- Identificare i broker a cui si desidera connettersi
Cisco pxGrid . - Accedere all'interfaccia utente Web ISE come amministratore e passare a Amministrazione, Servizi pxGrid, Certificati.
- Nell'elenco a discesa "Desidero", selezionare Genera un singolo certificato (senza una richiesta di firma del certificato).
- Digitare il nome comune e le password dei certificati.
IMPORTANTE Utilizzare le stesse password di certificato quando si configurapxGrid in DXL (Impostazioni del server, Impostazioni di DXL Cisco pxGrid). - Nel campo "formato di download certificato", selezionare Certificato in Privacy Enhanced Electronic mail (PEM) formattare e fare clic su Creare.
- Copiare il file. zip scaricato nel Broker in questa cartella:
/var/mcafee/dxlbroker/ipe/cisco/keystore
Nota È necessario uno strumento SCP o SFTP per copiare il.zip file al broker DXL. - Ripetere i passaggi precedenti per ogni broker a cui si desidera connettersi
pxGrid . - Nell'elenco a discesa "Desidero", selezionare Scarica catena di certificati root e scegliere tutti i nomi degli host.
- Nel campo "formato di download del certificato", selezionare Certificato in Privacy Enhanced Electronic mail (PEM) formattare e fare clic su Creare.
- Copiare il file scaricato
.zip file nel Broker in questa cartella:
/var/mcafee/dxlbroker/ipe/cisco/truststore
Ripetere l'operazione per ogni broker che si connette a pxGrid.
Nota È necessario uno strumento SCP o SFTP per copiare il.zip file al broker DXL.
- Utilizzo di ISE 2.2 CA interna (CA) per distribuire Cisco Client pxGrid (non utilizzando CA esterna): https://communities.cisco.com/docs/DOC-71928
- Implementazione di pxGrid negli ambienti produttivi di ISE (versione 2.0) sezione distribuzione di pxGrid mediante ISE 2.2+ (utilizzando CA esterna): https://communities.cisco.com/docs/DOC-68284
Versione Cisco ISE 2.1:
- Identificare i broker a cui si desidera connettersi
Cisco pxGrid . - Accedere all'interfaccia utente Web ISE come amministratore e passare a Portale di provisioning dei certificati, Gestione del portale dei dispositivi, Provisioning dei certificati.
- Passare alla Certificato di provisioning del portale predefinito, quindi selezionare il URL test portale.
- Fornire le credenziali richieste e fare clic su Accedi.
- Nell'elenco a discesa "Desidero", selezionare Genera un singolo certificato (senza una richiesta di firma del certificato).
- Specificare il nome In comune (CN).
Nota Il CN deve essere un nome di dominio completo risolubile (FQDN, Fully Qualified Domain Name) di un sistema Broker.
- Fornire le password di indirizzo MAC e di certificato.
IMPORTANTE È necessario utilizzare le stesse password di certificato quando si configurapxGrid in DXL (Impostazioni del server, Impostazioni di DXL Cisco pxGrid).
- Nel campo "formato di download del certificato", selezionare Certificato in formato PEM e fare clic su Generare.
- Estrarre il contenuto del file scaricato
.zip file in una cartella temporanea. - Copiare tutti i singoli file dalla cartella temporanea al broker nella cartella seguente:
/var/mcafee/dxlbroker/ipe/cisco/keystore
Nota È necessario uno strumento SCP o SFTP per copiare il.zip file al broker DXL.
- Copia solo il
CertificateServicesRootCA-xxx.cer file e il file del certificato root esterno, caroot.cer , dalla cartella temporanea al broker nella cartella seguente:
/var/mcafee/dxlbroker/ipe/cisco/truststore
Nota È necessario uno strumento SCP o SFTP per copiare il.zip file al broker DXL.
- Ripetere i passaggi 5 – 11 per ogni broker a cui si desidera connettersi
pxGrid .
