- Identifier les services Broker auxquels vous souhaitez vous connecter
Cisco pxGrid . - Connectez-vous à l’interface utilisateur Web ISE en tant qu’administrateur et accédez à Tâches, Services pxGrid, Livré.
- Dans la liste déroulante « je veux », sélectionnez Générer un certificat unique (sans demande de signature de certificat).
- Entrez le nom commun et les mots de passe de certificat.
FAUT Utiliser les mêmes mots de passe de certificat lors de la configurationpxGrid dans DXL (Paramètres serveur, Paramètres de DXL Cisco pxGrid). - Dans le champ format de téléchargement de certificat, sélectionnez Certificat dans Privacy Enhanced Electronic Mail (PEM) format, puis cliquez sur Creat.
- Copiez le fichier. zip téléchargé dans le service Broker dans ce dossier :
/var/mcafee/dxlbroker/ipe/cisco/keystore
Veuillez Un outil SCP ou SFTP est nécessaire pour copier.zip fichier à la service Broker DXL. - Répétez les étapes précédentes pour chaque service Broker à laquelle vous souhaitez vous connecter.
pxGrid . - Dans la liste déroulante « je veux », sélectionnez Télécharger la chaîne de certificats racine et choisissez tous les noms d’hôtes.
- Dans le champ format de téléchargement de certificat, sélectionnez Certificat dans Privacy Enhanced Electronic Mail (PEM) format, puis cliquez sur Creat.
- Copiez le téléchargement
.zip fichier dans le service Broker dans ce dossier :
/var/mcafee/dxlbroker/ipe/cisco/truststore
Répétez l’opération pour chaque service Broker qui se connecte à pxGrid.
Veuillez Un outil SCP ou SFTP est nécessaire pour copier.zip fichier à la service Broker DXL.
- Utilisation de ISE 2.2 Autorité de certification interne pour déployer Cisco clients pxGrid (sans l’aide d’une autorité de certification externe) : https://communities.cisco.com/docs/DOC-71928
- Déploiement de pxGrid dans les environnements de production ISE (version 2.0) section déploiement de pxGrid à l’aide d’ISE 2.2+ (utilisation d’une autorité de certification externe) : https://communities.cisco.com/docs/DOC-68284
Cisco version ISE 2.1:
- Identifier les services Broker auxquels vous souhaitez vous connecter
Cisco pxGrid . - Connectez-vous à l’interface utilisateur Web ISE en tant qu’administrateur et accédez à la liste Portail de configuration des certificats, Gestion du portail d’équipement, Configuration des certificats.
- Accédez à la Portail de configuration des certificats par défaut, puis sélectionnez le URL de test du portail.
- Fournissez les informations d’identification demandées, puis cliquez sur Authentification.
- Dans la liste déroulante « je veux », sélectionnez Générer un certificat unique (sans demande de signature de certificat).
- Indiquez le nom de l’Partagés (CN).
Veuillez Le CN doit être un nom de domaine complet (FQDN) pouvant être résolu d’un système service Broker.
- Fournissez les mots de passe adresse MAC et de certificat.
FAUT Vous devez utiliser les mêmes mots de passe de certificat lorsque vous configurezpxGrid dans DXL (Paramètres serveur, Paramètres de DXL Cisco pxGrid).
- Dans le champ format de téléchargement de certificat, sélectionnez Certificat au format PEM et cliquez sur Générer.
- Extrayez le contenu du téléchargement
.zip fichier dans un dossier temporaire. - Copiez tous les fichiers individuels du dossier temporaire dans le service Broker dans le dossier suivant :
/var/mcafee/dxlbroker/ipe/cisco/keystore
Veuillez Un outil SCP ou SFTP est nécessaire pour copier.zip fichier à la service Broker DXL.
