在Prem上配置CSSM並向ISE註冊許可證

下載選項

  • PDF     (5.4 MB)
    在多種裝置上使用 Adobe Reader 檢視
  • ePub     (5.3 MB)
    在 iPhone、iPad、Android、Sony Reader 或 Windows Phone 上的各種應用程式中檢視
  • Mobi (Kindle)     (3.8 MB)
    在 Kindle 裝置或多部裝置的 Kindle 應用程式上檢視
已更新: 2024 年 7 月 25 日
文件 ID:222207

無偏見用語

本產品的文件集力求使用無偏見用語。針對本文件集的目的,無偏見係定義為未根據年齡、身心障礙、性別、種族身分、民族身分、性別傾向、社會經濟地位及交織性表示歧視的用語。由於本產品軟體使用者介面中硬式編碼的語言、根據 RFP 文件使用的語言,或引用第三方產品的語言,因此本文件中可能會出現例外狀況。深入瞭解思科如何使用包容性用語。

關於此翻譯

思科已使用電腦和人工技術翻譯本文件,讓全世界的使用者能夠以自己的語言理解支援內容。請注意,即使是最佳機器翻譯,也不如專業譯者翻譯的內容準確。Cisco Systems, Inc. 對這些翻譯的準確度概不負責,並建議一律查看原始英文文件(提供連結)。

    簡介

    本文檔介紹如何將CSSM內部部署思科身份服務引擎(ISE)思科智慧帳戶整合,從而確保無縫設定。

    必要條件

    需求

    ISE 3.X

    思科智慧軟體管理員(CSSM)版本8版本202304 +

    採用元件

    • 身份服務引擎3.2修補2
    • Prem 8.20234上的SSM
    • Windows Active Directory 2016(DNS證書頒發機構服務)
    • VMWare ESXi版本7

    本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除(預設)的組態來啟動。如果您的網路運作中,請確保您瞭解任何指令可能造成的影響。

    設定

    網路圖表

    一般拓撲一般拓撲

    在VMWARE ESXi上安裝CSSM內部版本。

    1. 下載Cisco IOS®。您可以使用下一個連結:https://software.cisco.com/download/home/286285506/type/286326948/release/8-202304

    2. 上傳VMWARE ESXi中的ISO

    導航到儲存>資料儲存瀏覽器。

    資料瀏覽器區段資料瀏覽器區段

    3. 按一下建立目錄以建立新資料夾(可選)。

    建立目錄建立目錄

    在本示例中,建立了CSSM資料夾:

    建立資料夾建立資料夾

    4. 按一下上傳,然後選擇您的ISO檔案。

    上傳ISO上傳ISO

    現在,ISO檔案位於CSSM資料夾中:

    ISO上傳已完成ISO上傳已完成

    5. 建立虛擬機器。導航到虛擬機器>建立/註冊VM

    建立新VM第01步建立新VM第01步

    6. 選擇建立新虛擬機器,然後按一下下一步

    建立新VM第02步建立新VM第02步

    7. 然後設定下列引數:

    • 名稱:輸入虛擬機器器的名稱。
    • 相容性:選擇ESXi 6.0或更高版本或ESXi 6.5或更高版本。 
    • 來賓作業系統系列:Linux。
    • 來賓作業系統版本:選擇CentOS 7 (64位元)或其他2.6x Linux (64位元)

    按「Next」(下一步)。

    VM名稱和IOSVM名稱和IOS

    8. 選擇儲存,然後按一下下一步

    儲存清單儲存清單

    9. 設定下列引數:

    • CPU:最少4個。實際的vCPU設定取決於您的擴展要求
    附註圖示

    :無論選擇的虛擬套接字數量如何,每個套接字的核心數量都需要設定為1。例如,4個vCPU配置需要配置為4個插槽,每個插槽1個核心。

    核心組態核心組態

    • 記憶體:8 GB
    • 硬碟:200 GB,並確認隨需分配已設為「精簡隨需分配」

    磁碟組態磁碟組態

    • 網路介面卡:選取E1000介面卡型別,然後選取開機時連線

    設定網路設定設定網路設定

    • CD / DVD光碟機:選擇「Data ISO file」,然後選取ISO檔案。

    ISO映像ISO映像

    完成前面的步驟後,您可以驗證設定的摘要。

    摘要VM配置01摘要VM配置01

    按「Next」(下一步)。

    10. 按一下完成

    摘要VM配置02摘要VM配置02

    CSSM On-Prem 的初始配置。

    1. VMWARE ESXi中,導航到虛擬機器並選擇虛擬機器,然後按一下打開

    電源開啟選項電源開啟選項

    1. 您可使用多個選項來管理VM控制檯。選擇Console > Open browser console

    用於管理虛擬機器的選項用於管理虛擬機器的選項

    1. 配置您的網路設定
    附註圖示

    注意:配置解析CSSM FQDN的DNS伺服器的IP地址非常重要。

    配置CSSM網路設定配置CSSM網路設定

    按一下Ok 以配置您的新CLI口令

    1. 然後安裝程式開始並完成,直到您看到存取提示為止。

    CSSM初始配置已完成CSSM初始配置已完成

    1. 打開瀏覽器並輸入https:// <ip_address_CSSM>

    CSSM登入頁面CSSM登入頁面

    使用預設證明資料:

    使用者名稱:admin

    密碼:CiscoAdmin!2345

    1. 選擇您的語言。
    2. 建立新的GUI密碼
    3. 配置主機公用名(示例:hostname.yourdomain)。

    在這種情況下,cssm.testlab.local被配置為主機公用名

    主機公用名配置主機公用名配置

    1. 驗證您的配置,然後按一下Apply

    CSSM初始設定已完成CSSM初始設定已完成。

    將CSSM現場管理與智慧帳戶整合

    您需要將智慧帳戶高級伺服器上的CSSM關聯。

    1. 使用下一個連結打開您的思科智慧帳戶

    https://software.cisco.com/

    1. 然後選擇智慧軟體管理器部分下的管理許可證
    管理許可證選項管理許可證選項
    1. 導航到資產並複製智慧帳戶名稱虛擬帳戶的名稱。在本指南中,這是InternalTestDemoAccount67和AAA MEX TEST。

    軟體思科頁面軟體思科頁面

    1. 打開CSSM GUI並選擇Admin Workspace選項。

    主CSSM選單CSSM主選單。

    1. 然後選擇Accounts

    CSSM帳戶帳戶。

    1. 選擇新帳戶以建立新的註冊請求。

    建立CSSM帳戶建立CSSM帳戶。

    1. 輸入下一個資訊:
    • 帳號名稱:這是新登入的自訂名稱。
    • 思科智慧帳戶:貼上您的智慧帳戶名稱。
    • 思科虛擬帳戶:貼上您的虛擬帳戶名稱。
    • 通知電子郵件:鍵入電子郵件。

    帳戶註冊帳戶註冊。

    按一下Submit

    1. 然後按一下Account Requests

    您可以在本節中看到上一步完成的請求。

    帳戶請求。帳戶請求。

    1. 點選操作

    Actions選項動作選項。

    您有三個選項:

    • 批准:使用此選項透過網際網路向智慧帳戶內部註冊CSSM。
    • 拒絕:刪除請求。
    • 手動註冊:使用此選項可在沒有網際網路的智慧帳戶中本地註冊CSSM。

     選項1:透過Internet連線在本地註冊CSSM。

    1. 如果選擇批准,您需要輸入您的思科智慧帳戶的使用者名稱和密碼,然後點選提交

    核准選項核准選項。

    然後,按一下下一步接受帳戶註冊。

    帳戶註冊帳戶註冊。

    要確認註冊狀態,請導航到帳戶帳戶狀態必須作為活動

    帳戶狀態帳戶狀態。

    現在打開您的智慧帳戶(https://software.cisco.com/)。然後選擇On-Prem Accounts選項以檢視新登錄檔。

    On Prem帳戶。On Prem帳戶。

    選項2:無需網際網路連線即可註冊本地CSSM。

    如果選擇Manual Registration,請按一下Generate Registration File。這將建立一個將下載到您的電腦的註冊請求

    手動註冊。手動註冊。

    然後,打開您的智慧帳戶(https://software.cisco.com/),導航至內部帳戶

    點選新建本地

    正在新增內部部署。正在新增內部部署。

    然後配置以下引數:

    • 內部名稱:這是新暫存器的自定義名稱。
    • 註冊檔案:按一下選擇檔案並選擇註冊請求
    • 虛擬帳戶:貼上您的虛擬帳戶名稱。

    授權檔案。授權檔案。

    然後按一下Generate Authorization File

    然後下載授權檔案

    正在下載授權檔案正在下載授權檔案。

    打開CSSM GUI上傳授權檔案。按一下Browse,選擇檔案,然後按一下Upload

    正在上傳授權檔案。正在上傳授權檔案。

    然後,導航到同步,然後按一下操作 > 手動同步 > 完全同步

    手動同步。手動同步。

    下載同步請求檔案

    正在下載檔案同步正在下載檔案同步。

    打開智慧帳戶並選擇本地帳戶,然後在清單中查詢您的CSSM本地名稱,然後按一下操作>檔案同步

    正在上載檔案同步正在上傳檔案同步。

    然後上傳同步請求檔案,然後按一下生成響應檔案

    產生回應檔案生成響應檔案。

    然後按一下Download Synch Response File

    同步檔案同步檔案。

    最後,將Synch Response File上傳到CSSM on Premise。

    同步已完成同步已完成。

     將CSSM內部與ISE整合。

    1. 打開CSSM GUI,然後選擇Admin Workspace

    CSSM主選單。CSSM主選單。

    1. 導航到安全>證書>生成CSR
    附註圖示

    注意:務必在主機公用名上配置主機名+域,因為ISE使用此引數與CSSM建立連線。您可以使用IP地址代替hostname + domain,但建議使用hostname + domain

    附註圖示

    注意:後續步驟介紹在CSSM中安裝GUI證書的過程。如果要使用個人證書頒發機構(CA)簽署的證書保護與GUI CSSM的管理連線,您需要檢查後續步驟。否則,請直接檢查步驟9。

    CSR選項CSR選項。

    1. 然後輸入您的個人資訊。請注意,使用與公用名相同的值會自動建立主題備用名稱。點選生成後,將自動下載CSR

    CSR詳細資訊CSR詳細資訊。

    1. 簽署CSR:有關詳細資訊,請查閱本文檔中的從Windows CA建立證書
    1. 上傳根CA證書

    正在上傳根CA正在上傳根CA。

    按一下Proceed

    繼續選項繼續選項。

    1. 輸入說明並選擇根證書,然後按一下確定

    描述根CA描述根CA。

    1. 上傳由CA簽署的CSR(CSSM辨識憑證)。

    上傳CSSM身份證書正在上傳CSSM身份證書。

    附註圖示

    注意:注意:在我們的案例中,中間證書不存在於我們的CA中。但是,如果您在架構中使用中間證書,則中間證書是必需的。

    8. 然後,確認兩個證書都已安裝。

    憑證驗證憑證驗證。

    1. SSM本地建立令牌:選擇許可工作區

    工作區頁面工作區頁面。

    1. 導航到智慧許可

    CSSM智慧許可頁面CSSM智慧許可頁面

    1. 查詢您的本地虛擬帳戶,然後按一下New Token並按一下Proceed

    新增記號選項新增記號選項。

    1. 選擇建立令牌並複製它。

    建立新令牌建立新權杖。

    令牌詳細資訊令牌詳細資訊。

    1. 打開ISE GUI並導航到Administration > Systems > Licensing,然後點選Registration details,選擇SSM On-Prem server Host 方法,然後貼上令牌。

    許可證登記許可證登記。

    1. SSM內部伺服器主機上輸入SSM內部伺服器 FQDN,然後按一下註冊

    CSSM和ISE設定CSSM和ISE設定。

    附註圖示

    注意:務必在主機公用名上配置主機名+域,因為ISE使用此引數與CSSM建立連線。您可以使用IP地址代替hostname + domain,但建議使用hostname + domain

