在Prem上配置CSSM並向ISE註冊許可證
簡介
本檔案介紹CSSM本地模式與思科身份服務引擎(ISE)和思科智慧帳戶的整合,確保無縫設定。
必要條件
需求
ISE 3.X
思科智慧軟體管理員(CSSM)版本8版本202304 +
採用元件
- 身分識別服務引擎3.2補丁2
- Prem 8.20234上的SSM
- Windows Active Directory 2016(DNS和證書授權服務)
- VMWare ESXi版本7
本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除(預設)的組態來啟動。如果您的網路運作中,請確保您瞭解任何指令可能造成的影響。
設定
網路圖表
常規拓撲
在VMWARE ESXi上安裝CSSM內部版本。
- 下載Cisco IOS®。您可以使用下一個連結:https://software.cisco.com/download/home/286285506/type/286326948/release/8-202304
2.在VMWARE ESXi中上傳ISO。
導航到Storage > Datastore Browser。
資料瀏覽器部分
3.按一下建立目錄以建立新資料夾(可選)。
建立目錄
在本示例中,建立了CSSM資料夾:
建立資料夾
4.按一下Upload,然後選擇您的ISO檔案。
上傳ISO
現在,ISO檔案位於CSSM資料夾中:
ISO上傳已完成
5.建立虛擬機器。導航到Virtual Machine > Create / Register VM。
建立新VM步驟01
6.選擇Create a new virtual machine,然後按一下next。
建立新VM步驟02
7.然後配置下一個引數:
- 名稱:輸入虛擬機器的名稱。
- 相容性:選擇ESXi 6.0或更高版本或ESXi 6.5或更高版本。
- 訪客OS系列:Linux。
- 訪客OS版本:選擇CentOS 7(64位)或其他2.6x Linux(64位)
按「Next」(下一步)。
VM名稱和IOS
8.選擇儲存,然後按一下next。
儲存清單
9.配置下一個引數:
- CPU:最少4個。實際的vCPU設定取決於您的擴展要求
附註:無論選擇多少個虛擬插槽,每個插槽的核心數量都需要設定為1。例如,4個vCPU配置需要配置為4個插槽,每個插槽1個核心。
核心配置
- 記憶體:8 GB
- 硬碟:200 GB,並驗證調配設定為Thin Provision。
磁碟配置
- 網路介面卡:選擇E1000介面卡型別,然後選擇Connect at Power On。
配置網路設定
- CD/DVD驅動器:選擇「資料ISO檔案」,然後選擇ISO文件。
ISO映像
完成上述步驟後,即可驗證設定的摘要。
摘要VM配置01
按「Next」(下一步)。
10.按一下完成。
摘要VM配置02
初始設定CSSM On-Prem 。
- 在VMWARE ESXi中,導航到Virtual Machines,然後選擇您的VM,然後按一下Power On。
開機選項
- 您有多個選項可以管理VM控制檯。選擇Console > Open browser console。
用於管理虛擬機器的選項
- 配置您的網路設定。
附註:配置解析CSSM FQDN的DNS服務器的IP地址非常重要。
配置CSSM網路設定
按一下Ok以配置您的新CLI密碼。
- 然後開始安裝過程並完成安裝過程,直到您看到訪問提示符。
CSSM初始配置已完成
- 開啟瀏覽器並輸入https://<ip_address_CSSM>。
CSSM登入頁
使用預設憑據:
使用者名稱:admin
密碼:CiscoAdmin!2345
- 選擇您的語言。
- 建立新的GUI密碼。
- 配置主機公用名。(例如:hostname.yourdomain)。
在這種情況下,cssm.testlab.local被配置為主機公用名。
主機公用名配置
- 驗證您的配置,然後按一下Apply。
CSSM初始設定已完成。
將CSSM內部版與智慧帳戶整合
您需要將您的智慧帳戶與Prem Server上的CSSM關聯。
- 使用下一個連結打開您的思科智慧帳戶:
- 然後,在Smart Software Manager部分中選擇Manage Licenses。
 管理許可證選項
|
- 導航到Inventory,然後複製您的智慧帳戶名稱和虛擬帳戶。在本指南中,這是InternalTestDemoAccount67和AAA MEX TEST。
「軟體思科」頁
- 開啟CSSM GUI並選擇Admin Workspace選項。