- Utilizzo di ISE 2.1 CA interna (CA) per distribuire Cisco Client pxGrid (non utilizzando CA esterna): https://communities.cisco.com/docs/DOC-71927
- Implementazione di pxGrid negli ambienti produttivi di ISE (versione 2.0) sezione distribuzione di pxGrid mediante ISE 2.1 con CA interna e certificati CA esterni per i nodi ISE: https://communities.cisco.com/docs/DOC-68284
Versione Cisco ISE 2.0:
- Identificare i broker a cui si desidera connettersi
Cisco pxGrid . - Scaricare e installare OpenSSL per Windows dal percorso seguente e selezionare il Win32 OpenSSL Light (per 32 bit) o Win64 OpenSSL Light (per il pacchetto a 64 bit):
http://www.slproweb.com/products/Win32OpenSSL.html
Se il messaggio "componente critico non è presente: Microsoft Visual C++ 2008 Redistributable" Visualizza, annullare l'installazione e download uno dei seguenti pacchetti (in base alla propria architettura):
Visual C++ 2008 Redistributable (x86), disponibile all'indirizzo:
http://www.microsoft.com/downloads/details.aspx?familyid=9B2DA534-3E03-4391-8A4D-074B9F2BC1BF
Visual C++ 2008 Redistributable (x64), disponibile all'indirizzo:
http://www.microsoft.com/downloads/details.aspx?familyid=bd2a6171-e2d6-4230-b809-9a8d7548c1b6 - Aprire un prompt dei comandi (Avviare, Correre
, cmd.exe ) e impostare le seguenti variabili di ambiente OpenSSL. Regolare il percorso OpenSSL in base al percorso di installazione:
C:\ > set OPENSSL_BIN = c:\OpenSSL-Win32\bin
C:\ > set PATH =%OPENSSL_BIN%;%PATH%
C:\ > set OPENSSL_CONF =%OPENSSL_BIN%\openssl.cfg - Creare e modificare la directory per i file di output:
C:\ > mkdir c:\Certificates
C:\ > CD c:\Certificates - Creare una chiave privata e impostarne una password. Assicurarsi che lo stesso password sia impostato in Impostazioni del server McAfee ePO, Impostazioni di DXL Cisco pxGrid video.
IMPORTANTE Utilizzare le stesse password di certificato quando si configurapxGrid in DXL (Impostazioni del server, Impostazioni di DXL Cisco pxGrid).
C:\Certificates > openssl genrsa-AES256-out tmp. Key 2048
Generazione della chiave privata RSA, modulo a 2048 bit lungo
.....................................................................................+++
..............+++
e è 65537 (0x10001)
Immettere la frase di passaggio per tmp. Key:
Verifica-immettere la frase per il tasto TMP. Key: - Convertire la chiave in PCKS8 tipo:
C:\certificates>openssl pkcs8 -in tmp.key -topk8 -out pxgrid_client.key -v1 PBE-SHA1-3DES
Fornire lo stesso password di prima e assicurarsi che la password di cifratura sia impostata con lo stesso valore:
Enter pass phrase for tmp.key:
Enter Encryption Password:
Verifying - Enter Encryption Password: - Generare la richiesta di firma del certificato da tale chiave.
C:\certificates>openssl req -out pxgrid_client.csr -key pxgrid_client.key -new
Digitare le informazioni necessarie. Assicurarsi che venga fornito un valore univoco per "In comune nome". Ad esempio, il nome host del broker DXL:
Immettere la passphrase per pxgrid_client. Key:
Verrà richiesto di immettere le informazioni che verranno integrate nella richiesta di certificato.
Ciò che si sta per immettere è quello che viene definito un nome distinto o un DN.
Ci sono alcuni campi, ma puoi lasciarne uno vuoto
Per alcuni campi ci sarà un valore predefinito,
Se si immette ' .', il campo verrà lasciato vuoto.
-----
Nome paese (2 codici Letter) [AU]:.
Nome stato o provincia (nome e cognome) [stato]:.
Nome località (ad esempio, città) []:.
Nome organizzazione (ad esempio, azienda) [Internet Widgits Pty Ltd]:.
Nome unità organizzativa (ad esempio, sezione) []:.
Nome In comune (ad esempio FQDN del server o nome) []:D XLBroker1. dxl. Lab
Indirizzo e-mail []:.
Digitare i seguenti attributi "extra" da inviare con la richiesta di certificato:
Una sfida password []:
Un nome di azienda facoltativo []: - Firmare il certificato e importare l'autorità di certificazione nel Cisco ISE:
- Opzione 1: Utilizzare una CA esterna per firmare il certificato:
- Fornire il file CSR al fornitore CA e recuperare il prodotto firmato
pxgrid_client.cer .
Nota Il server CA che utilizza un modello personalizzato deve firmare la richiesta di CSR. Questo modello personalizzato deve contenere un EKU di autenticazione client e autenticazione server.
Come riferimento, consultare distribuzione di certificati con Cisco pxGrid-utilizzo di un'autorità di certificazione (CA) esterna con gli aggiornamenti di Cisco ISE 2.0/2.1/2.2 nella sezione Utilizzo di un modello personalizzato del server CA del certificato esterno (https://communities.cisco.com/docs/DOC-71926). - Copia
pxgrid_client.key epxgrid_client.cer nel Broker in questa cartella:
/var/mcafee/dxlbroker/ipe/cisco/keystore
Nota È necessario uno strumento SCP o SFTP per copiare il.zip file al broker DXL. - Suddividere la catena di certificati dell'autorità di certificazione in file PEM separati e copiare i file in Broker nella cartella
/var/mcafee/dxlbroker/ipe/cisco/keystore (il certificato CA root). Questi file hanno l'estensione.cer .
