在Prem上配置CSSM并在ISE中注册许可证

下载选项

  • PDF     (5.4 MB)
    在各种设备上使用 Adobe Reader 查看
  • ePub     (5.3 MB)
    在 iPhone、iPad、Android、Sony Reader 或 Windows Phone 上使用各种应用查看
  • Mobi (Kindle)     (3.8 MB)
    在 Kindle 设备上查看或在多个设备上使用 Kindle 应用查看
已更新: 2024 年 7 月 25 日
文档 ID:222207

非歧视性语言

此产品的文档集力求使用非歧视性语言。在本文档集中,非歧视性语言是指不隐含针对年龄、残障、性别、种族身份、族群身份、性取向、社会经济地位和交叉性的歧视的语言。由于产品软件的用户界面中使用的硬编码语言、基于 RFP 文档使用的语言或引用的第三方产品使用的语言,文档中可能无法确保完全使用非歧视性语言。 深入了解思科如何使用包容性语言。

关于此翻译

思科采用人工翻译与机器翻译相结合的方式将此文档翻译成不同语言,希望全球的用户都能通过各自的语言得到支持性的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 Cisco Systems, Inc. 对于翻译的准确性不承担任何责任,并建议您总是参考英文原始文档(已提供链接)。

    简介

    本文档介绍如何将CSSM本地思科身份服务引擎(ISE)思科智能帐户集成,以确保无缝设置。

    先决条件

    要求

    ISE 3.X

    思科智能软件管理器(CSSM)版本8版本202304 +

    使用的组件

    • 身份服务引擎3.2补丁2
    • Prem 8.20234上的SSM
    • Windows Active Directory 2016(DNS证书颁发机构服务)
    • VMWare ESXi版本7

    本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您的网络处于活动状态,请确保您了解所有命令的潜在影响。

    配置

    网络图

    常规拓扑常规拓扑

    在VMWARE ESXi上本地安装CSSM。

    1. 下载Cisco IOS®。您可以使用下一个链接:https://software.cisco.com/download/home/286285506/type/286326948/release/8-202304

    2. 在VMWARE ESXi中上传ISO

    导航到存储>数据存储浏览器。

    Data Browser部分Data Browser部分

    3. 单击创建目录以创建新文件夹(可选)。

    创建目录创建目录

    在本示例中,创建了CSSM文件夹:

    创建文件夹创建文件夹

    4. 单击上传,然后选择ISO文件。

    上传ISO上传ISO

    现在ISO文件位于CSSM文件夹中:

    ISO上传完成ISO上传完成

    5. 创建虚拟机。导航到虚拟机>创建/注册VM。

    创建新的VM第01步创建新的VM第01步

    6. 选择创建新虚拟机,然后单击下一步

    创建新的VM第02步创建新的VM第02步

    7. 然后配置以下参数:

    • Name:输入虚拟机的名称。
    • 兼容性:选择ESXi 6.0或更高版本或ESXi 6.5或更高版本。 
    • 访客操作系统系列:Linux。
    • 访客操作系统版本:选择CentOS 7(64位)或其他2.6x Linux(64位)

    单击 Next

    VM名称和IOSVM名称和IOS

    8. 选择您的存储,然后单击下一步

    存储列表存储列表

    9. 配置以下参数:

    • CPU:最少4个。实际的vCPU设置取决于您的扩展要求
    注释图标

    注意:无论选择的虚拟插槽数量是多少,每个插槽的核心数量都需要设置为1。例如,4个vCPU配置需要配置为4个插槽,每个插槽1个核心。

    核心配置核心配置

    • 内存:8 GB
    • 硬盘:200 GB,并确认调配设置为精简调配

    磁盘配置磁盘配置

    • 网络适配器:选择E1000适配器类型,然后选择开机时连接

    配置网络设置配置网络设置

    • CD/DVD驱动器:选择“数据ISO文件”并选择ISO文件。

    ISO映像ISO映像

    完成前面的步骤后,您可以验证设置的摘要。

    摘要VM配置01摘要VM配置01

    单击 Next

    10. 单击完成

    摘要VM配置02摘要VM配置02

    CSSM本地的初始配置。

    1. VMWARE ESXi中,导航到虚拟机并选择VM,然后单击开机

    开机选项开机选项

    1. 您可以通过多个选项来管理VM控制台。选择Console > Open browser console

    用于管理虚拟机的选项用于管理虚拟机的选项

    1. 配置您的网络设置
    注释图标

    注意:配置解析CSSM FQDN的DNS服务器的IP地址非常重要。

    配置CSSM网络设置配置CSSM网络设置

    单击Ok 配置您的新CLI密码

    1. 然后,安装过程开始并完成,直到您看到访问提示符。

    CSSM初始配置已完成CSSM初始配置已完成

    1. 打开浏览器并输入https:// <ip_address_CSSM>

    CSSM登录页CSSM登录页

    使用默认凭证:

    用户名:admin

    密码:CiscoAdmin!2345

    1. 选择您的语言。
    2. 创建新的GUI密码
    3. 配置主机公用名(示例:hostname.yourdomain)。

    在本例中,cssm.testlab.local被配置为主机公用名

    主机公用名配置主机公用名配置

    1. 验证您的配置并单击Apply

    CSSM初始设置已完成CSSM初始设置已完成。

    将CSSM内部与智能帐户集成

    您需要将智能帐户本地服务器上的CSSM关联。

    1. 使用下一个链接打开思科智能帐户

    https://software.cisco.com/

    1. 然后选择智能软件管理器部分下的管理许可证
    管理许可证选项管理许可证选项
    1. 导航到资产并复制智能帐户名称虚拟帐户。在本指南中,这是InternalTestDemoAccount67和AAA MEX TEST。

    软件思科页面软件思科页面

    1. 打开CSSM GUI并选择Admin Workspace选项。

    主CSSM菜单CSSM主菜单。

    1. 然后选择Accounts

    CSSM帐户帐户。

    1. 选择新帐户以创建新的注册请求。

    创建CSSM帐户创建CSSM帐户。

    1. 输入以下信息:
    • 帐户名称:这是新注册表的自定义名称。
    • 思科智能帐户:粘贴您的智能帐户名称。
    • 思科虚拟帐户:粘贴您的虚拟帐户名称。
    • 通知电子邮件:键入电子邮件。

    账户注册账户注册.

    单击“Submit”。

    1. 然后单击Account Requests

    在此部分中,您可以看到上一步完成的请求。

    帐户请求。帐户请求。

    1. 点击操作

    Actions选项操作选项。

    您有三个选项:

    • 批准:使用此选项通过Internet将CSSM内部注册到您的智能帐户。
    • 拒绝:丢弃请求。
    • 手动注册(Manual Registration):使用此选项可在没有互联网的情况下使用智能帐户在本地注册CSSM。

     选项1:通过Internet连接在本地注册CSSM。

    1. 如果您选择批准,则需要输入您的思科智能帐户的用户名和密码,然后点击提交

    Approve选项批准选项。

    然后单击next接受帐户注册。

    账户注册账户注册.

    要确认注册状态,请导航到帐户,并且帐户状态必须处于活动状态

    帐户状态帐户状态。

    现在打开您的智能帐户(https://software.cisco.com/)。然后选择内部部署帐户选项以查看新注册表。

    内部帐户。内部帐户。

    选项2:无需互联网连接即可自行注册CSSM。

    如果选择手动注册,请点击生成注册文件。这将创建一个将下载到您的计算机的注册请求

    手动注册。手动注册。

    然后打开您的智能帐户(https://software.cisco.com/)并导航到内部帐户

    单击New On-Prem

    正在添加新本地正在添加新本地

    然后配置以下参数:

    • 本地名称:这是新寄存器的自定义名称。
    • 注册文件:点击选择文件并选择注册请求
    • 虚拟帐户:粘贴您的虚拟帐户名称。

    授权文件。授权文件。

    然后单击Generate Authorization File。

    然后下载授权文件。

    下载授权文件正在下载授权文件。

    打开CSSM GUI上传授权文件。单击Browse,选择文件,然后单击Upload

    正在上传授权文件。正在上传授权文件。

    然后导航到同步,并单击操作 > 手动同步 > 完全同步。

    手动同步。手动同步。

    下载同步请求文件

    下载文件同步正在下载文件同步。

    打开您的智能帐户,选择本地帐户,然后在列表中查找您的CSSM本地名称,然后单击操作>文件同步

    正在上载文件同步正在上传文件同步。

    然后上传同步请求文件,并单击Generate Response File

    生成响应文件生成响应文件。

    然后单击Download Synch Response File

    同步文件同步文件。

    最后,将同步响应文件上传到本地CSSM中。

    同步已完成同步已完成。

     将CSSM内部部署与ISE集成。

    1. 打开CSSM GUI,然后选择Admin Workspace

    CSSM主菜单。CSSM主菜单。

    1. 导航到安全>证书>生成CSR
    注释图标

    注意:务必在主机公用名上配置主机名+域,因为ISE使用此参数与CSSM建立连接。您可以使用IP地址而不是主机名+域,但是建议使用主机名+域

    注释图标

    注意:接下来的步骤说明了在CSSM中安装GUI证书的过程。如果要使用个人证书颁发机构(CA)签名的证书保护与GUI CSSM的管理连接,您需要检查后续步骤。否则,请直接检查步骤9。

    CSR选项CSR选项

    1. 然后输入您的个人信息。请注意,Subject Alternative Name是通过使用与Common Name相同的值自动创建的。点击生成后,将自动下载CSR