    1. 最後,註冊完成。

    註冊已完成註冊已完成。

     從Windows CA建立證書。

    如果您是憑證授權單位的管理員,您必須執行下列作業:

    1. 打開Web瀏覽器並導航至http://localhost/certsrv/
    2. 按一下Request a certificate

    要求憑證要求憑證。

    1. 按一下「advanced certificate request」。

    進階憑證要求進階憑證要求。

    1. 打開之前生成的CSR。  然後複製資訊並貼上到Saved request上。

    提交證書提交證書。

    按一下Submit後,將自動下載證書

    1. 現在下載CA證書根目錄。導航回http://localhost/certsrv/並選擇下載CA證書、證書鏈或CRL

    下載根CA下載根CA。

    1. 使用Base64編碼下載CA證書。

    基本64選項基本型64選項。

    在Windows Server上增加DNS記錄。

    如果您是管理員,請增加ISE和CSSM FQDN。

    1. 打開DNS管理器:在Windows查詢器中鍵入「DNS」,然後打開DNS應用。

    DNS選項DNS選項。

    1. 導航到正向查詢區域>並選擇您的域。

    DNS管理員DNS管理員。

    1. 按一下右鍵螢幕上的黑色空白並選擇「New Host (A or AAAA)

    正在新增記錄正在新增記錄。

    1. 將記錄DNS配置為下一個:
    • 名稱:代表主機的名稱。
    • 裝置的IP地址

    點選「增加主機

    記錄設定記錄設定。

    疑難排解

    無法存取主機/IP位址。  (在ISE上出錯)

    無法連線錯誤可連線錯誤。

    解決方案1:檢查並修復ISE節點中的DNS配置

    1. 打開ISE CLI,然後鍵入「nslookup <CSSM_FQDN>

    在下一個示例中,我們可以看到從ISE節點解析cssm.testlab.local。

    CSSM解析失敗CSSM解析失敗。

    正確的解決方案是:

    CSSM解析成功CSSM解析成功。

    行動計畫:

    1. 檢查本文檔中的DNS配置主題
    2. 在ISE CLI上輸入show running-config命令以檢查「ip name-server」。ip name-server需要與DNS伺服器的IP地址匹配。

    解決方案2:打開CSSM GUI,確認主機公用名瀏覽器證書與ISE端的CSSM內部伺服器主機引數相同

    錯誤的場景:

    CSSM解析和ISE設定不正確CSSM解析和ISE設定不正確。

    正確情形:

    CSSM解析度和ISE設定正確CSSM解析度和ISE設定正確。

    行動計畫:請參閱本指南中的「ISE和CSSM配置」瞭解更多資訊。

    SSO服務:無法訪問思科。(CSSM On-Prem錯誤)

    帳戶註冊失敗帳戶註冊失敗。

    解決方案:檢查您與Internet的連線。

    行動計畫:

    1. 如果需要透過Proxy才能訪問Internet,請導航到網路>代理,然後啟用使用代理伺服器選項,然後按一下應用

    Proxy 組態Proxy 組態.

    CSR中的公用名稱不是DNS可解析的主機名或IP地址,請重試。 (CSSM On-Prem錯誤)

    CSR錯誤CSR錯誤。

    解決方案:檢查並修復CSSM伺服器上的DNS解析。

    1. 打開CSSM CLI,然後鍵入「nslookup <CSSM_FQDN>

    在下一個示例中,我們可以看到未從CSSM伺服器解決cssm.testlab.local。

    DNS伺服器無法訪問DNS伺服器無法訪問。

    正確的輸出是下一個:

    DNS伺服器可訪問DNS伺服器可訪問。

    行動計畫:

    檢查CSSM內部的DNS配置。

    1. 導航到網路 > 常規 > DNS設定。

    主DNS或備用DNS需要與DNS伺服器的IP地址相同。

    DNS設定DNS設定。

    修訂記錄

    修訂 發佈日期 意見
    1.0
    25-Jul-2024
    初始版本
    TAC Authored

    由思科工程師貢獻

    • 奧斯卡·德·赫蘇斯·特戈馬·阿吉拉爾

    這份文件是否有所幫助?

    Feedback意見

    讓思科協助您

    本文件適用於這些產品