Configuración de CSSM en instalaciones y registro de licencias con ISE

Opciones de descarga

  • PDF     (5.3 MB)
    Visualice con Adobe Reader en una variedad de dispositivos
  • ePub     (5.3 MB)
    Visualice en diferentes aplicaciones en iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (3.8 MB)
    Visualice en dispositivo Kindle o aplicación Kindle en múltiples dispositivos
Actualizado:25 de julio de 2024
ID del documento:222207

Lenguaje no discriminatorio

El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.

Acerca de esta traducción

Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).

    Introducción

    Este documento describe la integración de CSSM On-Prem con Cisco Identity Service Engine (ISE) y Cisco Smart Account, lo que garantiza una configuración perfecta.

    Prerequisites

    Requirements

    ISE 3.X

    Cisco Smart Software Manager (CSSM) versión 8 versión 202304 +

    Componentes Utilizados

    • Identity Service Engine 3.2 parche 2
    • SSM en las instalaciones 8.20234
    • Windows Active Directory 2016 (servicios DNS y Certificate Authority)
    • VMWare ESXi versión 7

    La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si tiene una red en vivo, asegúrese de entender el posible impacto de cualquier comando.

    Configurar

    Diagrama de la red

    Topología generalTopología general

    Instale CSSM en las instalaciones en VMWARE ESXi.

    1. Descargue Cisco IOS®. Puede utilizar el siguiente enlace: https://software.cisco.com/download/home/286285506/type/286326948/release/8-202304

    2. Cargue el ISO en VMWARE ESXi.

    Vaya a Storage > Datastore Browser.

    sección Explorador de datossección Explorador de datos

    3. Haga clic en Crear directorio para crear una nueva carpeta (opcional).

    Creación del directorioCreación del directorio

    En este ejemplo, se creó la carpeta CSSM:

    Creación de carpetasCreación de carpetas

    4. Haga clic en Cargar y luego elija su archivo ISO.

    Cargando ISOCargando ISO

    Ahora el archivo ISO está en la carpeta CSSM:

    La carga de ISO se ha completadoLa carga de ISO se ha completado

    5. Cree la máquina virtual. Vaya a Máquina virtual > Crear/registrar VM.

    Creación de un nuevo paso de VM 01Creación de un nuevo paso de VM 01

    6. Seleccione Crear una máquina virtual nueva y haga clic en Siguiente.

    Creación de un nuevo paso de VM 02Creación de un nuevo paso de VM 02

    7. Luego configure los siguientes parámetros:

    • Nombre: Introduzca el nombre de la máquina virtual.
    • Compatibilidad: seleccione ESXi 6.0 o posterior o ESXi 6.5 o posterior. 
    • Familia de sistemas operativos invitados: Linux.
    • Versión de SO invitado: Elija CentOS 7 (64 bits) u Otro Linux 2.6x (64 bits)

    Haga clic en Next (Siguiente).

    Nombre de VM e IOSNombre de VM e IOS

    8. Seleccione el almacenamiento y haga clic en Siguiente.

    Lista de almacenamientoLista de almacenamiento

    9. Configure los siguientes parámetros:

    • CPU: 4 como mínimo. La configuración real de vCPU depende de los requisitos de escala
    icono de nota

    Nota: La cantidad de núcleos por socket debe establecerse en 1 independientemente del número de sockets virtuales seleccionados. Por ejemplo, una configuración de 4 vCPU debe configurarse como 4 sockets y 1 núcleo por socket.

    Configuración de núcleosConfiguración de núcleos

    • Memoria: 8 GB
    • Disco duro: 200 GB y el aprovisionamiento de verificación y seguridad está establecido en Aprovisionamiento ligero.

    Configuración del discoConfiguración del disco

    • Adaptador de red: seleccione el tipo de adaptador E1000 y seleccione Conectar al encender.

