CSSM op voorhand configureren en licenties registreren met ISE

Downloadopties

  • PDF     (5.3 MB)
    Met Adobe Reader op diverse apparaten bekijken
Bijgewerkt:25 juli 2024
Document-id:222207

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

    Inleiding

    Dit document beschrijft de integratie van CSM On-Prem met Cisco Identity Service Engine (ISE) en Cisco Smart Account, waardoor een naadloze installatie mogelijk is.

    Voorwaarden

    Vereisten

    ISE-lijnkaart 3.x

    Cisco Smart Software Manager (CSM) versie 8 release 202304 +

    Gebruikte componenten

    • Identity Service Engine 3.2 patch 2
    • SSM op prem 8.20234
    • Windows Active Directory 2016 (DNS- en certificaatautoriteit services)
    • VMWare ESXi versie 7

    De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.

    Configureren

    Netwerkdiagram

    Algemene topologieAlgemene topologie

    Installeer CSM On-Prem op VMWARE ESXi.

    1. Download Cisco IOS®. U kunt de volgende link gebruiken: https://software.cisco.com/download/home/286285506/type/286326948/release/8-202304

    2. Upload de ISO in VMWARE ESXi.

    Ga naar Storage > Datastore Browser.

    Sectie van de gegevensbrowserSectie van de gegevensbrowser

    3. Klik op Map maken om een nieuwe map te maken (optioneel).

    Maken van directoryMaken van directory

    In dit voorbeeld is de CSSM-map gemaakt:

    Creatie van mappenCreatie van mappen

    4. Klik op Upload en kies vervolgens uw ISO-bestand.

    ISO uploadenISO uploaden

    Het ISO-bestand bevindt zich nu in de CSSM-map:

    Het uploaden van de ISO is voltooidHet uploaden van de ISO is voltooid

    5. Maak de virtuele machine. navigeer naar virtuele machine > VM maken / registreren.

    Een nieuwe VM-stap maken 01Een nieuwe VM-stap maken 01

    6. Kies Een nieuwe virtuele machine maken en klik op volgende.

    Een nieuwe VM stap 02 makenEen nieuwe VM stap 02 maken

    7. Configureer vervolgens de volgende parameters:

    • Naam: Voer de naam van de virtuele machine in.
    • Compatibiliteit: Selecteer ESXi 6.0 of hoger of ESXi 6.5 of hoger. 
    • Guest OS familie: Linux.
    • Gast OS versie: Kies CentOS 7 (64 bit) of Andere 2.6x Linux (64 bit)

    Klik op Next (Volgende).

    VM-naam en IOSVM-naam en IOS

    8. Selecteer uw opslag en klik op volgende.

    OpslaglijstOpslaglijst

    9. Configureer de volgende parameters:

    • CPU: minimaal 4. De feitelijke vCPU-instelling hangt af van uw schaalvereisten
    pictogram van opmerking

    Opmerking: de hoeveelheid cores per socket moet worden ingesteld op 1, ongeacht het aantal geselecteerde virtuele sockets. Een 4 vCPU-configuratie moet bijvoorbeeld worden geconfigureerd als 4 sockets en 1 kern per socket.

    Configuratie van kernenConfiguratie van kernen

    • Geheugen: 8
    • Harde schijf: 200 GB en controleer of de provisioning is ingesteld op Thin Provision.

    SchijfconfiguratieSchijfconfiguratie

    • Netwerkadapter: selecteer het adaptertype E1000 en selecteer Verbinden aan/uit.

    Configuratie van netwerkinstellingenConfiguratie van netwerkinstellingen

    • CD / DVD-station: Kies "Data ISO-bestand" en selecteer het ISO-bestand.

    ISO-afbeeldingISO-afbeelding

    U kunt de samenvatting van de instellingen verifiëren nadat u de vorige stappen hebt voltooid.

    Samenvatting VM-configuratie 01Samenvatting VM-configuratie 01

    Klik op Next (Volgende).

