Configurar o CSSM no local e registrar licenças com o ISE

Opções de download

  • PDF     (5.3 MB)
    Ver no Adobe Reader em vários dispositivos
  • ePub     (5.3 MB)
    Ver em vários aplicativos no iPhone, iPad, Android, Sony Reader ou Windows Phone
  • Mobi (Kindle)     (3.8 MB)
    Ver no dispositivo Kindle ou no aplicativo Kindle em vários dispositivos
Atualizado:25 de julho de 2024
ID do documento:222207

Linguagem imparcial

O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.

Sobre esta tradução

A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.

    Introdução

    Este documento descreve a integração do CSSM On-Prem com o Cisco Identity Service Engine (ISE) e Cisco Smart Account, garantindo uma configuração perfeita.

    Pré-requisitos

    Requisitos

    ISE 3.X

    Cisco Smart Software Manager(CSSM) Versão 8 Versão 202304 +

    Componentes Utilizados

    • Identity Service Engine 3.2 patch 2
    • SSM no local 8.20234
    • Serviços do Windows Ative Diretory 2016 (DNS e Autoridade de Certificação)
    • VMWare ESXi versão 7

    As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a rede estiver ativa, certifique-se de que você entenda o impacto potencial de qualquer comando.

    Configurar

    Diagrama de Rede

    Topologia geralTopologia geral

    Instale o CSSM Local no VMWARE ESXi.

    1. Faça o download do Cisco IOS®. Você pode usar o próximo link: https://software.cisco.com/download/home/286285506/type/286326948/release/8-202304

    2. Carregue o ISO no VMWARE ESXi.

    Navegue até Storage > Datastore Browser.

    Seção do navegador de dadosSeção do navegador de dados

    3. Clique em Criar Diretório para criar uma nova pasta (opcional).

    Criação de diretórioCriação de diretório

    Neste exemplo, a pasta CSSM foi criada:

    Criação de pastasCriação de pastas

    4. Clique em Carregar e escolha o arquivo ISO.

    Carregando ISOCarregando ISO

    Agora o arquivo ISO está na pasta CSSM:

    O carregamento de ISO foi concluídoO carregamento de ISO foi concluído

    5. Crie a Máquina Virtual. navegue até Máquina Virtual > Criar / Registrar VM.

    Criando uma nova VM etapa 01Criando uma nova VM etapa 01

    6. Escolha Create a new virtual machine e clique em next.

    Criando uma nova VM etapa 02Criando uma nova VM etapa 02

    7. Em seguida, configure os próximos parâmetros:

    • Nome: Informe o nome da sua máquina virtual.
    • Compatibilidade: selecione ESXi 6.0 ou posterior ou ESXi 6.5 ou posterior. 
    • Família de sistemas operacionais convidados: Linux.
    • Versão do SO convidado: escolha CentOS 7 (64 bits) ou Other 2.6x Linux (64 bits)

    Clique em Next.

    Nome da VM e IOSNome da VM e IOS

    8. Selecione seu armazenamento e clique em Avançar.

    Lista de armazenamentoLista de armazenamento

    9. Configure os próximos parâmetros:

    • CPU: 4 no mínimo. A configuração real do vCPU depende do seu requisito de escala
    note-icon

    Observação: a quantidade de núcleos por soquete precisa ser definida como 1, independentemente do número de soquetes virtuais selecionados. Por exemplo, uma configuração de 4 vCPUs precisa ser configurada como 4 soquetes e 1 núcleo por soquete.

    Configuração dos núcleosConfiguração dos núcleos

    • Memória: 8 GB
    • Disco rígido: 200 GB e verifique se o provisionamento está definido como Thin Provision.

    Configuração do discoConfiguração do disco

    • Adaptador de rede: selecione o tipo de adaptador E1000 e selecione Connect at Power On (Conectar ao ligar).

    Definição de configurações de redeDefinição de configurações de rede

    • Unidade de CD/DVD: selecione "Arquivo ISO de dados" e selecione o arquivo ISO.

    imagem ISOimagem ISO

    Você pode verificar o resumo das configurações depois de concluir as etapas anteriores.

    Resumo da configuração da VM 01Resumo da configuração da VM 01

    Clique em Next.

    10. Clique em Finalizar.

    Resumo da configuração da VM 02Resumo da configuração da VM 02

    Configuração inicial de CSSM no local .

    1. No VMWARE ESXi, navegue para Máquinas virtuais, selecione sua VM e clique em Ligar.

    Opção LigarOpção Ligar

    1. Você tem várias opções para gerenciar o console da VM. Selecione Console > Abrir console do navegador.

    Opções para gerenciar a VMOpções para gerenciar a VM

    1. Defina suas configurações de rede.
    note-icon

    Observação: é importante configurar o endereço IP do servidor DNS que resolve o FQDN CSSM.

