在Prem上配置许可证中心并向ISE注册许可证
目录
简介
本文档介绍思科许可证中心现场与思科身份服务引擎(ISE)和思科智能帐户的集成,以确保无缝设置。
先决条件
要求
- ISE 3.X
- 思科许可证中心版本8版本202304 +
使用的组件
- 身份服务引擎3.2补丁2
- 思科高级版8.20234上的许可证中心
- Windows Active Directory 2016(DNS和证书颁发机构服务)
- VMWare ESXi版本7
本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您的网络处于活动状态,请确保您了解所有命令的潜在影响。
配置
网络图
常规拓扑
在VMWARE ESXi上本地安装思科许可证中心
- 下载Cisco IOS®。您可以使用下一个链接:https://software.cisco.com/download/home/286285506/type/286326948/release/8-202304
2.上传VMWARE ESXi中的ISO。
导航到Storage > Datastore Browser。
Data Browser部分
3.单击创建目录以创建新文件夹(可选)。
创建目录
在本示例中,创建了Cisco License Central文件夹:
创建文件夹
4.单击上传,然后选择ISO文件。
上传ISO
现在,ISO文件位于Cisco License Central文件夹中:
ISO上传已完成
5.创建虚拟机。导航到Virtual Machine > Create / Register VM。
创建新VM第01步
6.选择Create a new virtual machine,然后单击next。
创建新VM第02步
7.然后配置以下参数:
- 名称:输入虚拟机的名称。
- 兼容性:选择ESXi 6.0或更高版本或ESXi 6.5或更高版本。
- 访客OS系列:Linux.
- 访客OS版本:选择CentOS 7(64位)或其他2.6x Linux(64位)
单击 Next。
VM名称和IOS
8.选择存储,然后单击下一步。
存储列表
9.配置以下参数:
- CPU:最少4个。实际的vCPU设置取决于您的扩展要求
注意:无论选择多少虚拟插槽,每个插槽的核心数量都需要设置为1。例如,4个vCPU配置需要配置为4个插槽,每个插槽1个核心。
核心配置
- 内存:8 GB
- 硬盘:200 GB,并确认调配设置为Thin Provision。
磁盘配置
- 网络适配器:选择E1000适配器类型,然后选择Connect at Power On。
配置网络设置
- CD / DVD驱动器:选择数据ISO文件,然后选择ISO文件。
ISO映像
完成上述步骤后,您可以验证设置摘要。
摘要VM配置01
单击 Next。
10.单击完成。
摘要VM配置02
本地思科许可证中心的初始配置
- 在VMWARE ESXi中,导航到Virtual Machines并选择VM,然后单击Power On。
加电选项
- 您可以通过多个选项来管理VM控制台。选择控制台>打开浏览器控制台。
用于管理虚拟机的选项
- 配置网络设置。
注意:配置用于解析思科许可中心FQDN的DNS服务器的IP地址非常重要。
配置CSSM网络设置
单击Ok配置您的新CLI密码。
- 然后,安装过程开始并完成,直到您看到访问提示符。
CSSM初始配置已完成
- 打开浏览器并输入https://<ip_address_Cisco License Central>。
CSSM登录页
使用默认凭证:
- username:admin
- 密码:CiscoAdmin!2345
- 选择您的语言。
- 创建新的GUI密码。
- 配置主机公用名。(示例:hostname.yourdomain)。
在本例中,cssm.testlab.local被配置为主机公用名。
主机公用名配置
- 验证您的配置,然后单击Apply。
CSSM初始设置已完成。
将思科许可证中心内部与智能帐户集成
您需要将智能帐户与高级服务器上的思科许可证中心关联。
- 使用下一个链接打开您的思科智能帐户:
- 然后选择Cisco License Central部分下的Manage Licenses。
 管理许可证选项 |
- 导航到Inventory并复制您的智能帐户名称和虚拟帐户的名称。在本指南中,这是InternalTestDemoAccount67和AAA MEX TEST。
软件思科页面
- 打开思科许可证中心GUI并选择Admin Workspace选项。
CSSM主菜单。
- 然后选择帐户。
帐户。
- 选择New Account以创建新的注册请求。
创建CSSM帐户。
- 输入下一个信息:
- 帐户名:这是新寄存器的自定义名称。
- 思科智能帐户:粘贴您的智能帐户名称。
- 思科虚拟帐户:粘贴虚拟帐户名称。
- 通知电邮:键入您的电子邮件。
账户注册.
