSSM no local com o ISE.

    1. Abra a GUI do CSSM e selecione Admin Workspace.

    Main CSSM menu.Menu principal do CSSM.

    1. Navegue até Segurança > Certificados > Gerar CSR
    note-icon

    Note: É importante ter o nome do host + domínio configurado no Nome comum do host , pois o ISE usa esse parâmetro para estabelecer uma conexão com o CSSM. Você pode usar um endereço IP em vez do nome do host + domínio, entretanto a recomendação é usar o nome do host + domínio

    note-icon

    Note: As próximas etapas descrevem o procedimento para instalar o certificado da GUI no CSSM. Se você quiser proteger a conexão de gerenciamento ao seu CSSM de GUI usando um certificado assinado por sua CA (Autoridade de Certificação) pessoal, você precisará verificar as próximas etapas. Caso contrário, verifique diretamente a etapa 9.

    CSR optionopção de CSR.

    1. Em seguida, insira suas informações pessoais. Esteja ciente de que o Nome alternativo do assunto é criado automaticamente usando o mesmo valor que o Nome comum. O download do CSR é feito automaticamente após clicar em Gerar.

    CSR detailsDetalhes de CSR.

    1. Assine o CSR: Para obter mais informações, consulte "Criar certificados a partir da CA do Windows". neste documento.
    1. Carregue o certificado CA raiz.

    Uploading Root CACarregando CA raiz.

    Clique em Continuar.

    Proceed optionOpção Prosseguir.

    1. Insira uma descrição, escolha o certificado raiz e clique em Ok.

    Description root CADescrição da CA raiz.

    1. Carregue o CSR assinado pela CA (CSSM Identity Certificate).

    Uploading CSSM Identity CertCarregando o certificado de identidade CSSM.

    note-icon

    Note: NOTE: Em nosso caso, o certificado intermediário não existe em nossa CA. No entanto, se você usar um certificado intermediário em sua arquitetura, o certificado intermediário será obrigatório.

    8. Em seguida, confirme se ambos os certificados foram instalados.

    Certificates validationValidação de certificados.

    1. Crie um token no SSM Local: Selecione licenciamento Workspace.

    Workspace pagePágina do Workspace.

    1. navegue até Smart Licensing.

    CSSM Smart licensing pagePágina de licenciamento do CSSM Smart

    1. Procure sua Conta virtual local e clique em Novo token e em Continuar.

    New token optionNova opção de token.

    1. Selecione Create Token e copie-o.

    Creation of new tokenCriação de novo token.

    Token detailsDetalhes do token.

    1. Abra a GUI do ISE e navegue para Administration > Systems > Licensing, em seguida, clique em Registration details, selecione o SSM On-Prem server Host method, e cole o token.

    Registration of licensesRegistro de licenças.

    1. Insira o SSM On-Prem FQDN no SSM On-Prem server Host e clique em Register.

    CSSM and ISE settingsConfigurações de CSSM e ISE.

    note-icon

    Note: É importante ter o nome do host + domínio configurado no Nome comum do host, pois o ISE usa esse parâmetro para estabelecer uma conexão com o CSSM. Você pode usar um endereço IP em vez do nome do host + domínio, entretanto a recomendação é usar o nome do host + domínio

    1. E, finalmente, o registro foi completado.

    Registration completedRegistro concluído.

     Criar certificados da autoridade de certificação do Windows.

    Se você for o administrador da Autoridade de certificação, deverá fazer o seguinte:

    1. Abra um navegador e navegue até http://localhost/certsrv/
    2. Clique em Request a certificate.

    Request certificateSolicitar certificado.

    1. Clique em solicitação de certificado avançado.

    Advanced certificate requestSolicitação avançada de certificado.

    1. Abra o CSR gerado anteriormente.  Em seguida, copie as informações e cole-as na solicitação salva.

    Submit certificateEnviar certificado.

    Após clicar em Enviar, o download do certificado é feito automaticamente.