    Definição das configurações de rede CSSMDefinição das configurações de rede CSSM

    Clique em Ok para configurar sua nova senha CLI.

    1. Em seguida, o processo de instalação é iniciado e concluído até que você veja o prompt de acesso.

    Configuração inicial do CSSM concluídaConfiguração inicial do CSSM concluída

    1. Abra um navegador e digite https://<ip_address_CSSM>.

    página de login do CSSMpágina de login do CSSM

    Usar as credenciais padrão:

    Nome de usuário: admin

    Senha: CiscoAdmin!2345

    1. Selecione seu idioma.
    2. Crie uma nova senha da GUI.
    3. Configure o nome comum do host. (exemplo: hostname.seudomínio).

    Nesse caso, o cssm.testlab.local foi configurado como Host Common Name.

    Configuração de nome comum do hostConfiguração de nome comum do host

    1. Valide sua configuração e clique em Apply.

    Configurações iniciais de CSSM concluídasConfigurações iniciais de CSSM concluídas.

    Integrar o CSSM no local com Smart Account

    Você precisa associar sua Smart Account ao seu CSSM no servidor local.

    1. Abra sua Cisco Smart Account usando o próximo link:

    https://software.cisco.com/

    1. Em seguida, selecione Manage Licenses na seção Smart Software Manager.
    Opção Gerenciar licençasOpção Gerenciar licenças
    1. Navegue até Inventário e copie o nome de sua Conta inteligente e Conta virtual. Neste guia, esta é InternalTestDemoAccount67 e AAA MEX TEST.

    página Software Ciscopágina Software Cisco

    1. Abra a GUI do CSSM e selecione a opção Admin Workspace.

    Menu principal do CSSMMenu principal do CSSM.

    1. Em seguida, selecione Contas.

    Contas CSSMContas.

    1. Selecione Nova conta para criar uma nova solicitação de registro.

    Criação de conta CSSMCriação de conta CSSM.

    1. Digite as próximas informações:
    • Nome da conta: é um nome personalizado do novo registro.
    • Cisco Smart Account: cole seu nome de Smart Account.
    • Cisco Virtual Account: cole seu nome de Virtual Account.
    • Email para notificação: digite seu email.

    Registro de contaRegistro de conta.

    Clique em Submit.

    1. Em seguida, clique em Account Requests.

    Você pode ver a solicitação feita na etapa anterior nesta seção.

    Solicitação de conta.Solicitação de conta.

    1. Clique em ações.

    opção Açõesopção Ações.

    Você tem três opções:

    • Aprovar: use esta opção para registrar o CSSM no local em sua Smart Account pela Internet.
    • Rejeitar: Descarte a solicitação.
    • Registro manual: use esta opção para registrar o CSSM no local em sua Smart Account sem Internet.

     OPÇÃO 1: Registre seu CSSM no local por meio da conexão com a Internet.

    1. Se você escolher Aprovar, será necessário inserir o nome de usuário e a senha da sua Conta inteligente da Cisco e clicar em Enviar.

    opção AprovarOpção Aprovar.

    Em seguida, clique em avançar para aceitar o registro da conta.

    Registro de contaRegistro de conta.

    Para confirmar o status do registro, navegue até Conta e o status da conta deve ser como ativo.

    Status da contaStatus da conta.

    Agora abra sua Conta inteligente (https://software.cisco.com/). Em seguida, selecione a opção On-Prem Accounts para ver o novo registro.

    Na Conta Local.Na Conta Local.

    OPÇÃO 2: Registre seu CSSM no local sem uma conexão com a Internet.

    Se você escolher Manual Registration, clique em Generate Registration File. Isso cria uma solicitação de registro que será baixada para o seu computador.

    Registro manual.Registro manual.

    Em seguida, abra sua Conta inteligente (https://software.cisco.com/) e navegue até Contas locais.

    Clique em Novo no local

    Adicionando novo Local.Adicionando novo Local.

    Em seguida, configure os próximos parâmetros:

    • Nome no local: é um nome personalizado do novo registro.
    • Arquivo de registro: Clique em Escolher arquivo e selecione a Solicitação de registro.
    • Virtual Account: cole seu nome de Virtual Account.

    Arquivo de autorização.Arquivo de autorização.

    E clique em Gerar arquivo de autorização.

    Em seguida, faça o download do arquivo de autorização.

    Baixando arquivo de autorizaçãoBaixando arquivo de autorização.

    Abra a GUI do CSSM para carregar o arquivo de autorização. Clique em Procurar, escolha o arquivo e clique em Carregar.

