- Identificar os agentes aos quais você deseja se conectar
Cisco pxGrid . - Efetue logon na interface do usuário da Web do ISE como administrador e navegue até Administração, Serviços pxGrid, Certifica.
- Na lista suspensa "desejo", selecione Gerar um único certificado (sem uma solicitação de assinatura de certificado).
- Digite o nome comum e as senhas do certificado.
Important Use as mesmas senhas de certificado ao configurarpxGrid em do DXL (Configurações do servidor, Configurações do do DXL Cisco pxGrid). - No campo "formato de download de certificado", selecione Certificado na privacidade de correio eletrônico aprimorado (PEM) Formatar e clique em Criar.
- Copie o arquivo. zip obtido por download para o agente nesta pasta:
/var/mcafee/dxlbroker/ipe/cisco/keystore
INDICADO É necessário ter uma ferramenta SCP ou SFTP para copiar o.zip arquivo para o agente do DXL. - Repita as etapas anteriores para cada agente ao qual você deseja se conectar
pxGrid . - Na lista suspensa "desejo", selecione Fazer download da cadeia de certificados raiz e escolha todos os nomes de hosts.
- No campo "formato de download de certificado", selecione Certificado na privacidade de correio eletrônico aprimorado (PEM) Formatar e clique em Criar.
- Copie o download
.zip arquivo para o agente nesta pasta:
/var/mcafee/dxlbroker/ipe/cisco/truststore
Repita o procedimento para cada agente que se conectar ao pxGrid.
INDICADO É necessário ter uma ferramenta SCP ou SFTP para copiar o.zip arquivo para o agente do DXL.
- Uso do ISE 2.2 CA interna (CA) para distribuir Cisco clientes pxGrids (não usando CA externa): https://communities.cisco.com/docs/DOC-71928
- Distribuindo o pxGrid em ambientes de produção ISE (versão 2.0) seção distribuindo o pxGrid usando o ISE 2.2+ (usando CA externa): https://communities.cisco.com/docs/DOC-68284
Versão do Cisco ISE 2.1:
- Identificar os agentes aos quais você deseja se conectar
Cisco pxGrid . - Efetue logon na interface do usuário da Web do ISE como administrador e navegue até o Portal de configuração de certificado, Gerenciamento do portal de dispositivos, Configuração de certificado.
- Navegue até o Padrão do portal de configuração de certificado, e selecione o URL de teste do portal.
- Forneça as credenciais solicitadas e clique em Conectar-se.
- Na lista suspensa "desejo", selecione Gerar um único certificado (sem uma solicitação de assinatura de certificado).
- Forneça o nome do Em Comum (CN).
INDICADO O CN deve ser um nome de domínio totalmente qualificado (FQDN) que possa ser resolvido de um sistema de agente.
- Forneça o endereço MAC e as senhas do certificado.
Important Você deve usar as mesmas senhas de certificado ao configurar opxGrid em do DXL (Configurações do servidor, Configurações do do DXL Cisco pxGrid).
- No campo "formato de download de certificado", selecione Certificado no formato PEM e clique em Generate.
- Extraia o conteúdo do download
.zip arquivo em uma pasta temporária. - Copie todos os arquivos individuais da pasta temporária para o agente na pasta a seguir:
/var/mcafee/dxlbroker/ipe/cisco/keystore
INDICADO É necessário ter uma ferramenta SCP ou SFTP para copiar o.zip arquivo para o agente do DXL.
- Copiar somente o
CertificateServicesRootCA-xxx.cer arquivo e o certificado raiz externo arquivo, caroot.cer , da pasta temporária para o agente na pasta a seguir:
/var/mcafee/dxlbroker/ipe/cisco/truststore
INDICADO É necessário ter uma ferramenta SCP ou SFTP para copiar o.zip arquivo para o agente do DXL.
- Repita as etapas de 5 a 11 para cada agente ao qual você deseja se conectar
pxGrid .
