在Prem上配置CSSM并向ISE注册许可证
简介
本文档介绍CSSM本地与思科身份服务引擎(ISE)和思科智能帐户的集成,从而确保无缝设置。
先决条件
要求
ISE 3.X
思科智能软件管理器(CSSM)版本8版202304+
使用的组件
- 身份服务引擎3.2补丁2
- Prem 8.20234上的SSM
- Windows Active Directory 2016(DNS和证书授权服务)
- VMWare ESXi版本7
本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您的网络处于活动状态,请确保您了解所有命令的潜在影响。
配置
网络图
常规拓扑
在VMWARE ESXi上本地安装CSSM。
- 下载Cisco IOS®。您可以使用下一个链接:https://software.cisco.com/download/home/286285506/type/286326948/release/8-202304
2.在VMWARE ESXi中上传ISO。
导航到Storage > Datastore Browser。
Data Browser部分
3.单击创建目录以创建新文件夹(可选)。
创建目录
在本示例中,CSSM文件夹已创建:
创建文件夹
4.单击上传,然后选择ISO文件。
上传ISO
现在,ISO文件位于CSSM文件夹中:
ISO上传已完成
5.创建虚拟机。导航到Virtual Machine > Create / Register VM。
创建新VM第01步
6.选择Create a new virtual machine,然后单击next。
创建新VM第02步
7.然后配置以下参数:
- 名称:输入虚拟机的名称。
- 兼容性:选择ESXi 6.0或更高版本或ESXi 6.5或更高版本。
- 访客OS系列:Linux.
- 访客OS版本:选择CentOS 7(64位)或其他2.6x Linux(64位)
单击 Next。
VM名称和IOS
8.选择存储并单击下一步。
存储列表
9.配置以下参数:
- CPU:最少4个。实际的vCPU设置取决于您的扩展要求
注意:无论选择多少虚拟插槽,每个插槽的核心数量都需要设置为1。例如,4个vCPU配置需要配置为4个插槽,每个插槽1个核心。
核心配置
- 内存:8 GB
- 硬盘:200 GB,并确认调配设置为Thin Provision。
磁盘配置
- 网络适配器:选择E1000适配器类型,然后选择Connect at Power On。
配置网络设置
- CD / DVD驱动器:选择“数据ISO文件”,然后选择ISO文件。
ISO映像
完成上述步骤后,您可以验证设置摘要。
摘要VM配置01
单击 Next。
10.单击完成。
摘要VM配置02
CSSM本地的初始配置。
- 在VMWARE ESXi中,导航到Virtual Machines并选择VM,然后单击Power On。
加电选项
- 您可以通过多个选项来管理VM控制台。选择控制台>打开浏览器控制台。
用于管理虚拟机的选项
- 配置网络设置。
注意:配置解析CSSM FQDN的DNS服务器的IP地址非常重要。
配置CSSM网络设置
单击Ok配置您的新CLI密码。
- 然后,安装过程开始并完成,直到您看到访问提示符。
CSSM初始配置已完成
- 打开浏览器并输入https://<ip_address_CSSM>。
CSSM登录页
使用默认凭证:
username:admin
密码:CiscoAdmin!2345
- 选择您的语言。
- 创建新的GUI密码。
- 配置主机公用名。(示例:hostname.yourdomain)。
在本例中,cssm.testlab.local被配置为主机公用名。
主机公用名配置
- 验证您的配置,然后单击Apply。
CSSM初始设置已完成。
将CSSM本地与智能帐户集成
您需要将智能帐户与Prem Server上的CSSM相关联。
- 使用下一个链接打开您的思科智能帐户:
- 然后,在智能软件管理器部分下选择Manage Licenses。
 管理许可证选项
|
- 导航到Inventory并复制您的智能帐户名称和虚拟帐户的名称。在本指南中,这是InternalTestDemoAccount67和AAA MEX TEST。
软件思科页面
- 打开CSSM GUI并选择Admin Workspace选项。
CSSM主菜单。
- 然后选择帐户。
帐户。
- 选择New Account以创建新的注册请求。
创建CSSM帐户。
- 输入下一个信息:
- 帐户名:这是新寄存器的自定义名称。
- 思科智能帐户:粘贴您的智能帐户名称。
- 思科虚拟帐户:粘贴虚拟帐户名称。
- 通知电邮:键入您的电子邮件。
账户注册.