    Configuración de los parámetros de redConfiguración de los parámetros de red

    • Unidad de CD / DVD: Elija "Archivo ISO de datos" y seleccione el archivo ISO.

    imagen ISOimagen ISO

    Puede verificar el resumen de la configuración una vez que haya completado los pasos anteriores.

    Configuración de VM resumida 01Configuración de VM resumida 01

    Haga clic en Next (Siguiente).

    10. Haga clic en Finalizar.

    Configuración de VM resumida 02Configuración de VM resumida 02

    Configuración inicial de CSSM en las instalaciones .

    1. En VMWARE ESXi, desplácese hasta Máquinas virtuales, seleccione la máquina virtual y, a continuación, haga clic en Encendido.

    Opción de encendidoOpción de encendido

    1. Dispone de varias opciones para administrar la consola de VM. Seleccione Console > Open browser console.

    Opciones para administrar la máquina virtualOpciones para administrar la máquina virtual

    1. Configure los parámetros de red.
    icono de nota

    Nota: es importante configurar la dirección IP del servidor DNS que resuelve el FQDN CSSM.

    Configuración de los parámetros de red CSSMConfiguración de los parámetros de red CSSM

    Haga clic en Aceptar para configurar su nueva contraseña CLI.

    1. A continuación, el proceso de instalación se inicia y finaliza hasta que se muestra el mensaje de acceso.

    Configuración inicial de CSSM completadaConfiguración inicial de CSSM completada

    1. Abra un navegador e ingrese https://<ip_address_CSSM>.

    página de inicio de sesión CSSMpágina de inicio de sesión CSSM

    Utilice las credenciales predeterminadas:

    Nombre de usuario: admin

    Contraseña: CiscoAdmin!2345

    1. Seleccione su idioma.
    2. Cree una nueva contraseña de GUI.
    3. Configure el nombre común del host. (ejemplo: hostname.yourdomain).

    En este caso, cssm.testlab.local se configuró como nombre común de host.

    Configuración de nombre común de hostConfiguración de nombre común de host

    1. Valide la configuración y haga clic en Apply.

    Configuración inicial de CSSM completadaConfiguración inicial de CSSM completada.

    Integración de CSSM en las instalaciones con Smart Account

    Debe asociar su cuenta inteligente con su servidor CSSM en las instalaciones.

    1. Abra su cuenta Cisco Smart Account mediante el siguiente enlace:

    https://software.cisco.com/

    1. A continuación, elija Administrar licencias en la sección Smart Software Manager.
    Opción Administrar licenciasOpción Administrar licencias
    1. Navegue hasta Inventario y copie el nombre de su Smart Account name y de la cuenta virtual. En esta guía, se trata de InternalTestDemoAccount67 y AAA MEX TEST.

    Página de software de CiscoPágina de software de Cisco

    1. Abra la GUI de CSSM y seleccione la opción Admin Workspace.

    Menú principal de CSSMMenú principal de CSSM.

    1. A continuación, seleccione Cuentas.

    Cuentas CSSMCuentas.

    1. Seleccione Nueva cuenta para crear una nueva solicitud de registro.

    Creación de una cuenta CSSMCreación de una cuenta CSSM.

    1. Introduzca la siguiente información:
    • Nombre de cuenta: es un nombre personalizado del nuevo registro.
    • Cisco Smart Account: pegue el nombre de Smart Account.
    • Cuenta virtual de Cisco: pegue el nombre de la cuenta virtual.
    • Correo electrónico de notificación: escriba su correo electrónico.

    Registro de cuentaRegistro de cuenta.

    Haga clic en Submit (Enviar).

    1. A continuación, haga clic en Solicitudes de cuenta.

    En esta sección puede ver la solicitud realizada en el paso anterior.

    Solicitud de cuenta.Solicitud de cuenta.

    1. Haga clic en acciones.

    Acciones, opciónAcciones.