    Carregando arquivo de autorização.Carregando arquivo de autorização.

    Em seguida, navegue até Sincronização e clique em Ações > Sincronização manual > Sincronização completa.

    Manual Sync (Sincronização manual).Manual Sync (Sincronização manual).

    Baixe o arquivo de solicitação de sincronização.

    Baixando sincronização de arquivosBaixando a Sincronização de Arquivos.

    Abra sua Smart Account, selecione On-Prem Account, procure seu nome CSSM On-Prem na lista e clique em Ações > Sincronização de arquivos

    Carregando sincronização de arquivoCarregando sincronização de arquivos.

    Em seguida, carregue o arquivo de solicitação de sincronização e clique em Gerar arquivo de resposta.

    Gerando um arquivo de respostaGerar um arquivo de resposta.

    Em seguida, clique em Download Synch Response File

    Sincronizar arquivoSincronizar arquivo.

    Por fim, carregue o Synch Response File no CSSM no local.

    Sincronização concluídaSincronização concluída.

     Integrar o CSSM no local com o ISE.

    1. Abra a GUI do CSSM e selecione Admin Workspace.

    Menu principal do CSSM.Menu principal do CSSM.

    1. Navegue até Segurança > Certificados > Gerar CSR
    note-icon

    Observação: é importante ter o nome do host + domínio configurado no Nome comum do host porque o ISE usa esse parâmetro para estabelecer uma conexão com o CSSM. Você pode usar um endereço IP em vez do nome do host + domínio, entretanto a recomendação é usar o nome do host + domínio

    note-icon

    Observação: as próximas etapas descrevem o procedimento para instalar o certificado da GUI no CSSM. Se você quiser proteger a conexão de gerenciamento ao seu CSSM de GUI usando um certificado assinado por sua CA (Autoridade de Certificação) pessoal, você precisará verificar as próximas etapas. Caso contrário, verifique diretamente a etapa 9.

    opção de CSRopção de CSR.

    1. Em seguida, insira suas informações pessoais. Esteja ciente de que o Nome alternativo do assunto é criado automaticamente usando o mesmo valor que o Nome comum. O download do CSR é feito automaticamente após clicar em Gerar.

    Detalhes de CSRDetalhes de CSR.

    1. Assine o CSR: para obter mais informações, consulte "Criar certificados da CA do Windows." neste documento.
    1. Carregue o certificado CA raiz.

    Carregando CA raizCarregando CA raiz.

    Clique em Continuar.

    Opção ContinuarOpção Prosseguir.

    1. Insira uma descrição, escolha o certificado raiz e clique em Ok.

    Descrição da CA raizDescrição da CA raiz.

    1. Carregue o CSR assinado pela CA (CSSM Identity Certificate).

    Carregando o certificado de identidade CSSMCarregando o certificado de identidade CSSM.

    note-icon

    Observação: OBSERVAÇÃO: no nosso caso, o certificado intermediário não existe em nossa CA. No entanto, se você usar um certificado intermediário em sua arquitetura, o certificado intermediário será obrigatório.

    8. Em seguida, confirme se ambos os certificados foram instalados.

    Validação de certificadosValidação de certificados.

    1. Crie um token no SSM Local: selecione Espaço de Trabalho de licenciamento.

    Página do WorkspacePágina do Workspace.

    1. navegue até Smart Licensing.

    Página de licenciamento do CSSM SmartPágina de licenciamento do CSSM Smart

    1. Procure sua Conta virtual local e clique em Novo token e em Continuar.

    Nova opção de tokenNova opção de token.

    1. Selecione Create Token e copie-o.

    Criação de novo tokenCriação de novo token.

    Detalhes do tokenDetalhes do token.

    1. Abra a GUI do ISE e navegue para Administration > Systems > Licensing, em seguida, clique em Registration details, selecione o SSM On-Prem server Host method, e cole o token.

    Registro de licençasRegistro de licenças.

    1. Insira o FQDN do SSM no local no Host do servidor no local do SSM e clique em Registrar.

    Configurações de CSSM e ISEConfigurações de CSSM e ISE.

    note-icon

    Observação: é importante ter o nome de host + domínio configurado no Nome comum do host porque o ISE usa esse parâmetro para estabelecer uma conexão com o CSSM. Você pode usar um endereço IP em vez do nome do host + domínio, entretanto a recomendação é usar o nome do host + domínio

    1. E, finalmente, o registro foi completado.

    Registro concluídoRegistro concluído.

     Criar certificados da autoridade de certificação do Windows.

    Se você for o administrador da Autoridade de certificação, deverá fazer o seguinte:

    1. Abra um navegador e navegue até http://localhost/certsrv/
    2. Clique em Request a certificate.

    Solicitar certificadoSolicitar certificado.