单击 submit。
- 然后单击Account Requests。
您可以在本节中看到上一步骤中完成的请求。
帐户请求。
- 单击actions。
操作选项。
您有三种选择:
- 批准:使用此选项通过Internet将思科许可证中心现场注册到您的智能帐户。
- 拒绝:删除请求。
- 手动注册:使用此选项可在内部使用您的智能帐户注册思科许可证中心,无需互联网。
选项 1:通过互联网连接在线注册您的思科许可证中心
- 如果选择Approve,您需要输入您的思科智能帐户的用户名和密码,然后单击Submit。
Approve选项。
然后单击next接受帐户注册。
账户注册.
要确认注册状态,请导航到Account,并且Account状态必须处于active。
帐户状态。
现在打开您的智能帐户(https://software.cisco.com/)。 然后选择On-Prem Accounts选项以查看新的注册表。
内部帐户。
选项 2:在内部注册思科许可证中心,无需互联网连接
如果选择Manual Registration,请单击Generate Registration File。这将创建注册请求,该请求将下载到您的计算机。
手动注册。
然后打开您的智能帐户(https://software.cisco.com/),并导航到内部帐户。
单击New On-Prem
正在添加新本地。
然后配置以下参数:
- 内部名称:这是新寄存器的自定义名称。
- 注册文件:单击Choose File并选择Registration Request。
- 虚拟帐户:粘贴虚拟帐户名称。
授权文件。
单击Generate Authorization File。
然后,下载授权文件。
正在下载授权文件。
打开思科许可证中心GUI上传授权文件。单击Browse,选择文件,然后单击Upload。
正在上传授权文件。
然后导航到同步,然后单击操作 > 手动同步 > 完全同步。
手动同步。
下载同步请求文件。
正在下载文件同步。
打开您的智能帐户并选择本地帐户,然后在列表中查找您的思科许可证中心本地名称,然后单击操作>文件同步
正在上传文件同步。
然后上传同步请求文件,然后单击生成响应文件。
生成响应文件。
然后点击下载同步响应文件
同步文件。
最后,将同步响应文件上传到Cisco License Central on Premise。
同步已完成。
将思科许可证中心现场集成到ISE。
- 打开思科许可证中心GUI并选择Admin Workspace。
CSSM主菜单。
- 导航到安全>证书>生成CSR。
注意:在主机公用名上配置主机名+域非常重要,因为ISE使用此参数与思科许可证中心建立连接。可以使用IP地址而不是hostname + domain,但建议使用hostname + domain
注意:以下步骤介绍在思科许可证中心安装GUI证书的过程。如果要使用由个人证书颁发机构(CA)签名的证书保护与GUI思科许可证中心的管理连接,您需要检查后续步骤。否则,请直接检查步骤9。
CSR选项。
- 然后输入您的个人信息。请注意,Subject Alternative Name是使用与Common Name相同的值自动创建的。点击Generate后将自动下载CSR。
CSR详细信息。
- 签署CSR:
- 上传根CA证书。
正在上传根CA。
单击Proceed。
Proceed选项。
- 输入说明并选择根证书,然后单击确定。
描述根CA。
- 上传由CA(思科许可证中心身份证书)签名的CSR。
上传CSSM身份证书。
注意:NOTE:在本例中,中间证书不在我们的CA中。但是,如果您在架构中使用中间证书,则中间证书是必需的。
8.然后,确认两个证书均已安装。
证书验证。
- 在本地思科许可证中心上创建令牌:选择许可工作空。
工作空间页面。
- 导航到智能许可。
CSSM智能许可页面
- 查找您的本地虚拟帐户,然后单击New Token,然后单击Proceed。
新令牌选项。
- 选择Create Token并复制它。
创建新令牌。
令牌详细信息。
- 打开ISE GUI并导航到Administration > Systems > Licensing,然后点击Registration details,选择Cisco License Central On-Prem server Host方法,然后粘贴令牌。