    Dispone de tres opciones:

    • Aprobar: utilice esta opción para registrar el CSSM en las instalaciones con su cuenta inteligente a través de Internet.
    • Rechazar: elimine la solicitud.
    • Registro manual: utilice esta opción para registrar el CSSM en las instalaciones con su cuenta Smart Account sin Internet.

     OPCIÓN 1: Registre su CSSM en las instalaciones a través de la conexión a Internet.

    1. Si elige Aprobar, debe ingresar su nombre de usuario y contraseña de su Cisco Smart Account y hacer clic en Enviar.

    Opción AprobarAprobar opción.

    A continuación, haga clic en siguiente para aceptar el registro de la cuenta.

    Registro de cuentaRegistro de cuenta.

    Para confirmar el estado del registro, navegue hasta Account y el estado de la cuenta debe ser el activo.

    Estado de cuentaEstado de la cuenta.

    Ahora abra su cuenta Smart Account (https://software.cisco.com/). A continuación, seleccione la opción On-Prem Accounts para ver el nuevo registro.

    A cuenta de Prem.A cuenta de Prem.

    OPCIÓN 2: Registre su CSSM en las instalaciones sin conexión a Internet.

    Si selecciona Registro manual, haga clic en Generar archivo de registro. Esto crea una Solicitud de registro que se descargará a su computadora.

    Registro manual.Registro manual.

    A continuación, abra su cuenta Smart Account (https://software.cisco.com/) y navegue hasta Cuentas in situ.

    Haga clic en New On-Prem

    Añadiendo nuevo en las instalaciones.Añadiendo nuevo en las instalaciones.

    A continuación, configure los siguientes parámetros:

    • Nombre local: es un nombre personalizado del nuevo registro.
    • Archivo de registro: Haga clic en Choose File y seleccione la Solicitud de registro.
    • Cuenta virtual: pegue el nombre de la cuenta virtual.

    Archivo de autorización.Archivo de autorización.

    Y haga clic en Generar archivo de autorización.

    A continuación, descargue el archivo de autorización.

    Descargando archivo de autorizaciónDescargando el archivo de autorización.

    Abra la GUI de CSSM para cargar el archivo de autorización. Haga clic en Browse, elija el archivo y, a continuación, haga clic en Upload.

    Cargando archivo de autorización.Cargando archivo de autorización.

    A continuación, vaya a Sincronización y haga clic en Acciones > Sincronización manual > Sincronización completa.

    Sincronización manual.Sincronización manual.

    Descargue el archivo de solicitud de sincronización.

    Descargando sincronización de archivosDescargando el archivo Sync.

    Abra su Smart Account y seleccione On-Prem Account, busque su nombre CSSM On-Prem en la lista y haga clic en Acciones > File Sync.

    Cargando sincronización de archivosCargando sincronización de archivos.

    A continuación, cargue el archivo de solicitud de sincronización y haga clic en Generar archivo de respuesta.

    Generación de un archivo de respuestaGenerar un archivo de respuesta.

    A continuación, haga clic en Descargar archivo de respuesta de sincronización

    Sincronizar archivoSincronizar archivo.

    Y, por último, cargue el archivo de respuesta de sincronización en el CSSM in situ.

    Sincronización completadaSincronización completada.

     Integre CSSM en las instalaciones con ISE.

    1. Abra la GUI de CSSM y seleccione Admin Workspace.

    Menú principal de CSSM.Menú principal de CSSM.

    1. Vaya a Seguridad > Certificados > Generar CSR
    icono de nota

    Nota: es importante tener el nombre de host + dominio configurado en el nombre común de host porque ISE utiliza este parámetro para establecer una conexión con el CSSM. Puede utilizar una dirección IP en lugar del nombre de host + dominio; sin embargo, se recomienda utilizar el nombre de host + dominio

    icono de nota

    Nota: Los siguientes pasos describen el procedimiento para instalar el certificado de GUI en el CSSM. Si desea proteger la conexión de administración a su CSSM GUI mediante un certificado firmado por su autoridad de certificación (CA), debe comprobar los siguientes pasos. De lo contrario, compruebe directamente el paso 9.

    opción CSROpción CSR.

