- Identificar los agentes a los que se desea conectar
Cisco pxGrid . - Inicie sesión en la interfaz de usuario Web de ISE como administrador y vaya a Administrativas, Servicios de pxGrid, Pedido.
- En la lista desplegable "deseo", seleccione Generar un único certificado (sin una solicitud de firma de certificado).
- Escriba el nombre común y las contraseñas del certificado.
ASPECTO Utilice las mismas contraseñas de certificado al configurarpxGrid en DXL (Configuración del servidor, Configuración de DXL Cisco pxGrid). - En el campo "formato de descarga de certificados", seleccione Certificado en el correo electrónico de privacidad mejorada (PEM) formato y haga clic en Crear.
- Copie el archivo. zip descargado en el broker de esta carpeta:
/var/mcafee/dxlbroker/ipe/cisco/keystore
SEÑALAR Se necesita una herramienta SCP o SFTP para copiar la.zip archivo en el agente de DXL. - Repita los pasos anteriores para cada agente al que desee conectarse
pxGrid . - En la lista desplegable "deseo", seleccione Descargar cadena de certificado raíz y elija todos los nombres de hosts.
- En el campo "formato de descarga de certificados", seleccione Certificado en el correo electrónico de privacidad mejorada (PEM) formato y haga clic en Crear.
- Copiar la copia descargada
.zip archivo en el agente de esta carpeta:
/var/mcafee/dxlbroker/ipe/cisco/truststore
Repita la operación para cada intermediario que se conecte a pxGrid.
SEÑALAR Se necesita una herramienta SCP o SFTP para copiar la.zip archivo en el agente de DXL.
- Uso de ISE 2.2 Autoridad de certificación interna (CA) para desplegar Cisco clientes de pxGrid (sin uso de una CA externa): https://communities.cisco.com/docs/DOC-71928
- Despliegue de pxGrid en entornos de producción ISE (versión 2.0) sección despliegue de pxGrid mediante ISE 2.2+ (uso de CA externa): https://communities.cisco.com/docs/DOC-68284
Versión Cisco ISE 2.1:
- Identificar los agentes a los que se desea conectar
Cisco pxGrid . - Inicie sesión en la interfaz de usuario Web de ISE como administrador y vaya a la Portal de aprovisionamiento de certificados, Administración de Device portal, Aprovisionamiento de certificados.
- Desplácese hasta la Portal de aprovisionamiento de certificados predeterminadoy seleccione el URL de prueba del portal.
- Proporcione las credenciales solicitadas y haga clic en Iniciar sesión.
- En la lista desplegable "deseo", seleccione Generar un único certificado (sin una solicitud de firma de certificado).
- Proporcione el nombre de la Ajustes generales (CN).
SEÑALAR El CN debe ser un nombre de dominio completo que se pueda resolver (FQDN) de un sistema de Broker.
- Proporcione las contraseñas del dirección MAC y del certificado.
ASPECTO Debe utilizar las mismas contraseñas de certificado al configurarpxGrid en DXL (Configuración del servidor, Configuración de DXL Cisco pxGrid).
- En el campo "formato de descarga de certificados", seleccione Formato de certificado en PEM y haga clic en Gene.
- Extraer el contenido de la descarga
.zip archivo en una carpeta temporal. - Copie todos los archivos individuales de la carpeta temporal en el broker de la siguiente carpeta:
/var/mcafee/dxlbroker/ipe/cisco/keystore
SEÑALAR Se necesita una herramienta SCP o SFTP para copiar la.zip archivo en el agente de DXL.
- Copiar solo la
CertificateServicesRootCA-xxx.cer archivo y archivo de certificado raíz externo, caroot.cer , desde la carpeta temporal al agente de la siguiente carpeta:
/var/mcafee/dxlbroker/ipe/cisco/truststore
SEÑALAR Se necesita una herramienta SCP o SFTP para copiar la.zip archivo en el agente de DXL.
- Repita los pasos del 5 al 11 para cada agente al que desee conectarse
pxGrid .
