在Prem上配置CSSM并向ISE注册许可证

简介

本文档介绍CSSM本地与思科身份服务引擎(ISE)和思科智能帐户的集成，从而确保无缝设置。

先决条件

要求

ISE 3.X

思科智能软件管理器(CSSM)版本8版202304+

使用的组件

• 身份服务引擎3.2补丁2
• Prem 8.20234上的SSM
• Windows Active Directory 2016(DNS和证书授权服务)
• VMWare ESXi版本7

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始（默认）配置。如果您的网络处于活动状态，请确保您了解所有命令的潜在影响。

配置

网络图

常规拓扑

在VMWARE ESXi上本地安装CSSM。

1. 下载Cisco IOS®。您可以使用下一个链接：https://software.cisco.com/download/home/286285506/type/286326948/release/8-202304

2.在VMWARE ESXi中上传ISO。

导航到Storage > Datastore Browser。

Data Browser部分

3.单击创建目录以创建新文件夹（可选）。

创建目录

在本示例中，CSSM文件夹已创建：

创建文件夹

4.单击上传，然后选择ISO文件。

上传ISO

现在，ISO文件位于CSSM文件夹中：

ISO上传已完成

5.创建虚拟机。导航到Virtual Machine > Create / Register VM。

创建新VM第01步

6.选择Create a new virtual machine，然后单击next。

创建新VM第02步

7.然后配置以下参数：

• 名称：输入虚拟机的名称。
• 兼容性:选择ESXi 6.0或更高版本或ESXi 6.5或更高版本。 
• 访客OS系列:Linux。
• 访客OS版本:选择CentOS 7（64位）或其他2.6x Linux（64位）

单击 Next。

VM名称和IOS

8.选择存储并单击下一步。

存储列表

9.配置以下参数：

• CPU:最少4个。实际的vCPU设置取决于您的扩展要求

注意：无论选择多少虚拟插槽，每个插槽的核心数量都需要设置为1。例如，4个vCPU配置需要配置为4个插槽，每个插槽1个核心。

核心配置

• 内存:8 GB
• 硬盘:200 GB，并确认调配设置为Thin Provision。

磁盘配置

• 网络适配器：选择E1000适配器类型，然后选择Connect at Power On。

配置网络设置

• CD / DVD驱动器:选择“数据ISO文件”，然后选择ISO文件。

ISO映像

完成上述步骤后，您可以验证设置摘要。

摘要VM配置01

单击 Next。

10.单击完成。

摘要VM配置02

CSSM本地的初始配置。

1. 在VMWARE ESXi中，导航到Virtual Machines并选择VM，然后单击Power On。

加电选项

2. 您可以通过多个选项来管理VM控制台。选择控制台>打开浏览器控制台。

用于管理虚拟机的选项

3. 配置网络设置。

注意：配置解析CSSM FQDN的DNS服务器的IP地址非常重要。

配置CSSM网络设置

单击Ok配置您的新CLI密码。

4. 然后，安装过程开始并完成，直到您看到访问提示符。

CSSM初始配置已完成

5. 打开浏览器并输入https://<ip_address_CSSM>。

CSSM登录页

使用默认凭证：

username：admin

密码：CiscoAdmin!2345

6. 选择您的语言。
7. 创建新的GUI密码。
8. 配置主机公用名。（示例：hostname.yourdomain)。

在本例中，cssm.testlab.local被配置为主机公用名。

主机公用名配置

9. 验证您的配置，然后单击Apply。

CSSM初始设置已完成。

将CSSM本地与智能帐户集成

您需要将智能帐户与Prem Server上的CSSM相关联。

1. 使用下一个链接打开您的思科智能帐户：

https://software.cisco.com/

2. 然后，在智能软件管理器部分下选择Manage Licenses。

	管理许可证选项

3. 导航到Inventory并复制您的智能帐户名称和虚拟帐户的名称。在本指南中，这是InternalTestDemoAccount67和AAA MEX TEST。

软件思科页面

4. 打开CSSM GUI并选择Admin Workspace选项。

CSSM主菜单。

5. 然后选择帐户。

帐户。

6. 选择New Account以创建新的注册请求。

创建CSSM帐户。

7. 输入下一个信息：

• 帐户名:这是新寄存器的自定义名称。
• 思科智能帐户：粘贴您的智能帐户名称。
• 思科虚拟帐户：粘贴虚拟帐户名称。
• 通知电邮：键入您的电子邮件。

账户注册.