单击 submit。
- 然后单击Account Requests。
您可以在本节中看到上一步骤中完成的请求。
帐户请求。
- 单击actions。
操作选项。
您有三种选择:
- 批准:使用此选项通过Internet将CSSM内部注册到您的智能帐户。
- 拒绝:删除请求。
- 手动注册:使用此选项可在没有Internet的智能帐户中注册CSSM本地。
选项 1:通过Internet连接在内部注册CSSM。
- 如果选择Approve,您需要输入您的思科智能帐户的用户名和密码,然后单击Submit。
Approve选项。
然后单击next接受帐户注册。
账户注册.
要确认注册状态,请导航到Account,并且Account状态必须处于active。
帐户状态。
现在打开您的智能帐户(https://software.cisco.com/)。 然后选择On-Prem Accounts选项以查看新的注册表。
内部帐户。
选项 2:注册您的CSSM,无需互联网连接。
如果选择Manual Registration,请单击Generate Registration File。这将创建注册请求,该请求将下载到您的计算机。
手动注册。
然后打开您的智能帐户(https://software.cisco.com/),并导航到内部帐户。
单击New On-Prem
正在添加新本地。
然后配置以下参数:
- 内部名称:这是新寄存器的自定义名称。
- 注册文件:单击Choose File并选择Registration Request。
- 虚拟帐户:粘贴虚拟帐户名称。
授权文件。
然后单击Generate Authorization File。
然后下载授权文件。
正在下载授权文件。
打开CSSM GUI上传授权文件。单击Browse,选择文件,然后单击Upload。
正在上传授权文件。
然后导航到同步,然后单击操作 > 手动同步 > 完全同步。
手动同步。
下载同步请求文件。
正在下载文件同步。
打开您的智能帐户并选择本地帐户,然后在列表中查找您的CSSM本地名称,然后单击操作>文件同步
正在上传文件同步。
然后上传同步请求文件,然后单击生成响应文件。
生成响应文件。
然后点击下载同步响应文件
同步文件。
最后,将同步响应文件上传到CSSM on Premise。
同步已完成。
将CSSM内部部署与ISE集成。
- 打开CSSM GUI并选择Admin Workspace。
CSSM主菜单。
- 导航到安全>证书>生成CSR
注意:在主机公用名上配置主机名+域非常重要,因为ISE使用此参数与CSSM建立连接。可以使用IP地址而不是hostname + domain,但建议使用hostname + domain
注意:接下来的步骤介绍在CSSM中安装GUI证书的过程。如果要使用由个人证书颁发机构(CA)签名的证书保护与GUI CSSM的管理连接,您需要检查后续步骤。否则,请直接检查步骤9。
CSR选项。
- 然后输入您的个人信息。请注意,Subject Alternative Name是使用与Common Name相同的值自动创建的。点击Generate后将自动下载CSR。
CSR详细信息。
- 签署CSR:有关详细信息,请选中从Windows CA创建证书。 在本文档中。
- 上传根CA证书。
正在上传根CA。
单击Proceed。
Proceed选项。
- 输入说明并选择根证书,然后单击确定。
描述根CA。
- 上传由CA(CSSM身份证书)签名的CSR。
上传CSSM身份证书。
注意:NOTE:在本例中,中间证书不在我们的CA中。但是,如果您在架构中使用中间证书,则中间证书是必需的。
8.然后,确认两个证书均已安装。
证书验证。
- 在SSM上本地创建令牌:选择许可工作空。
工作空间页面。
- 导航到智能许可。
CSSM智能许可页面
- 查找您的本地虚拟帐户,然后单击New Token,然后单击Proceed。
新令牌选项。
- 选择Create Token并复制它。
创建新令牌。
令牌详细信息。