许可证注册。
- 在Cisco License Central On-Prem server Host上输入Cisco License Central On-Prem FQDN,然后单击Register。
CSSM和ISE设置。
注意:在主机公用名上配置主机名+域非常重要,因为ISE使用此参数与思科许可证中心建立连接。您可以使用IP地址而不是hostname + domain,但建议使用hostname + domain
- 最后,注册完成。
注册已完成。
从Windows CA创建证书。
如果您是证书颁发机构的管理员,则必须执行以下操作:
- 打开Web浏览器并导航至http://localhost/certsrv/
- 点击申请证书。
请求证书。
- 单击高级证书请求。
高级证书请求。
- 打开先前生成的CSR。 然后复制信息并将其粘贴到Saved request中。
提交证书。
单击Submit后,将自动下载证书。
- 现在下载CA证书根。导航回http://localhost/certsrv/并选择下载CA证书、证书链或CRL。
下载根CA。
- 使用编码方法作为Base64下载CA证书。
Base 64选项。
在Windows Server上添加DNS记录
如果您是管理员,请添加ISE和思科许可证中心FQDN。
- 打开DNS管理器:在Windows查找器中键入“DNS”并打开DNS应用。
DNS选项。
- 导航到Forward Lookup Zones,然后选择您的域。
DNS管理器。
- 右键单击屏幕上的黑色空白区域,然后选择New Host(A or AAAA)。
正在添加记录。
- 将记录DNS配置为下一个:
- 名称:表示主机的名称。
- 设备的IP地址。
单击Add Host。
录制设置。
故障排除
主机/IP地址不可访问。(ISE上出错)
可访问错误。
解决方案 1:检查并修复ISE节点中的DNS配置。
- 打开ISE CLI并键入nslookup <Cisco License Central_FQDN>。
在下一个示例中,我们可以看到cssm.testlab.local未从ISE节点解析。
CSSM解析失败。
正确的解决方案是:
CSSM解析成功。
行动计划:
- 检查本文档上的DNS配置主题。
- 在ISE CLI上输入show running-config命令以检查“ip name-server”。“ip name-server”需要与DNS服务器的IP地址匹配。
解决方案 2:打开思科许可证中心GUI,确认ISE端的主机通用名称和浏览器证书与思科许可证中心本地服务器主机参数相同。
错误的场景:
CSSM分辨率和ISE设置不正确。
正确情况:
CSSM分辨率和ISE设置正确。
行动计划:有关详细信息,请参阅本指南中的“ISE和思科许可证中心配置”。
SSO服务:无法访问思科。(本地思科许可证中心出错)
帐户注册失败。
解决方案:检查与Internet的连接。
行动计划:
- 如果需要代理才能访问Internet,请导航到网络>代理,并启用使用代理服务器选项,然后单击应用。
代理配置.
CSR中的公用名称不是DNS可解析的主机名或IP地址,请重试。(本地思科许可证中心出错)
CSR错误。
解决方案:检查并修复思科许可证中心服务器上的DNS解析。
- 打开思科许可证中心CLI并键入nslookup <Cisco License Central_FQDN>。
在下一个示例中,我们可以看到cssm.testlab.local未从思科许可证中心服务器解析。
无法访问DNS服务器。
正确的输出是下一个:
DNS服务器可访问。
行动计划:
检查本地思科许可证中心上的DNS配置。
- 导航到网络 > 常规 > DNS设置。
Primary or Alternate DNS需要与DNS服务器的IP地址相同。
DNS设置。
修订历史记录
| 版本 | 发布日期 | 备注 |
|---|---|---|
2.0 |
08-Jun-2026
|
所有文本、格式,将对“思科智能软件管理器(SSM)”的引用替换为“思科许可证中心”。 |
1.0 |
25-Jul-2024
|
初始版本 |
反馈