- Copier uniquement les
CertificateServicesRootCA-xxx.cer fichier et fichier de certificat racine externe, caroot.cer , dans le dossier temporaire, dans le service Broker, dans le dossier suivant :
/var/mcafee/dxlbroker/ipe/cisco/truststore
Veuillez Un outil SCP ou SFTP est nécessaire pour copier.zip fichier à la service Broker DXL.
- Répétez les étapes 5 à 11 pour chaque service Broker à laquelle vous souhaitez vous connecter.
pxGrid .
- Utilisation de ISE 2.1 Autorité de certification interne pour déployer Cisco clients pxGrid (sans l’aide d’une autorité de certification externe) : https://communities.cisco.com/docs/DOC-71927
- Déploiement de pxGrid dans les environnements de production ISE (version 2.0) section déploiement de pxGrid à l’aide d’ISE 2.1 avec l’autorité de certification interne et les certificats d’autorité de certification externe pour les nœuds ISE : https://communities.cisco.com/docs/DOC-68284
Cisco version ISE 2.0:
- Identifier les services Broker auxquels vous souhaitez vous connecter
Cisco pxGrid . - Téléchargez et installez OpenSSL pour Windows, disponible à l’adresse suivante, puis sélectionnez l’option Light OpenSSL Win32 (pour 32 bits) ou Win64 OpenSSL Light (pour 64 bits) package :
http://www.slproweb.com/products/Win32OpenSSL.html
Si le message « composant critique manquant : Microsoft les redistribuables Visual C++ 2008 » s’affiche, annulez le programme d’installation et téléchargez l’un des packages suivants (en fonction de votre architecture) :
Redistribuables Visual C++ 2008 (x86), disponible à l’adresse :
http://www.microsoft.com/downloads/details.aspx?familyid=9B2DA534-3E03-4391-8A4D-074B9F2BC1BF
Redistribuables Visual C++ 2008 (x64), disponible à l’adresse :
http://www.microsoft.com/downloads/details.aspx?familyid=bd2a6171-e2d6-4230-b809-9a8d7548c1b6 - Ouvrez une invite de commande (Rechercher, Exécute
, cmd.exe ) et définissez les variables d’environnement OpenSSL suivantes. Ajustez le chemin d’accès OpenSSL en fonction de votre emplacement d’installation :
C:\ > Set OPENSSL_BIN = c:\OpenSSL-Win32\bin
C:\ > set PATH =%OPENSSL_BIN%;%PATH%
C:\ > Set OPENSSL_CONF =%OPENSSL_BIN%\openssl.cfg - Créez et accédez au répertoire des fichiers de sortie :
C:\ > mkdir c:\Certificates
C:\ > CD c:\Certificates - Créez une clé privée et définissez un mot de passe pour celle-ci. Assurez-vous que le même mot de passe est défini dans Paramètres du serveur McAfee ePO, Paramètres de DXL Cisco pxGrid -.
FAUT Utiliser les mêmes mots de passe de certificat lors de la configurationpxGrid dans DXL (Paramètres serveur, Paramètres de DXL Cisco pxGrid).
C:\Certificates > OpenSSL genrsa-AES256-out tmp. clé 2048
Génération de la clé privée RSA, 2048 bits de longueur
.....................................................................................+++
..............+++
e est 65537 (0x10001)
Entrez une expression de passe pour tmp. Key :
Vérification-saisie de l’expression de passe pour tmp. Key : - Convertissez la clé en PCKS8 type :
C:\certificates>openssl pkcs8 -in tmp.key -topk8 -out pxgrid_client.key -v1 PBE-SHA1-3DES
Fournissez le même mot de passe qu’avant et assurez-vous que le mot de passe de chiffrement est défini avec la même valeur :
Enter pass phrase for tmp.key:
Enter Encryption Password:
Verifying - Enter Encryption Password: - Générez la demande de signature de certificat à partir de cette clé.