CSSM主選單。
- 然後選擇Accounts。
帳戶。
- 選擇New Account以建立新的註冊請求。
建立CSSM帳戶。
- 輸入下一個資訊:
- 帳戶名稱:這是新暫存器的自定義名稱。
- 思科智慧帳戶:貼上您的智慧帳戶名稱。
- 思科虛擬帳戶:貼上虛擬帳戶名稱。
- 通知電子郵件:鍵入您的電子郵件。
帳戶註冊。
按一下「Submit」。
- 然後點選Account Requests。
在本節中,您可以看到上一步驟中完成的請求。
帳戶請求。
- 按一下actions。
Actions選項。
您有三種選擇:
- 批准:使用此選項通過Internet將CSSM本地註冊到您的智慧帳戶。
- 拒絕:刪除請求。
- 手動註冊:使用此選項可以在沒有Internet的情況下使用智慧帳戶註冊CSSM本地。
選項 1:通過Internet連線在本地註冊CSSM。
- 如果您選擇Approve,則需要輸入您的思科智慧帳戶的使用者名稱和密碼,然後按一下Submit。
批准選項。
然後按一下next接受帳戶註冊。
帳戶註冊。
要確認註冊狀態,請導航到Account,並且Account status必須是active。
帳戶狀態。
現在開啟您的智慧帳戶(https://software.cisco.com/)。 然後選擇On-Prem Accounts選項以檢視新的登錄檔。
在Prem帳戶。
選項 2:在不連線Internet的情況下在本地註冊CSSM。
如果選擇Manual Registration,請按一下Generate Registration File。這將建立註冊請求,該請求將下載到您的電腦。
手動註冊。
然後開啟您的智慧帳戶(https://software.cisco.com/),然後導航至本地帳戶。
按一下「New On-Prem」
正在新增新的內部部署。
然後配置下一個引數:
- 內部名稱:這是新暫存器的自定義名稱。
- 註冊檔案:按一下Choose File,然後選擇Registration Request。
- 虛擬帳戶:貼上虛擬帳戶名稱。
授權檔案。
然後按一下Generate Authorization File。
然後下載授權檔案。
正在下載授權檔案。
開啟CSSM GUI上傳授權檔案。按一下「Browse」,選擇檔案,然後按一下「Upload」。
正在上傳授權檔案。
然後導航到同步,然後按一下操作 > 手動同步 > 完全同步。
手動同步。
下載同步請求檔案。
正在下載檔案同步。
開啟智慧帳戶並選擇本地帳戶,然後在清單中查詢您的CSSM本地名稱,然後按一下操作>檔案同步
正在上載檔案同步。
然後上傳同步請求檔案,然後按一下Generate Response File。
生成響應檔案。
然後按一下「Download Synch Response File」
同步檔案。
最後,將Synch Response File上傳到CSSM on Premise。
同步已完成。
將CSSM內部整合到ISE。
- 開啟CSSM GUI並選擇Admin Workspace。
CSSM主選單。
- 導覽至Security > Certificates > Generate CSR
附註:在主機公用名上配置主機名+域非常重要,因為ISE使用此引數與CSSM建立連線。可以使用IP地址而不是hostname + domain,但建議使用hostname + domain
附註:接下來的步驟描述了在CSSM中安裝GUI證書的過程。如果要通過使用由個人證書頒發機構(CA)簽名的證書來保護與GUI CSSM的管理連線,您需要檢查下一步。否則,請直接檢查步驟9。
CSR選項。
- 然後輸入您的個人資訊。請注意,Subject Alternative Name是通過使用與Common Name相同的值自動建立的。按一下Generate後,系統會自動下載CSR。
CSR詳細資訊。
- 簽署CSR:如需詳細資訊,請檢查「從Windows CA建立憑證」。 文檔中。
- 上傳根CA證書。
正在上傳根CA。
按一下Proceed(繼續)。
繼續選項。
- 輸入說明並選擇根證書,然後按一下Ok。
描述根CA。
- 上傳由CA簽署的CSR(CSSM身分憑證)。
正在上傳CSSM身份證書。
附註:附註:在我們的情況下,CA中不存在中間憑證。但是,如果您在架構中使用中間憑證,則中間憑證為強制性。
8.然後,確認兩個證書均已安裝。
證書驗證。
- 在SSM上建立權杖:選擇Licensing Workspace。
Workspace頁。
- 導覽至智慧授權。
CSSM智慧許可頁面