- Uso do ISE 2.1 CA interna (CA) para distribuir Cisco clientes pxGrids (não usando CA externa): https://communities.cisco.com/docs/DOC-71927
- Distribuindo o pxGrid em ambientes de produção ISE (versão 2.0) seção distribuindo o pxGrid usando o ISE 2.1 com certificados de CA internos e de CA externa para nós do ISE: https://communities.cisco.com/docs/DOC-68284
Versão do Cisco ISE 2.0:
- Identificar os agentes aos quais você deseja se conectar
Cisco pxGrid . - Faça o download e instale o OpenSSL para Windows a partir do local a seguir e selecione o Luz do Win32 OpenSSL (para 32 bits) ou A luz do OpenSSL do Win64 (para o pacote de 64 bits):
http://www.slproweb.com/products/Win32OpenSSL.html
Se a mensagem "componente crítico estiver ausente: Microsoft redistribuíveis do Visual C++ 2008", cancele a instalação e download um dos seguintes pacotes (com base em sua arquitetura):
Redistribuíveis do Visual C++ 2008 (x86), disponível em:
http://www.microsoft.com/downloads/details.aspx?familyid=9B2DA534-3E03-4391-8A4D-074B9F2BC1BF
Redistribuíveis do Visual C++ 2008 (x64), disponível em:
http://www.microsoft.com/downloads/details.aspx?familyid=bd2a6171-e2d6-4230-b809-9a8d7548c1b6 - Abra um prompt de comando (Começo, Executa
, cmd.exe ) e defina as seguintes variáveis de ambiente do OpenSSL. Ajuste o caminho OpenSSL com base no local de instalação:
C:\ > Set OPENSSL_BIN = c:\OpenSSL-Win32\bin
C:\ > set PATH =%OPENSSL_BIN%;%PATH%
C:\ > Set OPENSSL_CONF =%OPENSSL_BIN%\openssl.cfg - Criar e alterar para o diretório de arquivos de saída:
C:\ > mkdir c:\certificates
C:\ > CD c:\certificates - Crie uma chave privada e defina uma senha para ela. Verifique se a mesma senha é definida em Configurações do servidor do McAfee ePO, Configurações do do DXL Cisco pxGrid Page.
Important Use as mesmas senhas de certificado ao configurarpxGrid em do DXL (Configurações do servidor, Configurações do do DXL Cisco pxGrid).
C:\certificates > OpenSSL genrsa-aes256-out tmp. chave 2048
Geração de chave privada RSA, módulo de 2048 bits
.....................................................................................+++
..............+++
e é 65537 (0x10001)
Digite a frase de senha para tmp. chave:
Verificando-digite a frase de senha para tmp. chave: - Converta a chave em PCKS8 tipo:
C:\certificates>openssl pkcs8 -in tmp.key -topk8 -out pxgrid_client.key -v1 PBE-SHA1-3DES
Forneça a mesma senha que antes e certifique-se de que a senha de criptografia esteja definida com o mesmo valor:
Enter pass phrase for tmp.key:
Enter Encryption Password:
Verifying - Enter Encryption Password: - Gere a solicitação de assinatura de certificado a partir dessa chave.
C:\certificates>openssl req -out pxgrid_client.csr -key pxgrid_client.key -new
Digite as informações necessárias. Verifique se um valor exclusivo é fornecido para "nome do Em Comum". Por exemplo, o nome de host do agente do do DXL:
Digite a senha para pxgrid_client. chave:
Você está prestes a ser solicitado a inserir informações que serão incorporadas à solicitação de certificado.
O que você está prestes a inserir é o que é chamado de nome diferenciado ou uma DN.
Existem alguns campos, mas você pode deixar algum espaço em branco
Para alguns campos, haverá um valor padrão,
Se você digitar '. ', o campo será deixado em branco.
-----
Nome do país (código de 2 letras) [AU]:.
Nome do Estado ou província (nome completo) [algum estado]:.
Nome da localidade (por exemplo, cidade) []:.
Nome da organização (por exemplo, empresa) [Internet widgits Pty Ltd]:.
Nome da unidade organizacional (por exemplo, seção) []:.
Nome do Em Comum (por exemplo, FQDN do servidor ou seu nome) []:D XLBroker1. do DXL. Lab
Endereço de e-mail []:.
Digite os seguintes atributos ' extras ' a serem enviados com a solicitação de certificado:
Uma senha de desafio []:
Um nome opcional da empresa []: - Assine o certificado e importe a autoridade de certificação no Cisco ISE:
- Opção 1: Use uma autoridade de certificação externa para assinar o certificado:
- Forneça o CSR arquivo ao fornecedor da CA e obtenha o retorno de assinatura
pxgrid_client.cer .
INDICADO O servidor de autoridade de certificação que usa um modelo personalizado deve assinar a solicitação de CSR. Esse modelo personalizado deve conter uma EKU de autenticação de cliente e de servidor.
Como referência, consulte distribuição de certificados com o Cisco pxGrid-usando uma autoridade de certificação (CA) externa com atualizações para o Cisco ISE 2.0/2.1/2.2 na seção uso de um modelo personalizado do servidor de CA de certificado (https://communities.cisco.com/docs/DOC-71926). - Cópia
pxgrid_client.key empxgrid_client.cer para o agente nesta pasta:
/var/mcafee/dxlbroker/ipe/cisco/keystore
INDICADO É necessário ter uma ferramenta SCP ou SFTP para copiar o.zip arquivo para o agente do DXL. - Divida a cadeia de certificados da autoridade de certificação em arquivos PEM separados e copie esses arquivos em agente na pasta
/var/mcafee/dxlbroker/ipe/cisco/keystore (o certificado de autoridade de certificação raiz). Estes arquivos têm a extensão.cer .