C:\certificates>openssl req -out pxgrid_client.csr -key pxgrid_client.key -new
Saisissez les informations nécessaires. Assurez-vous qu’une valeur unique est fournie pour le nom de Partagés. Par exemple, le nom d’hôte de l’service Broker DXL :
Entrez une expression de passe pour pxgrid_client. Key :
Vous êtes sur le point d’être invité à saisir des informations qui seront incorporées à votre demande de certificat.
Ce que vous êtes sur le point d’entrer est ce que l’on appelle un nom distinctif ou un DN.
Il existe un grand nombre de champs, mais vous pouvez laisser quelques vides
Pour certains champs, il y aura une valeur par défaut.
Si vous saisissez'. ', le champ restera vide.
-----
Nom du pays (code à 2 lettres) [au] :.
Etat ou province nom (nom complet) [Some-State] :.
Nom de la localité (par exemple, City) [] :.
Nom de l’organisation (par exemple, société) [Internet Widgits Pty Ltd] :.
Nom de l’unité organisationnelle (par exemple, section) [] :.
Nom du Partagés (ex. nom de domaine complet du serveur ou votre nom) [] :D XLBroker1. DXL. Lab
Adresse e-mail [] :.
Saisissez les attributs "extra" suivants à envoyer avec votre demande de certificat :
Mot de passe de demande d’authentification [] :
Un nom de société facultatif [] : - Signez le certificat et importez l’autorité de certification dans le Cisco ISE :
- Option 1 : Utilisez une autorité de certification externe pour signer le certificat :
- Fournissez le fichier CSR au fournisseur de l’autorité de certification et revenez à la signature
pxgrid_client.cer .
Veuillez Le serveur de l’autorité de certification à l’aide d’un modèle personnalisé doit signer la demande CSR. Ce modèle personnalisé doit contenir une utilisation EKU de l’authentification du client et de l’authentification du serveur.
Pour référence, consultez déploiement de certificats avec Cisco pxGrid-utilisation d’une autorité de certification externe avec les mises à jour vers Cisco ISE 2.0/2.1/2.2 dans la section utilisation d’un modèle personnalisé de certificat externe d’une autorité de certification (https://communities.cisco.com/docs/DOC-71926). - Copié
pxgrid_client.key etpxgrid_client.cer dans le service Broker dans ce dossier :
/var/mcafee/dxlbroker/ipe/cisco/keystore
Veuillez Un outil SCP ou SFTP est nécessaire pour copier.zip fichier à la service Broker DXL. - Révisez la chaîne de certificats de l’autorité de certification dans des fichiers PEM distincts et copiez ces fichiers dans service Broker sous le dossier
/var/mcafee/dxlbroker/ipe/cisco/keystore (certificat racine de l’autorité de certification). Ces fichiers ont le extension.cer .
Veuillez Un outil SCP ou SFTP est nécessaire pour copier le fichier. zip dans le service Broker DXL. - Connectez-vous à l’interface utilisateur Web ISE en tant qu’administrateur et accédez à Tâches, Configuration, Livré, Gestion des certificats, Certificats approuvés.
- Activez Importer et sélectionnez les fichiers de certificat d’autorité de certification que vous avez créés à l’étape 8C.
Utilisez les valeurs par défaut et importez-les pour chaque fichier.
- Fournissez le fichier CSR au fournisseur de l’autorité de certification et revenez à la signature
- Option 2 : Utilisez une autorité de certification auto-signée :
- Créez un certificat et une clé d’autorité de certification à l’aide de la commande suivante :
c:\certificates>openssl req -new -x509 -days 365 -extensions v3_ca -keyout ca.key -out ca.cer
Saisissez les informations nécessaires. Assurez-vous que "Partagés Name" est unique et qu’il est défini sur le nom de domaine complet (FQDN) de DXL service Broker :
Génération d’une clé privée RSA 2048 bits.................................................................................................................. + + +
....................+++
Ecriture de la nouvelle clé privée dans’ca. Key'
Entrer l’expression du mot de passe du PEM : vérification-saisie de l’expression du mot de passe du PEM :
-----
Vous êtes sur le point d’être invité à saisir des informations qui seront incorporées à votre demande de certificat.