    CSR详细信息CSR详细信息。

    1. 对CSR签名:有关详细信息,请查阅本文档中的从Windows CA创建证书
    1. 上传根CA证书

    正在上传根CA正在上传根CA。

    单击Proceed

    Proceed选项Proceed选项。

    1. 输入说明,选择根证书,然后单击确定

    描述根CA描述根CA。

    1. 上传由CA签名的CSR(CSSM身份证书)。

    上传CSSM身份证书上传CSSM身份证书。

    注释图标

    注意:注意:在我们的情况下,中间证书在我们的CA中不存在。但是,如果在架构中使用中间证书,则中间证书是必需的。

    8. 然后,确认两个证书均已安装。

    证书验证证书验证。

    1. SSM本地创建令牌:选择许可工作空间

    Workspace页工作空间页面。

    1. 导航到智能许可

    CSSM智能许可页面CSSM智能许可页面

    1. 查找您的本地虚拟帐户,然后单击新建令牌并单击继续。

    新令牌选项新令牌选项。

    1. 选择创建令牌并复制它。

    创建新令牌创建新令牌。

    令牌详细信息令牌详细信息。

    1. 打开ISE GUI并导航到Administration > Systems > Licensing,然后点击Registration details,选择SSM On-Prem server Host method,然后粘贴令牌。

    许可证登记许可证登记。

    1. SSM内部部署服务器主机上输入SSM内部部署 FQDN,然后单击注册

    CSSM和ISE设置CSSM和ISE设置。

    注释图标

    注意:务必在主机公用名上配置主机名+域,因为ISE使用此参数与CSSM建立连接。您可以使用IP地址而不是主机名+域,但建议使用主机名+域

    1. 最后,注册完成。

    注册已完成注册已完成。

     从Windows CA创建证书。

    如果您是证书颁发机构的管理员,则必须执行以下操作:

    1. 打开Web浏览器并导航到http://localhost/certsrv/
    2. 单击Request a certificate

    请求证书请求证书。

    1. 单击高级证书请求

    高级证书请求高级证书请求。

    1. 打开以前生成的CSR。  然后复制信息并粘贴到Saved request上。

    提交证书提交证书。

    点击提交后,将自动下载证书

    1. 现在下载CA证书根目录。导航回http://localhost/certsrv/并选择下载CA证书、证书链或CRL

    下载根CA下载根CA

    1. 使用编码方法下载CA证书作为Base64。

    Base 64选项Base 64选项。

    在Windows服务器上添加DNS记录。

    如果您是管理员,请添加ISE和CSSM FQDN。

    1. 打开DNS管理器:在Windows查找器上键入“DNS”并打开DNS应用。

    DNS选项DNS选项。

    1. 导航到正向查找区域>并选择您的域。

    DNS管理器DNS管理器。

    1. 右键单击屏幕上的黑色空白并选择“New Host (A or AAAA)

    添加记录正在添加记录。

    1. 将记录DNS配置为下一个:
    • Name:表示主机的名称。
    • 设备的IP地址

    点击“添加主机

    记录设置记录设置。

    故障排除

    主机/IP地址不可达。  (ISE出错)

    不可达错误可访问的错误。

    解决方案1:检查并修复ISE节点中的DNS配置

    1. 打开ISE CLI并键入“nslookup <CSSM_FQDN>

    在下一个示例中,我们可以看到从ISE节点未解析cssm.testlab.local。

    CSSM解析失败CSSM解析失败。

    正确的解决方法是:

    CSSM解析成功CSSM解析成功。

    行动计划:

    1. 检查本文档中的DNS配置主题
    2. 在ISE CLI上输入show running-config命令以检查“ip name-server”。“ip name-server”需要与DNS服务器的IP地址匹配。

    解决方案2:打开CSSM GUI,确认主机通用名称浏览器证书与ISE端的CSSM内部服务器主机参数相同

    错误的场景:

    CSSM解析和ISE设置不正确CSSM解析和ISE设置不正确。

    正确情况:

    CSSM分辨率和ISE设置正确CSSM分辨率和ISE设置正确。

    行动计划:请参阅本指南中的“ISE和CSSM配置”,了解更多信息。

    SSO服务:无法访问思科。(本地CSSM出错)

    帐户注册失败帐户注册失败。

    解决方案:检查您的互联网连接。

    行动计划:

    1. 如果需要代理来访问Internet,请导航到网络>代理,启用使用代理服务器选项并单击应用

    代理配置代理配置.

    CSR中的公用名不是DNS可解析的主机名或IP地址,请重试。 (本地CSSM出错)

    CSR错误CSR错误。

    解决方案:检查并修复CSSM服务器上的DNS解析。

    1. 打开CSSM CLI并键入nslookup <CSSM_FQDN>

    在下一个示例中,我们可以看到从CSSM服务器未解析cssm.testlab.local。

    无法访问DNS服务器无法访问DNS服务器。

    正确的输出是下一个:

    DNS服务器可访问DNS服务器可访问。

    行动计划:

    检查本地CSSM上的DNS配置。

    1. 导航到网络 > 常规 > DNS设置。

    主DNS或备用DNS需要与DNS服务器的IP地址相同。

    DNS设置DNS设置。

    修订历史记录

    版本 发布日期 备注
    1.0
    25-Jul-2024
    初始版本
    TAC Authored

    由思科工程师提供

    • 奥斯卡·德·赫苏斯·特戈马·阿吉拉尔

    此文档是否有帮助?

    Feedback反馈

    联系我们

    本文档适用于以下产品