- Uso de ISE 2.1 Autoridad de certificación interna (CA) para desplegar Cisco clientes de pxGrid (sin uso de una CA externa): https://communities.cisco.com/docs/DOC-71927
- Despliegue de pxGrid en entornos de producción ISE (versión 2.0) sección despliegue de pxGrid mediante ISE 2.1 con CA internas y certificados de CA externas para nodos ISE: https://communities.cisco.com/docs/DOC-68284
Versión Cisco ISE 2.0:
- Identificar los agentes a los que se desea conectar
Cisco pxGrid . - Descargue e instale OpenSSL para Windows desde la siguiente ubicación y seleccione la opción Luz de OpenSSL de Win32 (para 32 bits) o Luz de OpenSSL de Win64 (para 64 bits) paquete:
http://www.slproweb.com/products/Win32OpenSSL.html
Si no aparece el mensaje "componente crítico": Microsoft Visual C++ 2008 redistribuibles ", cancele la instalación y descargue uno de los siguientes paquetes (según su arquitectura):
Visual C++ 2008 Redistributable (x86), disponible en:
http://www.microsoft.com/downloads/details.aspx?familyid=9B2DA534-3E03-4391-8A4D-074B9F2BC1BF
Visual C++ 2008 Redistributable (x64), disponible en:
http://www.microsoft.com/downloads/details.aspx?familyid=bd2a6171-e2d6-4230-b809-9a8d7548c1b6 - Abra una línea de comandos (Inicio, Ejecutándose
, cmd.exe ) y establezca las siguientes variables de entorno de OpenSSL. Ajuste la ruta de acceso de OpenSSL en función de la ubicación de instalación:
C:\ > Set OPENSSL_BIN = c:\OpenSSL-Win32\bin
C:\ > establecer ruta =%OPENSSL_BIN%;%PATH%
C:\ > Set OPENSSL_CONF =%OPENSSL_BIN%\openssl.cfg - Cree y cambie al directorio de los archivos de salida:
C:\ > mkdir c:\certificates
C:\ > CD c:\certificates - Cree una clave privada y establezca una contraseña para ella. Asegúrese de que esté configurada la misma contraseña en Configuración del servidor de McAfee ePO, Configuración de DXL Cisco pxGrid Web.
ASPECTO Utilice las mismas contraseñas de certificado al configurarpxGrid en DXL (Configuración del servidor, Configuración de DXL Cisco pxGrid).
C:\certificates > OpenSSL genrsa-AES256-out tmp. clave 2048
Generando clave privada RSA, módulo largo de 2048 bits
.....................................................................................+++
..............+++
e es 65537 (0x10001)
Introduzca una frase de contraseña para tmp. clave:
Verificando: Introduzca una frase de contraseña para tmp. clave: - Convertir la clave en el tipo de PCKS8:
C:\certificates>openssl pkcs8 -in tmp.key -topk8 -out pxgrid_client.key -v1 PBE-SHA1-3DES
Proporcione la misma contraseña que antes y asegúrese de que la contraseña de cifrado esté establecida con el mismo valor:
Enter pass phrase for tmp.key:
Enter Encryption Password:
Verifying - Enter Encryption Password: - Genere la solicitud de firma de certificado desde esa clave.
C:\certificates>openssl req -out pxgrid_client.csr -key pxgrid_client.key -new
Escriba la información necesaria. Asegúrese de que se proporciona un valor único para "nombre de Ajustes generales". Por ejemplo, el nombre de host del intermediario de DXL:
Introduzca una frase de contraseña para pxgrid_client. clave:
Está a punto de solicitar que introduzca información que se incorporará a su solicitud de certificado.
Lo que está a punto de introducir es lo que se denomina un nombre distintivo o un DN.
Hay bastantes campos, pero puede dejar algunos en blanco
Para algunos campos habrá un valor predeterminado.
Si introduce '. ', el campo se dejará en blanco.
-----
Nombre del país (código de 2 Letras) [AU]:.
Nombre del estado o provincia (nombre completo) [some-State]:.
Nombre de la localidad (por ejemplo, ciudad) []:.
Nombre de la organización (por ejemplo, empresa) [Internet Widgits Pty Ltd]:.
Nombre de la unidad organizativa (por ejemplo, sección) []:.
Nombre de Ajustes generales (por ejemplo, FQDN del servidor o su nombre) []:D XLBroker1. DXL. Lab
Dirección de correo electrónico []:.
Escriba los siguientes atributos ' extra ' para enviarlos con su solicitud de certificado:
Una contraseña de desafío []:
Un nombre de empresa opcional []: - Firme el certificado e importe la CA en Cisco ISE:
- Opción 1: Usar una CA externa para firmar el certificado:
- Proporcione el archivo de CSR al proveedor de CA y obtenga la firma
pxgrid_client.cer .
SEÑALAR El servidor de CA que utiliza una plantilla personalizada debe firmar la solicitud de CSR. Esta plantilla personalizada debe contener un EKU de autenticación de cliente y autenticación de servidor.
Como referencia, consulte despliegue de certificados con Cisco pxGrid-uso de una autoridad de certificación externa (CA) con actualizaciones para Cisco ISE 2.0/2.1/2.2 en la sección uso de una plantilla personalizada de servidor CA de certificado externo (https://communities.cisco.com/docs/DOC-71926). - Copiar
pxgrid_client.key asípxgrid_client.cer en el intermediario de esta carpeta:
/var/mcafee/dxlbroker/ipe/cisco/keystore
SEÑALAR Se necesita una herramienta SCP o SFTP para copiar la.zip archivo en el agente de DXL. - Divida la cadena de certificados de la CA en archivos de PEM independientes y copie esos archivos en Broker en la carpeta
/var/mcafee/dxlbroker/ipe/cisco/keystore (el certificado de CA raíz). Estos archivos tienen la extensión.cer .