    1. Agora baixe a raiz do certificado CA. navegue de volta para http://localhost/certsrv/ e selecione Baixar um Certificado de Autoridade de Certificação, Cadeia de Certificados ou CRL.

    Download root CABaixar CA raiz.

    1. Baixe o certificado CA usando o método de codificação Base64.

    Base 64 optionOpção de base 64.

    Adicionar registros DNS no Windows Server.

    Se você for o administrador, adicione os FQDNs do ISE e do CSSM.

    1. Abra o DNS Manager: Digite "DNS" no localizador do Windows e abra o aplicativo DNS.

    DNS optionopção DNS.

    1. Navegue até Forward Lookup Zones > E escolha seu domínio.

    DNS managergerenciador DNS.

    1. Clique com o botão direito do mouse em um espaço preto sobre a tela e selecione "New Host (A or AAAA)"

    Adding recordAdicionando registro.

    1. Configure o registro DNS como o seguinte:
    • Nome: Significa o nome do host.
    • O endereço IP do dispositivo.

    Clique em "Add Host"

    Record settingsConfigurações de gravação.

    Troubleshooting

    Host/Endereço IP não está acessível. (Erro no ISE)

    Not reachable errorErro alcançável.

    Solução 1: Verifique e corrija a configuração DNS no nó ISE.

    1. Abra o ISE CLI e digite "nslookup <CSSM_FQDN>"

    No próximo exemplo, podemos ver que cssm.testlab.local não foi resolvido no nó ISE.

    CSSM resolution failedFalha na resolução CSSM.

    A resolução correta seria:

    CSSM resolution successfullyResolução CSSM com êxito.

    Plano de ação:

    1. Verifique o tópico de configuração de DNS neste documento.
    2. Insira o comando show running-config na CLI do ISE para verificar o "ip name-server". O "ip name-server" precisa coincidir com o endereço IP do servidor DNS.

    Solução 2: Abra a GUI do CSSM para confirmar se o nome comum do host e o certificado do navegador são os mesmos que o parâmetro host do servidor local CSSM no lado do ISE.

    Cenário errado:

    CSSM resolution and ISE setting are incorrectA resolução CSSM e a configuração ISE estão incorretas.

    Cenário correto:

    CSSM resolution and ISE setting are correctA resolução CSSM e a configuração ISE estão corretas.

    Plano de ação: Consulte "Configuração do ISE e do CSSM" neste guia para obter mais informações.

    Serviço SSO: Não é possível contatar a Cisco. (Erro no CSSM no local)

    Account registration failedFalha no registro da conta.

    Solução: Verifique sua conectividade com a Internet.

    Plano de ação:

    1. Se precisar de um proxy para obter acesso à Internet, navegue para Rede > Proxy, ative a opção Usar um servidor proxy e clique em Aplicar.

    Proxy configurationConfiguração de proxy.

    O nome comum no CSR não é um nome de host ou endereço IP que possa ser resolvido por DNS. Tente novamente. (Erro no CSSM Local)

    CSR errorErro de CSR.

    Solução: Verifique e corrija a resolução DNS no servidor CSSM.

    1. Abra o CSSM CLI e digite "nslookup <CSSM_FQDN>"

    No próximo exemplo, podemos ver que cssm.testlab.local não foi resolvido no servidor CSSM.

    The DNS server is not reachableO servidor DNS não está acessível.

    A saída correta seria a seguinte:

    The DNS server is reachableO servidor DNS está acessível.

    Plano de ação:

    Verifique as configurações DNS no CSSM Local.

    1. navegue até Network > General > DNS Setting.

    O DNS primário ou alternativo precisa ser o mesmo que o endereço IP do servidor DNS.

    DNS settingsConfigurações DNS.

    Histórico de revisões

    Revisão Data de publicação Comentários
    1.0
    25-Jul-2024
    Versão inicial
    TAC Authored

    Colaborado por engenheiros da Cisco

    • Oscar de Jesus Tegoma Aguilar

    Este documento lhe foi útil?

    FeedbackFeedback

    Contate a Cisco

    Este documento se refere a estes produtos