Ce que vous êtes sur le point d’entrer est ce que l’on appelle un nom distinctif ou un DN.
Il existe un grand nombre de champs, mais vous pouvez laisser quelques vides
Pour certains champs, il y aura une valeur par défaut.
Si vous saisissez'. ', le champ restera vide.
-----
Nom du pays (code à 2 lettres) [au] :.
Etat ou province nom (nom complet) [Some-State] :.
Nom de la localité (par exemple, City) [] :.
Nom de l’organisation (par exemple, société) [Internet Widgits Pty Ltd] :.
Nom de l’unité organisationnelle (par exemple, section) [] :.
Nom du Partagés (ex. nom de domaine complet du serveur ou votre nom) [] :D XLpxGridClientsCA
Adresse e-mail [] :. - Signez le CSR à l’aide de la commande suivante :
c:\certificates>openssl x509 -req -in pxgrid_client.csr -CA ca.cer -CAkey ca.key -CAcreateserial -out pxgrid_client.cer -days 365
Entrez le mot de passe de la clé de l’autorité de certification et terminez la signature du certificat :
Signature OK
Subject =/CN = DXLBroker1. DXL. Lab
Obtention de la clé privée de l’autorité de certification
Entrer une expression de passe pour ca. Key : - Copié
pxgrid_client.cer, pxgrid_client.key, etca.cer au service Broker dans le dossier :
/var/mcafee/dxlbroker/ipe/cisco/keystore
Veuillez Un outil SCP ou SFTP est nécessaire pour copier.zip fichier à la service Broker DXL. - Connectez-vous à l’interface utilisateur Web ISE en tant qu’administrateur et accédez à Tâches, Configuration, Livré, Gestion des certificats, Certificats approuvés.
- Activez Importer et sélectionnez l'
c:\certificates\ca.cer pièces. Utilisez les valeurs par défaut et importez.
- Créez un certificat et une clé d’autorité de certification à l’aide de la commande suivante :
- Option 1 : Utilisez une autorité de certification externe pour signer le certificat :
- Répétez les étapes 5 à 8 pour chaque service Broker qui se connecte à
pxGrid .
Si vous utilisez une autorité de certification autosignée, vous pouvez réutiliser la même autorité de certification pour signer les demandes de certificat, mais vous impérative Générez des certificats distincts pour chaque service Broker. - Dans l’interface utilisateur Web ISE, accédez à Tâches, Configuration, Livré, Gestion des certificats, Certificats système.
- Sélectionnez l’entrée de certificat qui est "utilisée par".
pxGrid . Prenez note de la valeur "émis par", puis cliquez sur Restitution. - Sélectionnées Exporter le certificat uniquement et cliquez sur Restitution.
- Pour chaque service Broker DXL qui se connecte à
pxGrid , copiez le fichier téléchargé sur le service Broker dans le dossier :
/var/mcafee/dxlbroker/ipe/cisco/truststore
Veuillez Un outil SCP ou SFTP est nécessaire pour copier le fichier. zip dans le service Broker DXL. - Dans l’interface utilisateur Web ISE, accédez à Tâches, Configuration, Livré, Gestion des certificats, Certificats approuvés.
- Sélectionnez l’entrée où l’option "délivré à" est identique à la valeur "émis par" à l’étape 11, puis cliquez sur Restitution.
- Pour chaque service Broker DXL qui se connecte à pxGrid, copiez le fichier téléchargé dans le dossier DXL service Broker dans le dossier :
/var/mcafee/dxlbroker/ipe/cisco/truststore
Veuillez Un outil SCP ou SFTP est nécessaire pour copier.zip fichier à la service Broker DXL.
- Déploiement de certificats avec Cisco pxGrid-à l’aide de certificats autosignés mises à jour vers Cisco ISE 2.0/2.1/2.2: https://communities.cisco.com/docs/DOC-71925
Haut de la page