SEÑALAR Se necesita una herramienta SCP o SFTP para copiar el archivo. zip en DXL Broker. - Inicie sesión en la interfaz de usuario Web de ISE como administrador y vaya a Administrativas, Integrado, Pedido, Administración de certificados, Certificados de confianza.
- Pulsar Importe y seleccione los archivos de certificado de CA creados en el paso 8C.
Utilice los valores predeterminados e importe la importación para cada archivo.
- Proporcione el archivo de CSR al proveedor de CA y obtenga la firma
- Opción 2: Utilizar una entidad emisora de certificados autofirmada:
- Cree un certificado y una clave de CA con el siguiente comando:
c:\certificates>openssl req -new -x509 -days 365 -extensions v3_ca -keyout ca.key -out ca.cer
Escriba la información necesaria. Asegúrese de que "nombre de Ajustes generales" es único y está establecido en el FQDN de DXL Broker:
Generando una clave privada RSA de 2048 bits............................................................................................ + + +
....................+++
escribiendo nueva clave privada en ' CA. Key '
Introduzca PEM frase de contraseña: verificando-Enter PEM frase de contraseña:
-----
Está a punto de solicitar que introduzca información que se incorporará a su solicitud de certificado.
Lo que está a punto de introducir es lo que se denomina un nombre distintivo o un DN.
Hay bastantes campos, pero puede dejar algunos en blanco
Para algunos campos habrá un valor predeterminado.
Si introduce '. ', el campo se dejará en blanco.
-----
Nombre del país (código de 2 Letras) [AU]:.
Nombre del estado o provincia (nombre completo) [some-State]:.
Nombre de la localidad (por ejemplo, ciudad) []:.
Nombre de la organización (por ejemplo, empresa) [Internet Widgits Pty Ltd]:.
Nombre de la unidad organizativa (por ejemplo, sección) []:.
Nombre de Ajustes generales (por ejemplo, FQDN del servidor o su nombre) []:D XLpxGridClientsCA
Dirección de correo electrónico []:. - Firme la CSR con el siguiente comando:
c:\certificates>openssl x509 -req -in pxgrid_client.csr -CA ca.cer -CAkey ca.key -CAcreateserial -out pxgrid_client.cer -days 365
Escriba la contraseña de la clave de CA y finalice la firma del certificado:
Firma correcta
asunto =/CN = DXLBroker1. DXL. Lab
Obteniendo clave privada de CA
Introduzca una frase de contraseña para CA. clave: - Copiar
pxgrid_client.cer, pxgrid_client.key, asíca.cer al agente de la carpeta:
/var/mcafee/dxlbroker/ipe/cisco/keystore
SEÑALAR Se necesita una herramienta SCP o SFTP para copiar la.zip archivo en el agente de DXL. - Inicie sesión en la interfaz de usuario Web de ISE como administrador y vaya a Administrativas, Integrado, Pedido, Administración de certificados, Certificados de confianza.
- Pulsar Importe y seleccione el
c:\certificates\ca.cer File. Utilice los valores predeterminados e importe.
- Cree un certificado y una clave de CA con el siguiente comando:
- Opción 1: Usar una CA externa para firmar el certificado:
- Repita los pasos del 5 al 8 para cada intermediario con conexión
pxGrid .
Si utiliza una CA autofirmada, puede reutilizar la misma CA para firmar las solicitudes de certificados, pero Most genere certificados independientes para cada agente. - En la interfaz de usuario Web de ISE, navegue hasta Administrativas, Integrado, Pedido, Administración de certificados, Certificados de sistema.
- Seleccione la entrada de certificado que "utiliza"
pxGrid . Tome nota del valor "emitido por" y haga clic en Exporta. - Activa Exportar solo certificado y haga clic en Exporta.
- Para cada intermediario de DXL que se conecta a
pxGrid , copie el archivo descargado en el intermediario de la carpeta:
/var/mcafee/dxlbroker/ipe/cisco/truststore
SEÑALAR Se necesita una herramienta SCP o SFTP para copiar el archivo. zip en DXL Broker. - En la interfaz de usuario Web de ISE, navegue hasta Administrativas, Integrado, Pedido, Administración de certificados, Certificados de confianza.
- Seleccione la entrada donde "emitido para" es igual que el valor "emitido por" en el paso 11 y haga clic en Exporta.
- Por cada intermediario de DXL que se conecte a pxGrid, copie el archivo descargado en el agente de DXL de la carpeta:
/var/mcafee/dxlbroker/ipe/cisco/truststore
SEÑALAR Se necesita una herramienta SCP o SFTP para copiar la.zip archivo en el agente de DXL.
- Despliegue de certificados con Cisco pxGrid-uso de las actualizaciones de certificados autofirmados en Cisco ISE 2.0/2.1/2.2: https://communities.cisco.com/docs/DOC-71925
Volver al principio