    10. Klik op Voltooien.

    Samenvatting VM-configuratie 02Samenvatting VM-configuratie 02

    Eerste configuratie van CSM On-Prem .

    1. Navigeer in VMWARE ESXi naar virtuele machines, selecteer uw VM en klik vervolgens op Aan/uit.

    Optie InschakelenOptie Inschakelen

    1. U hebt meerdere opties om de VM-console te beheren. Selecteer Console > Open browser console.

    Opties voor het beheer van de VMOpties voor het beheer van de VM

    1. Configureer de netwerkinstellingen.
    pictogram van opmerking

    Opmerking: het is belangrijk om het IP-adres van de DNS-server te configureren die de CSM FQDN oplost.

    Configuratie van CSSM-netwerkinstellingenConfiguratie van CSSM-netwerkinstellingen

    Klik op OK om uw nieuwe CLI-wachtwoord te configureren.

    1. Vervolgens wordt het installatieproces gestart en voltooid, totdat u de toegangsprompt kunt zien.

    CSM-initiële configuratie voltooidCSM-initiële configuratie voltooid

    1. Open een browser en voer https://<ip_address_CSM> in.

    CSSM-inlogpaginaCSSM-inlogpagina

    Gebruik de standaardreferenties:

    Gebruikersnaam: admin

    Wachtwoord: Cisco Admin!2345

    1. Selecteer uw taal.
    2. Maak een nieuw GUI wachtwoord.
    3. Configureer de algemene naam van de host. (voorbeeld: hostname.yourdomain).

    In dit geval is csm.testlab.local geconfigureerd als algemene hostnaam.

    Configuratie van veelvoorkomende namen voor hostConfiguratie van veelvoorkomende namen voor host

    1. Bevestig uw configuratie en klik op Toepassen.

    CSSM eerste instellingen voltooidCSSM eerste instellingen voltooid.

    Integreren met CSM On-Prem met Smart Account

    U moet uw Smart Account koppelen aan uw CSSM On Prem Server.

    1. Open uw Cisco Smart-account via de volgende link:

    https://software.cisco.com/

    1. Kies vervolgens Licenties beheren onder de sectie Smart Software Manager.
    Licenties beheren, optieLicenties beheren, optie
    1. Navigeer naar Inventaris en kopieer de naam van uw Smart Account en Virtual Account. In deze handleiding is dit de InternalTestDemoAccount67 en AAA MEX TEST.

    Software voor Cisco-paginaSoftware voor Cisco-pagina

    1. Open de CSM GUI en selecteer de optie Admin Workspace.

    Hoofdmenu CSMHoofdmenu CSM.

    1. Selecteer vervolgens Accounts.

    CSM-rekeningenRekeningen.

    1. Selecteer Nieuwe account om een nieuwe registratieaanvraag te maken.

    Creëren van CSM-rekeningCreëren van CSM-rekening.

    1. Voer de volgende informatie in:
    • Accountnaam: Dit is een aangepaste naam van het nieuwe register.
    • Cisco Smart Account: Plak uw Smart Account naam.
    • Cisco Virtual-account: plak uw virtuele accountnaam.
    • E-mail voor melding: Typ uw e-mail.

    AccountregistratieRekeningregistratie.

    Klik op Verzenden.

    1. Klik vervolgens op Accountaanvragen.

    U kunt het verzoek zien dat bij de vorige stap in deze sectie is gedaan.

    Rekeningaanvraag.Rekeningaanvraag.

    1. Klik op acties.

    Handelingen, optieHandelingen.

    U hebt drie opties:

    • Goedkeuren: gebruik deze optie om de CSSM On-Prem te registreren met uw Smart Account via Internet.
    • Afwijzing: laat het verzoek vallen.
    • Handmatige registratie: gebruik deze optie om de CSSM On-Prem te registreren met uw Smart Account zonder internet.

     OPTIE 1: Registreer uw CSM On-Prem via internetverbinding.