单击 submit。

8. 然后单击Account Requests。

您可以在本节中看到上一步骤中完成的请求。

帐户请求。

9. 单击actions。

操作选项。

您有三种选择：

• 批准：使用此选项通过Internet将CSSM内部注册到您的智能帐户。
• 拒绝：删除请求。
• 手动注册：使用此选项可在没有Internet的智能帐户中注册CSSM本地。

 选项 1：通过Internet连接在内部注册CSSM。

1. 如果选择Approve，您需要输入您的思科智能帐户的用户名和密码，然后单击Submit。

Approve选项。

然后单击next接受帐户注册。

账户注册.

要确认注册状态，请导航到Account，并且Account状态必须处于active。

帐户状态。

现在打开您的智能帐户(https://software.cisco.com/)。 然后选择On-Prem Accounts选项以查看新的注册表。

内部帐户。

选项 2：注册您的CSSM，无需互联网连接。

如果选择Manual Registration，请单击Generate Registration File。这将创建注册请求，该请求将下载到您的计算机。

手动注册。

然后打开您的智能帐户(https://software.cisco.com/)，并导航到内部帐户。

单击New On-Prem

正在添加新本地。

然后配置以下参数：

• 内部名称：这是新寄存器的自定义名称。
• 注册文件：单击Choose File并选择Registration Request。
• 虚拟帐户：粘贴虚拟帐户名称。

授权文件。

然后单击Generate Authorization File。

然后下载授权文件。

正在下载授权文件。

打开CSSM GUI上传授权文件。单击Browse，选择文件，然后单击Upload。

正在上传授权文件。

然后导航到同步，然后单击操作 > 手动同步 > 完全同步。

手动同步。

下载同步请求文件。

正在下载文件同步。

打开您的智能帐户并选择本地帐户，然后在列表中查找您的CSSM本地名称，然后单击操作>文件同步

正在上传文件同步。

然后上传同步请求文件，然后单击生成响应文件。

生成响应文件。

然后点击下载同步响应文件

同步文件。

最后，将同步响应文件上传到CSSM on Premise。

同步已完成。

 将CSSM内部部署与ISE集成。

1. 打开CSSM GUI并选择Admin Workspace。

CSSM主菜单。

2. 导航到安全>证书>生成CSR

注意：在主机公用名上配置主机名+域非常重要，因为ISE使用此参数与CSSM建立连接。可以使用IP地址而不是hostname + domain，但建议使用hostname + domain

注意：接下来的步骤介绍在CSSM中安装GUI证书的过程。如果要使用由个人证书颁发机构(CA)签名的证书保护与GUI CSSM的管理连接，您需要检查后续步骤。否则，请直接检查步骤9。

CSR选项。

3. 然后输入您的个人信息。请注意，Subject Alternative Name是使用与Common Name相同的值自动创建的。点击Generate后将自动下载CSR。
   

CSR详细信息。

4. 签署CSR:有关详细信息，请选中从Windows CA创建证书。 在本文档中。

5. 上传根CA证书。

正在上传根CA。

单击Proceed。

Proceed选项。

6. 输入说明并选择根证书，然后单击确定。

描述根CA。

7. 上传由CA(CSSM身份证书)签名的CSR。

上传CSSM身份证书。

注意：NOTE:在本例中，中间证书不在我们的CA中。但是，如果您在架构中使用中间证书，则中间证书是必需的。

8.然后，确认两个证书均已安装。

证书验证。

9. 在SSM上本地创建令牌：选择许可工作空。

工作空间页面。

10. 导航到智能许可。

CSSM智能许可页面

11. 查找您的本地虚拟帐户，然后单击New Token，然后单击Proceed。

新令牌选项。

12. 选择Create Token并复制它。

创建新令牌。

令牌详细信息。

13. 打开ISE GUI并导航到Administration > Systems > Licensing，然后点击Registration details，选择SSM内部服务器主机方法，然后粘贴令牌。