    1. A continuación, introduzca su información personal. Tenga en cuenta que el nombre alternativo del sujeto se crea automáticamente utilizando el mismo valor que el nombre común. El CSR se descarga automáticamente después de hacer clic en Generar.

    Detalles de CSRDetalles de CSR.

    1. Firme el CSR: para obtener más información, consulte "Crear certificados desde Windows CA" en este documento.
    1. Cargue el certificado de CA raíz.

    Cargando CA raízCargando CA raíz.

    Haga clic en Proceed.

    opción ContinuarOpción Proceed.

    1. Ingrese una descripción y elija el certificado raíz y haga clic en Aceptar.

    CA raíz de descripciónCA raíz de descripción.

    1. Cargue el CSR firmado por la CA (certificado de identidad CSSM).

    Carga del certificado de identidad CSSMCargando certificado de identidad CSSM.

    icono de nota

    Nota: NOTA: En nuestro caso, el certificado intermedio no existe en nuestra CA. Sin embargo, si utiliza un certificado intermedio en su arquitectura, el certificado intermedio es obligatorio.

    8. A continuación, confirme que se han instalado ambos certificados.

    Validación de certificadosValidación de certificados.

    1. Cree un token en SSM en las instalaciones: seleccione espacio de trabajo de licencias.

    Página de WorkspacePágina de Workspace.

    1. vaya a Licencias inteligentes.

    Página de licencias inteligentes CSSMPágina de licencias inteligentes CSSM

    1. Busque su cuenta virtual local, haga clic en Nuevo token y haga clic en Continuar.

    Nueva opción de tokenNueva opción de token.

    1. Seleccione Create Token y cópielo.

    Creación de un nuevo tokenCreación de un nuevo token.

    Detalles del tokenDetalles del token.

    1. Abra la GUI de ISE y navegue hasta Administration > Systems > Licensing, luego haga clic en Registration details, seleccione el método SSM On-Prem server Host , y pegue el token.

    Registro de licenciasRegistro de licencias.

    1. Ingrese el SSM On-Prem FQDN en el SSM On-Prem server Host y haga clic en Register.

    Configuración de CSSM e ISEConfiguración de CSSM e ISE.

    icono de nota

    Nota: es importante tener el nombre de host + dominio configurado en el nombre común de host porque ISE utiliza este parámetro para establecer una conexión con el CSSM. Puede utilizar una dirección IP en lugar del nombre de host + dominio, sin embargo, se recomienda utilizar el nombre de host + dominio

    1. Y, por último, se ha completado el registro.

    Registro completadoRegistro completado.

     Crear certificados desde CA de Windows.

    Si es el administrador de la Autoridad de certificación, debe hacer lo siguiente:

    1. Abra un navegador web y navegue hasta http://localhost/certsrv/
    2. Haga clic en Solicitar un certificado.

    Solicitar certificadoSolicitar certificado.

    1. Haga clic en Advanced Certificate Request.

    Solicitud de certificado avanzadaSolicitud de certificado avanzada.

    1. Abra el CSR generado anteriormente.  A continuación, copie la información y péguela en Solicitud guardada.

    Enviar certificadoEnviar certificado.

    Después de hacer clic en Enviar, el certificado se descarga automáticamente.

    1. Ahora descargue la raíz del certificado de la CA. navegue de nuevo hasta http://localhost/certsrv/ y seleccione Descargar un certificado de la CA, Cadena de certificados o CRL.

    Descargar CA raízDescargar CA raíz.

    1. Descargue el certificado de CA utilizando el método de codificación como Base64.

    opción Base 64Opción Base 64.

    Agregue registros DNS en Windows Server.

    Si es el administrador, agregue los FQDN de ISE y CSSM.