    1. Als u Goedkeuren kiest, moet u uw gebruikersnaam en wachtwoord van uw Cisco Smart-account invoeren en op Indienen klikken.

    Optie goedkeurenGoedkeuring optie.

    Klik vervolgens op Volgende om de accountregistratie te accepteren.

    AccountregistratieRekeningregistratie.

    Om de status van de registratie te bevestigen, navigeer naar Account en de status van Account moet als actief zijn.

    AccountstatusRekeningstatus.

    Open nu uw Smart Account (https://software.cisco.com/). Selecteer vervolgens de optie On-Prem-accounts om het nieuwe register te zien.

    Voorafgaande rekening.Voorafgaande rekening.

    OPTIE 2: Registreer uw CSM On-Prem zonder een internetverbinding.

    Als u Handmatige registratie kiest, klikt u op Registratiebestand genereren. Hierdoor wordt een registratieaanvraag gemaakt die naar uw computer wordt gedownload.

    Handmatige registratie.Handmatige registratie.

    Open vervolgens uw Smart Account (https://software.cisco.com/) en navigeer naar On-Prem accounts.

    Klik op Nieuwe on-première

    Nieuwe on-prem toevoegen.Nieuwe on-prem toevoegen.

    Configureer vervolgens de volgende parameters:

    • On-Prem Naam: Dit is een aangepaste naam van het nieuwe register.
    • Registratiebestand: Klik op Kies bestand en selecteer de registratieaanvraag.
    • Virtuele account: Plak uw virtuele accountnaam.

    Vergunningsbestand.Vergunningsbestand.

    En klik op Generate Authorisation File.

    Download vervolgens het autorisatiebestand.

    DownloadautorisatiebestandLicentiebestand downloaden.

    Open de CSSM GUI om het autorisatiebestand te uploaden. Klik op Bladeren, kies het bestand en klik vervolgens op Upload.

    Machtigingsbestand uploaden.Machtigingsbestand uploaden.

    Navigeer vervolgens naar Synchronisatie en klik op Acties > Handmatige synchronisatie > Volledige synchronisatie.

    Handmatige sync.Handmatige sync.

    Download het sync-aanvraagbestand.

    Bestandssynchronisatie downloadenBestandssynchronisatie downloaden.

    Open uw Smart Account en selecteer On-Prem Account, zoek vervolgens naar uw CSSM On-Prem naam in de lijst en klik op Acties > File Sync

    Bestandssynchronisatie uploadenBestandssynchronisatie uploaden.

    Upload vervolgens het Sync request bestand en klik op Generate Response File.

    Een antwoordbestand genererenGenereer een antwoordbestand.

    Klik vervolgens op Download Synch Response File

    Sync-bestandSync-bestand.

    Upload tot slot het Synch Response File in de CSM op Premise.

    Synchronisatie voltooidSynchronisatie voltooid.

     Integreer CSM On-Prem met ISE.

    1. Open de CSM GUI en selecteer Admin Workspace.

    Hoofdmenu CSM.Hoofdmenu CSM.

    1. Navigeren naar Beveiliging > Certificaten > CSR genereren
    pictogram van opmerking

    Opmerking: het is belangrijk dat het hostname + domein op de gemeenschappelijke hostnaam is geconfigureerd, omdat ISE deze parameter gebruikt om een verbinding met het CSM tot stand te brengen. U kunt een IP-adres gebruiken in plaats van de hostnaam + domein, maar het is aan te raden om de hostnaam + domein te gebruiken

    pictogram van opmerking

    Opmerking: de volgende stappen beschrijven de procedure om het GUI-certificaat in de CSM te installeren. Als u de beheerverbinding met uw GUI CSM wilt beveiligen met behulp van een certificaat dat is ondertekend door uw persoonlijke certificeringsinstantie (CA), moet u de volgende stappen controleren. Controleer anders direct stap 9.

    MVO-optieMVO-optie.