许可证注册。

14. 在SSM On-Prem Server Host上输入SSM On-Prem FQDN，然后单击Register。

CSSM和ISE设置。

注意：在主机公用名上配置主机名+域非常重要，因为ISE使用此参数与CSSM建立连接。您可以使用IP地址而不是hostname + domain，但建议使用hostname + domain

15. 最后，注册完成。

注册已完成。

 从Windows CA创建证书。

如果您是证书颁发机构的管理员，则必须执行以下操作：

1. 打开Web浏览器并导航至http://localhost/certsrv/
2. 单击Request a certificate。

请求证书。

3. 单击高级证书请求。

高级证书请求。

4. 打开先前生成的CSR。  然后复制信息并将其粘贴到Saved request上。

提交证书。

单击Submit后，将自动下载证书。

5. 现在下载CA证书根。导航回http://localhost/certsrv/并选择下载CA证书、证书链或CRL。

下载根CA。

6. 使用编码方法作为Base64下载CA证书。

Base 64选项。

在Windows服务器上添加DNS记录。

如果您是管理员，请添加ISE和CSSM FQDN。

1. 打开DNS管理器:在Windows查找器中键入“DNS”并打开DNS应用。

DNS选项。

2. 导航到Forward Lookup Zones，然后选择您的域。

DNS管理器。

3. 右键单击屏幕上的黑色空白并选择“New Host(A or AAAA)”

正在添加记录。

4. 将记录DNS配置为下一个：

• 名称：表示主机的名称。
• 设备的IP地址。

点击“添加主机”

录制设置。

故障排除

主机/IP地址不可访问。(ISE上出错)

可访问错误。

解决方案 1：检查并修复ISE节点中的DNS配置。

1. 打开ISE CLI并键入“nslookup <CSSM_FQDN>”

在下一个示例中，我们可以看到cssm.testlab.local未从ISE节点解析。

CSSM解析失败。

正确的解决方案是：

CSSM解析成功。

行动计划:

1. 检查本文档上的DNS配置主题。
2. 在ISE CLI上输入show running-config命令以检查“ip name-server”。“ip name-server”需要与DNS服务器的IP地址匹配。

解决方案 2：打开CSSM GUI以确认ISE端上的Host Common Name和Browser Certificate与CSSM On-Prem server Host参数相同。

错误的场景：

CSSM分辨率和ISE设置不正确。

正确情况:

CSSM分辨率和ISE设置正确。

行动计划:有关详细信息，请参阅本指南中的“ISE和CSSM配置”。

SSO服务：无法访问思科。（本地CSSM上的错误）

帐户注册失败。

解决方案：检查与Internet的连接。

行动计划:

1. 如果需要代理才能访问Internet，请导航到网络>代理，并启用使用代理服务器选项，然后单击应用。

代理配置.

CSR中的公用名不是DNS可解析的主机名或IP地址，请重试。（CSSM本地出错）

CSR错误。

解决方案：检查并修复CSSM服务器上的DNS解析。

1. 打开CSSM CLI并键入“nslookup <CSSM_FQDN>”

在下一个示例中，我们可以看到cssm.testlab.local未从CSSM服务器解析。

无法访问DNS服务器。

正确的输出是下一个：

DNS服务器可访问。

行动计划:

检查CSSM本地交换机上的DNS配置。

1. 导航到网络 > 常规 > DNS设置。

Primary or Alternate DNS需要与DNS服务器的IP地址相同。

DNS设置。