- 查詢您的本地虛擬帳戶,然後按一下New Token,然後按一下Proceed。
新令牌選項。
- 選擇Create Token並複製它。
建立新令牌。
令牌詳細資訊。
- 開啟ISE GUI並導航到Administration > Systems > Licensing,然後點選Registration details,選擇SSM On-Prem server Host 方法,然後貼上標籤。
許可證登記。
- 在SSM On-Prem Server Host上輸入SSM On-Prem FQDN,然後按一下Register。
CSSM和ISE設定。
附註:在主機公用名上配置hostname + domain非常重要,因為ISE使用此引數與CSSM建立連線。可以使用IP地址而不是hostname + domain,但建議使用hostname + domain
- 最後,註冊完成。
註冊已完成。
從Windows CA建立證書。
如果您是證書頒發機構的管理員,則必須執行以下操作:
- 開啟Web瀏覽器並導航至http://localhost/certsrv/
- 按一下「Request a certificate」。
請求證書。
- 按一下「advanced certificate request」。
高級證書請求。
- 開啟之前產生的CSR。 然後複製該資訊並將其貼上到Saved Request上。
提交證書。
按一下Submit後,證書將自動下載。
- 現在下載CA證書根。導覽至http://localhost/certsrv/,然後選擇Download a CA Certificate、Certificate Chain或CRL。
下載根CA。
- 使用編碼方法作為Base64下載CA證書。
基本64選項。
在Windows伺服器上新增DNS記錄。
如果您是管理員,請新增ISE和CSSM FQDN。
- 開啟DNS Manager:在Windows查詢器上鍵入「DNS」並開啟DNS應用。
DNS選項。
- 導航到Forward Lookup Zones >,然後選擇您的域。
DNS管理器。
- 按一下右鍵螢幕上的黑色空白區域,然後選擇「New Host(A or AAAA)」
正在新增記錄。
- 將記錄DNS配置為下一個:
- 名稱:表示主機的名稱。
- 裝置的IP地址。
按一下「添加主機」
記錄設定。
疑難排解
無法訪問主機/IP地址。(ISE出錯)
可到達錯誤。
情境 1:檢查並修復ISE節點中的DNS配置。
- 開啟ISE CLI並鍵入「nslookup <CSSM_FQDN>」
在下一個示例中,我們可以看到cssm.testlab.local未從ISE節點解析。
CSSM解析失敗。
正確的解決方案是:
CSSM解析成功。
行動計畫:
- 檢查本文檔上的DNS配置主題。
- 在ISE CLI上輸入 show running-config命令以檢查「ip name-server」。「ip name-server」需要與DNS伺服器的IP地址匹配。
情境 2:開啟CSSM GUI,確認Host Common Name和Browser Certificate與ISE端的CSSM On-Prem server Host引數相同。
錯誤的情況:
CSSM解析度和ISE設定不正確。
正確方案:
CSSM解析度和ISE設定正確。
行動計畫:有關詳細資訊,請參閱本指南中的「ISE和CSSM配置」。
SSO服務:無法訪問思科。(本地CSSM出錯)
帳戶註冊失敗。
解決方案:檢查與Internet的連線。
行動計畫:
- 如果您需要代理才能訪問Internet,請導航到Network > Proxy,然後啟用Use A Proxy Server選項,然後按一下Apply。
Proxy 組態.
CSR中的公用名稱不是DNS可解析的主機名或IP地址,請重試。(CSSM On-Prem出錯)
CSR錯誤。
解決方案:檢查並修復CSSM伺服器上的DNS解析。
- 開啟CSSM CLI並鍵入「nslookup <CSSM_FQDN>」
在下一個示例中,我們可以看到cssm.testlab.local未從CSSM伺服器解析。
無法訪問DNS伺服器。
正確的輸出是下一個:
DNS伺服器可訪問。
行動計畫:
檢查CSSM本地模式上的DNS配置。
- 導覽至Network > General > DNS Setting。
主要DNS或備用DNS需要與DNS伺服器的IP地址相同。
DNS設定。
修訂記錄
| 修訂 | 發佈日期 | 意見 |
|---|---|---|
1.0 |
25-Jul-2024
|
初始版本 |
意見