Nota È necessario uno strumento SCP o SFTP per copiare il file. zip nel Broker DXL. - Accedere all'interfaccia utente Web ISE come amministratore e passare a Amministrazione, Sistema, Certificati, Gestione dei certificati, Certificati affidabili.
- Fare clic su Importazione e selezionare i file di certificato CA creati al passaggio 8C.
Utilizzare i valori predefiniti e importare per ciascun file.
- Fornire il file CSR al fornitore CA e recuperare il prodotto firmato
- Opzione 2: Utilizzare una CA autofirmata:
- Creare il certificato CA e la chiave con il seguente comando:
c:\certificates>openssl req -new -x509 -days 365 -extensions v3_ca -keyout ca.key -out ca.cer
Digitare le informazioni necessarie. Assicurarsi che "In comune nome" sia univoco e che sia impostato sull'FQDN del broker DXL:
Generazione di una chiave privata RSA a 2048 bit......................................................................... + + +
....................+++
scrittura di una nuova chiave privata in ' ca. Key '
Immettere la frase di passaggio PEM: verifica-immettere la frase di passaggio PEM:
-----
Verrà richiesto di immettere le informazioni che verranno integrate nella richiesta di certificato.
Ciò che si sta per immettere è quello che viene definito un nome distinto o un DN.
Ci sono alcuni campi, ma puoi lasciarne uno vuoto
Per alcuni campi ci sarà un valore predefinito,
Se si immette ' .', il campo verrà lasciato vuoto.
-----
Nome paese (2 codici Letter) [AU]:.
Nome stato o provincia (nome e cognome) [stato]:.
Nome località (ad esempio, città) []:.
Nome organizzazione (ad esempio, azienda) [Internet Widgits Pty Ltd]:.
Nome unità organizzativa (ad esempio, sezione) []:.
Nome In comune (ad esempio FQDN server o nome utente) []:D XLpxGridClientsCA
Indirizzo e-mail []:. - Firmare il CSR con il seguente comando:
c:\certificates>openssl x509 -req -in pxgrid_client.csr -CA ca.cer -CAkey ca.key -CAcreateserial -out pxgrid_client.cer -days 365
Digitare il password per la chiave CA e completare la firma del certificato:
Firma OK
Subject =/CN = DXLBroker1. dxl. Lab
Come ottenere la chiave privata CA
Immettere la frase di passaggio per ca. Key: - Copia
pxgrid_client.cer, pxgrid_client.key, eca.cer al broker nella cartella:
/var/mcafee/dxlbroker/ipe/cisco/keystore
Nota È necessario uno strumento SCP o SFTP per copiare il.zip file al broker DXL. - Accedere all'interfaccia utente Web ISE come amministratore e passare a Amministrazione, Sistema, Certificati, Gestione dei certificati, Certificati affidabili.
- Fare clic su Importazione e selezionare il
c:\certificates\ca.cer file. Utilizzare i valori predefiniti e importare.
- Creare il certificato CA e la chiave con il seguente comando:
- Opzione 1: Utilizzare una CA esterna per firmare il certificato:
- Ripetere i passaggi 5 – 8 per ogni broker che si connette a
pxGrid .
Se si utilizza una CA autofirmata, è possibile riutilizzare la stessa CA per la firma delle richieste di certificato, ma è necessario genera certificati separati per ogni broker. - Nell'interfaccia utente Web ISE, passare a Amministrazione, Sistema, Certificati, Gestione dei certificati, Certificati di sistema.
- Selezionare la voce del certificato "utilizzata da".
pxGrid . Prendere nota del valore "emesso da", quindi fare clic su Esporta. - Selezionare Esporta solo certificato e fare clic su Esporta.
- Per ogni broker DXL che si connette a
pxGrid , copiare il file scaricato sul broker nella cartella:
/var/mcafee/dxlbroker/ipe/cisco/truststore
Nota È necessario uno strumento SCP o SFTP per copiare il file. zip nel Broker DXL. - Nell'interfaccia utente Web ISE, passare a Amministrazione, Sistema, Certificati, Gestione dei certificati, Certificati affidabili.
- Selezionare la voce in cui "emesso" è uguale al valore "emesso da" al punto 11 e fare clic su Esporta.
- Per ogni broker DXL che si connette a pxGrid, copiare il file scaricato nel Broker DXL nella cartella:
/var/mcafee/dxlbroker/ipe/cisco/truststore
Nota È necessario uno strumento SCP o SFTP per copiare il.zip file al broker DXL.
- Distribuzione di certificati con Cisco pxGrid-utilizzo degli aggiornamenti dei certificati autofirmati in Cisco ISE 2.0/2.1/2.2: https://communities.cisco.com/docs/DOC-71925
Torna all'inizio