    1. Voer vervolgens uw persoonlijke gegevens in. Let erop dat de alternatieve onderwerpnaam automatisch wordt aangemaakt met dezelfde waarde als de algemene naam. De CSR wordt automatisch gedownload nadat u op Generate hebt geklikt.

    MVO-gegevensMVO-gegevens.

    1. Onderteken de MVO: Voor meer informatie controleer de "Maak certificaten van Windows CA." op dit document.
    1. Upload het root CA certificaat.

    Root CA uploadenCA. wortel uploaden

    Klik op Doorgaan.

    Optie DoorgaanGa verder.

    1. Voer een beschrijving in, kies het basiscertificaat en klik op OK.

    Beschrijving root CABeschrijving root CA.

    1. Upload de door de CA ondertekende CSR (CSSM Identity Certificate).

    CSSM-identiteitsbewijs uploadenCSSM-identiteitsbewijs uploaden.

    pictogram van opmerking

    Opmerking: In ons geval bestaat het Intermediate Certificate niet in onze CA. Als u echter een tussentijds certificaat gebruikt in uw architectuur, is het tussentijds certificaat verplicht.

    8. Bevestig vervolgens dat beide certificaten zijn geïnstalleerd.

    Validering van certificatenValidering van certificaten.

    1. Maak een token op de SSM On-Prem: selecteer Licentie-werkruimte.

    WerkruimtepaginaWerkruimtepagina.

    1. Ga naar Smart Licensing.

    CSSM slimme licentiepaginaCSSM slimme licentiepagina

    1. Zoek uw lokale virtuele account, klik vervolgens op Nieuw token en klik op Doorgaan.

    Nieuwe token-optieNieuwe token-optie.

    1. Selecteer Token maken en kopieer het.

    Creatie van nieuwe tokenCreatie van een nieuw token.

    Token detailsToken details.

    1. Open de ISE GUI en navigeer naar Beheer > Systemen > Licentie, klik vervolgens op Registratiedetails, selecteer de SSM On-Prem server Host method, en plak het token.

    Registratie van vergunningenRegistratie van vergunningen.

    1. Voer de SSM On-Prem FQDN in op de SSM On-Prem server Host en klik op Registreer.

    CSM- en ISE-instellingenCSM- en ISE-instellingen.

    pictogram van opmerking

    Opmerking: het is belangrijk dat hostname + domein op de gemeenschappelijke hostnaam is geconfigureerd omdat ISE deze parameter gebruikt om een verbinding met CSSM tot stand te brengen. U kunt een IP-adres gebruiken in plaats van de hostnaam + domein, maar het is aan te raden de hostnaam + domein te gebruiken

    1. En ten slotte is de registratie afgerond.

    Registratie voltooidRegistratie voltooid.

     Certificaten maken van Windows CA.

    Als u de beheerder van de certificeringsinstantie bent, moet u het volgende doen:

    1. Open een webbrowser en navigeren naar http://localhost/certsrv/
    2. Klik op Certificaat aanvragen.

    Certificaat aanvragenCertificaat aanvragen.

    1. Klik op Geavanceerd certificaatverzoek.

    Geavanceerd certificaatverzoekGeavanceerd certificaatverzoek.

    1. Open de eerder gegenereerde CSR.  Kopieer de informatie en plak deze op de aanvraag Opgeslagen.

    Certificaat indienenCertificaat indienen.

    Nadat u op Verzenden hebt geklikt, wordt het certificaat automatisch gedownload.

    1. Download nu de CA certificaat root. navigeer terug naar http://localhost/certsrv/ en selecteer Download een CA certificaat, certificaat keten, of CRL.

    Download root-CADownload root CA.

    1. Download het CA-certificaat met behulp van de coderingsmethode als Base64.

    Base 64-optieBase 64-optie.

    DNS-records toevoegen op Windows-server.

    Als u de beheerder bent, voeg dan de ISE- en CSSM-FQDN’s toe.

    1. Open DNS Manager: Type "DNS" in de Windows zoeker en open de DNS app.

    DNS-optieDNS-optie.