- 打开ISE GUI并导航到Administration > Systems > Licensing,然后点击Registration details,选择SSM内部服务器主机方法,然后粘贴令牌。
许可证注册。
- 在SSM On-Prem Server Host上输入SSM On-Prem FQDN,然后单击Register。
CSSM和ISE设置。
注意:在主机公用名上配置主机名+域非常重要,因为ISE使用此参数与CSSM建立连接。您可以使用IP地址而不是hostname + domain,但建议使用hostname + domain
- 最后,注册完成。
注册已完成。
从Windows CA创建证书。
如果您是证书颁发机构的管理员,则必须执行以下操作:
- 打开Web浏览器并导航至http://localhost/certsrv/
- 单击Request a certificate。
请求证书。
- 单击高级证书请求。
高级证书请求。
- 打开先前生成的CSR。 然后复制信息并将其粘贴到Saved request上。
提交证书。
单击Submit后,将自动下载证书。
- 现在下载CA证书根。导航回http://localhost/certsrv/并选择下载CA证书、证书链或CRL。
下载根CA。
- 使用编码方法作为Base64下载CA证书。
Base 64选项。
在Windows服务器上添加DNS记录。
如果您是管理员,请添加ISE和CSSM FQDN。
- 打开DNS管理器:在Windows查找器中键入“DNS”并打开DNS应用。
DNS选项。
- 导航到Forward Lookup Zones,然后选择您的域。
DNS管理器。
- 右键单击屏幕上的黑色空白并选择“New Host(A or AAAA)”
正在添加记录。
- 将记录DNS配置为下一个:
- 名称:表示主机的名称。
- 设备的IP地址。
点击“添加主机”
录制设置。
故障排除
主机/IP地址不可访问。(ISE上出错)
可访问错误。
解决方案 1:检查并修复ISE节点中的DNS配置。
- 打开ISE CLI并键入“nslookup <CSSM_FQDN>”
在下一个示例中,我们可以看到cssm.testlab.local未从ISE节点解析。
CSSM解析失败。
正确的解决方案是:
CSSM解析成功。
行动计划:
- 检查本文档上的DNS配置主题。
- 在ISE CLI上输入show running-config命令以检查“ip name-server”。“ip name-server”需要与DNS服务器的IP地址匹配。
解决方案 2:打开CSSM GUI以确认ISE端上的Host Common Name和Browser Certificate与CSSM On-Prem server Host参数相同。
错误的场景:
CSSM分辨率和ISE设置不正确。
正确情况:
CSSM分辨率和ISE设置正确。
行动计划:有关详细信息,请参阅本指南中的“ISE和CSSM配置”。
SSO服务:无法访问思科。(本地CSSM上的错误)
帐户注册失败。
解决方案:检查与Internet的连接。
行动计划:
- 如果需要代理才能访问Internet,请导航到网络>代理,并启用使用代理服务器选项,然后单击应用。
代理配置.
CSR中的公用名不是DNS可解析的主机名或IP地址,请重试。(CSSM本地出错)
CSR错误。
解决方案:检查并修复CSSM服务器上的DNS解析。
- 打开CSSM CLI并键入“nslookup <CSSM_FQDN>”
在下一个示例中,我们可以看到cssm.testlab.local未从CSSM服务器解析。
无法访问DNS服务器。
正确的输出是下一个:
DNS服务器可访问。
行动计划:
检查CSSM本地交换机上的DNS配置。
- 导航到网络 > 常规 > DNS设置。
Primary or Alternate DNS需要与DNS服务器的IP地址相同。
DNS设置。
修订历史记录
| 版本 | 发布日期 | 备注 |
|---|---|---|
1.0 |
25-Jul-2024
|
初始版本 |
反馈