    1. Clique em solicitação de certificado avançado.

    Solicitação avançada de certificadoSolicitação avançada de certificado.

    1. Abra o CSR gerado anteriormente.  Em seguida, copie as informações e cole-as na solicitação salva.

    Enviar certificadoEnviar certificado.

    Após clicar em Enviar, o download do certificado é feito automaticamente.

    1. Baixe agora a raiz do certificado de autoridade de certificação. navegue de volta para http://localhost/certsrv/ e selecione Baixar um Certificado de Autoridade de Certificação, Cadeia de Certificados ou CRL.

    Baixar CA raizBaixar CA raiz.

    1. Baixe o certificado CA usando o método de codificação Base64.

    Opção de base 64Opção de base 64.

    Adicionar registros DNS no Windows Server.

    Se você for o administrador, adicione os FQDNs do ISE e do CSSM.

    1. Abra o Gerenciador DNS: digite "DNS" no localizador do Windows e abra o aplicativo DNS.

    opção DNSopção DNS.

    1. Navegue até Forward Lookup Zones > E escolha seu domínio.

    gerenciador DNSgerenciador DNS.

    1. Clique com o botão direito do mouse em um espaço preto sobre a tela e selecione "New Host (A or AAAA)"

    Adicionando registroAdicionando registro.

    1. Configure o registro DNS como o seguinte:
    • Nome: Significa o nome do host.
    • O endereço IP do dispositivo.

    Clique em "Add Host"

    Configurações de registroConfigurações de gravação.

    Troubleshooting

    Host/Endereço IP não está acessível.  (Erro no ISE)

    Erro não alcançávelErro alcançável.

    Solução 1: verifique e corrija a configuração DNS no nó ISE.

    1. Abra o ISE CLI e digite "nslookup <CSSM_FQDN>"

    No próximo exemplo, podemos ver que cssm.testlab.local não foi resolvido no nó ISE.

    Falha na resolução CSSMFalha na resolução CSSM.

    A resolução correta seria:

    Resolução CSSM bem-sucedidaResolução CSSM com êxito.

    Plano de ação:

    1. Verifique o tópico de configuração de DNS neste documento.
    2. Insira o comando show running-config na CLI do ISE para verificar o "ip name-server". O "ip name-server" precisa coincidir com o endereço IP do servidor DNS.

    Solução 2: Abra a GUI do CSSM para confirmar se o nome comum do host e o certificado do navegador são os mesmos que o parâmetro do host do servidor local CSSM no lado do ISE.

    Cenário errado:

    A resolução CSSM e a configuração ISE estão incorretasA resolução CSSM e a configuração ISE estão incorretas.

    Cenário correto:

    A resolução CSSM e a configuração ISE estão corretasA resolução CSSM e a configuração ISE estão corretas.

    Plano de ação: consulte "Configuração do ISE e do CSSM" neste guia para obter mais informações.

    Serviço SSO: não é possível contatar a Cisco. (Erro no CSSM no local)

    Falha no registro da contaFalha no registro da conta.

    Solução: verifique sua conectividade com a Internet.

    Plano de ação:

    1. Se precisar de um proxy para obter acesso à Internet, navegue para Rede > Proxy, ative a opção Usar um servidor proxy e clique em Aplicar.

    Configuração de proxyConfiguração de proxy.

    O nome comum no CSR não é um nome de host ou endereço IP que possa ser resolvido por DNS. Tente novamente. (Erro no CSSM no local)

    erro de CSRErro de CSR.

    Solução: verifique e corrija a resolução DNS no servidor CSSM.

    1. Abra o CSSM CLI e digite "nslookup <CSSM_FQDN>"

    No próximo exemplo, podemos ver que cssm.testlab.local não foi resolvido no servidor CSSM.

    O servidor DNS não está acessívelO servidor DNS não está acessível.

    A saída correta seria a seguinte:

    O servidor DNS está acessívelO servidor DNS está acessível.

    Plano de ação:

    Verifique as configurações DNS no CSSM Local.

    1. navegue até Network > General > DNS Setting.

    O DNS primário ou alternativo precisa ser o mesmo que o endereço IP do servidor DNS.

    Configurações DNSConfigurações DNS.

    Histórico de revisões

    Revisão Data de publicação Comentários
    1.0
    25-Jul-2024
    Versão inicial
    TAC Authored

    Colaborado por engenheiros da Cisco

    • Oscar de Jesus Tegoma Aguilar

    Este documento lhe foi útil?

    FeedbackFeedback

    Contate a Cisco

    Este documento se refere a estes produtos