    1. Navigeer naar Forward Lookup Zones > En kies uw domein.

    DNS-beheerDNS-beheer.

    1. Klik met de rechtermuisknop op een zwarte ruimte op het scherm en selecteer "New Host (A of AAA)"

    Record toevoegenRecord toevoegen.

    1. Configureer de record DNS als volgende:
    • Naam: Het betekent de naam van de gastheer.
    • Het IP-adres van het apparaat.

    Klik op "Add Host"

    Opname-instellingenOpname-instellingen.

    Problemen oplossen

    Host/IP-adres is niet bereikbaar.  (Fout op ISE)

    Niet bereikbare foutBereikbare fout.

    Oplossing 1: Controleer en repareer de DNS-configuratie in het ISE-knooppunt.

    1. Open de ISE-CLI en typ "nslookup <CSSM_FQDN>"

    In het volgende voorbeeld kunnen we zien dat cssm.testlab.local niet is opgelost vanuit het ISE-knooppunt.

    CSSM-resolutie misluktCSM-resolutie is mislukt.

    De juiste resolutie zou zijn:

    CSSM-resolutie succesvolCSSM-resolutie geslaagd.

    Actieplan

    1. Controleer het DNS-configuratieonderwerp in dit document.
    2. Voer de opdracht show running-config in op de ISE CLI om de "ip name-server" te controleren. De "IP name-server" moet overeenkomen met het IP-adres van de DNS-server.

    Oplossing 2: Open de CSSM GUI om te bevestigen dat de Host Common Name en Browser Certificate dezelfde zijn als de CSSM On-Prem Server Host Parameter aan de ISE-zijde.

    Fout scenario:

    De CSM-resolutie en ISE-instelling zijn onjuistDe CSM-resolutie en ISE-instelling zijn onjuist.

    Correct scenario:

    De CSM-resolutie en ISE-instelling zijn correctDe CSSM-resolutie en ISE-instellingen zijn correct.

    Actieplan: Zie "ISE and CSSM configuratie" in deze handleiding voor meer informatie.

    SSO-service: kan Cisco niet bereiken. (Fout op CSM on-Prem)

    Registratie van account misluktAccountregistratie is mislukt.

    Oplossing: Controleer uw internetverbinding.

    Actieplan

    1. Als u een proxy nodig hebt om toegang tot het internet te krijgen, navigeer dan naar Netwerk > Proxy en schakel de optie Gebruik een proxyserver in en klik op Toepassen.

    ProxyconfiguratieProxyconfiguratie.

    De algemene naam in de CSR is geen DNS-oplosbare hostnaam of IP-adres, probeer het nogmaals. (Fout op CSM on-Prem)

    MVO-foutMVO-fout.

    Oplossing: Controleer en bevestig de DNS-resolutie op de CSM-server.

    1. Open de CSSM CLI en typ "nslookup <CSSM_FQDN>"

    In het volgende voorbeeld kunnen we zien dat cssm.testlab.local niet vanaf de CSSM-server is opgelost.

    De DNS-server is niet bereikbaarDe DNS-server is niet bereikbaar.

    De correcte output zou de volgende zijn:

    De DNS-server is bereikbaarDe DNS server is bereikbaar.

    Actieplan

    Controleer de DNS-configuraties op de CSM On-Prem.

    1. Ga naar Netwerk > Algemeen > DNS-instelling.

    De primaire of alternatieve DNS moet hetzelfde zijn als het IP-adres van de DNS-server.

    DNS-instellingenDNS-instellingen.

    Revisiegeschiedenis

    Revisie Publicatiedatum Opmerkingen
    1.0
    25-Jul-2024
    Eerste vrijgave
    TAC Authored

    Bijgedragen door Cisco-engineers

    • Oscar de Jesus Tegoma Aguilar

    Was dit document nuttig?

    FeedbackFeedback

    Contact Cisco

    Dit document is van toepassing op deze producten