    1. Abra el Administrador de DNS: Escriba "DNS" en el buscador de Windows y abra la aplicación DNS.

    opción DNSOpción DNS.

    1. Navegue hasta Forward Lookup Zones > Y elija su dominio.

    Administrador de DNSAdministrador de DNS.

    1. Haga clic con el botón derecho del ratón en un espacio en negro sobre la pantalla y seleccione "Nuevo host (A o AAAA)"

    Agregando registroAgregando registro.

    1. Configure el registro DNS como el siguiente:
    • Name: significa el nombre del host.
    • La dirección IP del dispositivo.

    Haga clic en "Agregar host"

    Ajustes de registroAjustes de registro.

    Troubleshoot

    No se puede acceder a la dirección IP/de host.  (Error en ISE)

    Error inalcanzableError alcanzable.

    Solución 1: compruebe y corrija la configuración DNS en el nodo ISE.

    1. Abra la ISE CLI y escriba "nslookup <CSSM_FQDN>"

    En el siguiente ejemplo, podemos ver que cssm.testlab.local no se resolvió desde el nodo ISE.

    Error de resolución CSSMError de resolución de CSSM.

    La solución correcta sería:

    Resolución CSSM satisfactoriaResolución CSSM correcta.

    Plan de acción:

    1. Verifique el tema de configuración DNS en este documento.
    2. Ingrese el comando show running-config en la CLI de ISE para verificar el "ip name-server". El "ip name-server" debe coincidir con la dirección IP del servidor DNS.

    Solución 2: abra la GUI de CSSM para confirmar que el nombre común del host y el certificado del explorador son los mismos que el parámetro de host del servidor en las instalaciones de CSSM en el lado de ISE.

    Escenario incorrecto:

    La resolución CSSM y la configuración de ISE son incorrectasLa resolución de CSSM y la configuración de ISE son incorrectas.

    Situación correcta:

    La resolución CSSM y la configuración de ISE son correctasLa resolución CSSM y la configuración de ISE son correctas.

    Plan de acción: Consulte "Configuración de ISE y CSSM" en esta guía para obtener más información.

    Servicio SSO: no se puede establecer contacto con Cisco. (Error en CSSM en las instalaciones)

    Error al registrar la cuentaError al registrar la cuenta.

    Solución: compruebe su conectividad a Internet.

    Plan de acción:

    1. Si necesita un proxy para obtener acceso a Internet, navegue hasta Network > Proxy y habilite la opción Use A Proxy Server y haga clic en Apply.

    Configuración de proxyConfiguración de proxy.

    El nombre común en el CSR no es un nombre de host o dirección IP que se pueda resolver mediante DNS. Inténtelo de nuevo. (Error en CSSM en las instalaciones)

    error CSRError CSR.

    Solución: compruebe y corrija la resolución DNS en el servidor CSSM.

    1. Abra la CLI CSSM y escriba "nslookup <CSSM_FQDN>"

    En el siguiente ejemplo, podemos ver que cssm.testlab.local no se resolvió desde el servidor CSSM.

    El servidor DNS no es accesibleEl servidor DNS no es accesible.

    El resultado correcto sería el siguiente:

    El servidor DNS es accesibleEl servidor DNS es accesible.

    Plan de acción:

    Verifique las configuraciones DNS en el CSSM en las instalaciones.

    1. Vaya a Red > General > Configuración DNS.

    El DNS primario o alternativo debe ser el mismo que la dirección IP del servidor DNS.

    Configuración de DNSConfiguración de DNS.

    Historial de revisiones

    Revisión Fecha de publicación Comentarios
    1.0
    25-Jul-2024
    Versión inicial
    TAC Authored

    Con la colaboración de ingenieros de Cisco

    • Oscar de Jesus Tegoma Aguilar

    ¿Resultó útil este documento?

    FeedbackComentarios

    Contacte a Cisco

    Este documento se aplica a estos productos