INDICADO É necessário ter uma ferramenta SCP ou SFTP para copiar a arquivo. zip para a agente do do DXL. - Efetue logon na interface do usuário da Web do ISE como administrador e navegue até Administração, Sistema, Certifica, Gerenciamento de certificados, Certificados confiáveis.
- Clique Impor e selecione os arquivos de certificado de autoridade de certificação que você criou na etapa 8C.
Use os valores padrão e importe para cada arquivo.
- Forneça o CSR arquivo ao fornecedor da CA e obtenha o retorno de assinatura
- Opção 2: Usar uma CA autoassinado:
- Crie um certificado de CA e uma chave com o seguinte comando:
c:\certificates>openssl req -new -x509 -days 365 -extensions v3_ca -keyout ca.key -out ca.cer
Digite as informações necessárias. Certifique-se de que "nome do Em Comum" seja exclusivo e de que esteja definido como o FQDN do do DXL agente:
Gerando uma chave privada RSA de 2048 bits........................................................................................................... + + +
....................+++
gravando nova chave privada em ' ca. Key '
Insira PEM frase secreta: verificação-digite PEM frase secreta:
-----
Você está prestes a ser solicitado a inserir informações que serão incorporadas à solicitação de certificado.
O que você está prestes a inserir é o que é chamado de nome diferenciado ou uma DN.
Existem alguns campos, mas você pode deixar algum espaço em branco
Para alguns campos, haverá um valor padrão,
Se você digitar '. ', o campo será deixado em branco.
-----
Nome do país (código de 2 letras) [AU]:.
Nome do Estado ou província (nome completo) [algum estado]:.
Nome da localidade (por exemplo, cidade) []:.
Nome da organização (por exemplo, empresa) [Internet widgits Pty Ltd]:.
Nome da unidade organizacional (por exemplo, seção) []:.
Nome do Em Comum (por exemplo, FQDN do servidor ou seu nome) []:D XLpxGridClientsCA
Endereço de e-mail []:. - Assine o CSR com o seguinte comando:
c:\certificates>openssl x509 -req -in pxgrid_client.csr -CA ca.cer -CAkey ca.key -CAcreateserial -out pxgrid_client.cer -days 365
Digite a senha da chave da CA e conclua a assinatura do certificado:
Assinatura Ok
Subject =/CN = DXLBroker1. do DXL. Lab
Obtendo chave privada da CA
Digite a frase secreta para a CA. chave: - Cópia
pxgrid_client.cer, pxgrid_client.key, emca.cer para a agente na pasta:
/var/mcafee/dxlbroker/ipe/cisco/keystore
INDICADO É necessário ter uma ferramenta SCP ou SFTP para copiar o.zip arquivo para o agente do DXL. - Efetue logon na interface do usuário da Web do ISE como administrador e navegue até Administração, Sistema, Certifica, Gerenciamento de certificados, Certificados confiáveis.
- Clique Impor e selecione o
c:\certificates\ca.cer arquivo. Use os valores padrão e importe.
- Crie um certificado de CA e uma chave com o seguinte comando:
- Opção 1: Use uma autoridade de certificação externa para assinar o certificado:
- Repita as etapas de 5 a 8 para cada agente que se conecta ao
pxGrid .
Se você usar uma autoridade de certificação autoassinado, poderá reutilizar a mesma autoridade de certificação para assinar solicitações de certificados, mas deverão gerar certificados separados para cada agente. - Na interface do usuário da Web do ISE, navegue até Administração, Sistema, Certifica, Gerenciamento de certificados, Certificados do sistema.
- Selecione a entrada de certificado que está "usada por"
pxGrid . Anote o valor de "emitido por" e clique em Port. - Selecionados Exportar somente certificado e clique em Port.
- Para cada agente do DXL que se conecta ao
pxGrid , copie o arquivo obtido por download no agente na pasta:
/var/mcafee/dxlbroker/ipe/cisco/truststore
INDICADO É necessário ter uma ferramenta SCP ou SFTP para copiar a arquivo. zip para a agente do do DXL. - Na interface do usuário da Web do ISE, navegue até Administração, Sistema, Certifica, Gerenciamento de certificados, Certificados confiáveis.
- Selecione a entrada em que "emitido para" é o mesmo que o valor "emitido por" na etapa 11 e clique em Port.
- Para cada agente de do DXL que se conecta ao pxGrid, copie o arquivo obtido por download para o agente do DXL na pasta:
/var/mcafee/dxlbroker/ipe/cisco/truststore
INDICADO É necessário ter uma ferramenta SCP ou SFTP para copiar o.zip arquivo para o agente do DXL.
- Distribuição de certificados com o Cisco pxGrid-usando atualizações de certificados autoassinados para o Cisco ISE 2.0/2.1/2.2: https://communities.cisco.com/docs/DOC-71925
Voltar ao início