在 ISE 分布式环境中配置 pxGrid

Transcription

1 在 ISE 分布式环境中配置 pxgrid 草稿

2 目录 关于本文档... 4 简介... 5 使用 pxgrid 角色的 ISE 分布式部署简介... 6 pxgrid 角色配置... 8 配置 Microsoft CA 2008 R2 企业版 pxgrid 模板... 8 不含 pxgrid 主用 - 备用配置的 pxgrid 节点配置 生成 CA 签名的节点证书 在主要 PAN 节点和 MnT 节点中导出 pxgrid 节点公钥 / 私钥 批量会话下载 为分布式环境注册 ISE 节点 pxgrid 客户端管理 pxgrid 客户端配置 pxgrid Java sdk 安装 pxgrid 客户端 SDK Java 密钥库简介 pxgrid 客户端证书配置 pxgrid 客户端主用 - 备用配置示例 在 ISE 分布式环境中测试 xgrid 客户端 查看密钥库条目 采用 pxgrid 主用 - 备用配置的 ISE 分布式部署简介 为分布式环境 pxgrid 主用 - 备用配置注册 ISE 节点 在 ISE 分布式环境 pxgrid 主用 - 备用配置中测试 pxgrid 客户端 测试 pxgrid 主用 - 备用配置 基本操作 测试故障切换 恢复主要节点 ISE 自签名身份证书 SDK 中的样本证书 测试 pxgrid 客户端 思科系统公司第 2 页

3 参考资料 附录 故障排除 在 Centos 6.5 中删除 Java 和安装 JDK 删除 Java 早期版本 安装 JDK 思科系统公司第 3 页

4 关于本文档 本文档面向在思科身份服务引擎 (ISE) 1.3 生产环境中部署 pxgrid 的思科工程师 合作伙伴和客户 读者应熟悉 ISE 和 pxgrid 本文档重点介绍如何为 ISE pxgrid 节点和 pxgrid 客户端部署外部 CA 签名的证书 以下系列文档将详细介绍有关证书部署的其他注意事项 ( 例如自签名 ISE 身份证书和 pxgrid 样本证书 ): 使用 Cisco pxgrid 部署证书 证书颁发机构 (CA) 签名的 pxgrid ISE 节点和 CA 签名的 pxgrid 客户端 证书颁发机构 (CA) 签名的 pxgrid 客户端和自签名的 ISE pxgrid 节点证书 自签名证书与 ISE pxgrid 节点和 pxgrid 客户端 有关在测试环境中配置 pxgrid 的信息, 请参阅以下参考资料 : Configure_and_Test_Integration_with_Cisco_pxGrid.pdf 本文档将介绍分布式 ISE 环境中的外部 ISE pxgrid 节点配置和 pxgrid 主用 - 备用配置 用于测试这些配置的 pxgrid 客户端是运行 OSX 的 MacBook Pro 和适用于 pxgrid java SDK 的 Oracle Java Development Kit (jdk-8u-20-macros-x64.dmg) 如果您运行的是其他版本的 Linux, 请参阅 84zConfigure_and_Test_Integration_with_Cisco_pxGrid.pdf 本文档还将介绍如何使用 POC 部署中所用的自签名证书和样本证书来配置 pxgrid ISE 节点 不过, 如欲了解详细信息, 还请参阅相关文档 Microsoft Enterprise 2008 CA R2 企业版服务器用于证书颁发机构 (CA),pxGrid 客户端证书 pxgrid 节点证书和 ISE 节点证书均由其签名 2015 思科系统公司第 4 页

5 简介 思科平台交换架构 (pxgrid) 可在 IT 基础设施的不同部分 ( 例如安全监控和网络检测系统 网络平台 资产和配置管理 身份和访问管理平台, 以及几乎所有其他 IT 运营平台 ) 之间实现跨平台的多供应商网络系统协作 当出现相应的业务或运营需求时, 生态系统合作伙伴可以使用 pxgrid 通过发布 / 订用方法, 与使用 pxgrid 的思科平台及使用 pxgrid 的任何其他生态系统交换情景信息 pxgrid 主要由三个部分组成 : 发布方 pxgrid 客户端和 pxgrid 控制器 ( 即思科身份服务引擎 [ISE pxgrid 节点 ) pxgrid 客户端要订用的信息主题的 pxgrid 发布方 - 在思科身份服务引擎 (ISE) 1.3 版中,ISE 是此信息 ( 也称为功能 ) 的唯一发布方 pxgrid 客户端 - 可以是支持的思科安全平台 pxgrid 生态系统合作伙伴或者运行 pxgrid SDK 的 Linux 或 MAC 主机, 均需订用发布的信息 pxgrid 控制器 - 思科身份服务引擎 (ISE) pxgrid 节点, 用于控制客户端注册 / 管理和主题 / 订用流程 ISE 将发布以下信息主题 : SessionDirectory - 已经过身份验证的 802.1X 会话的会话属性 EndpointProtectionService - 自适应网络控制 (ANC) 隔离 / 取消隔离缓解操作 TrustsecMetadataCapability - 安全组标记 (SGT) 信息 EndpointProfileMetadata - ISE 策略信息 IdentityGroup - 组和分析信息 pxgrid 客户端将订用这些主题并获取 ISE 情景信息 ISE 部署于分布式环境中, 此环境中的所有节点都有不同的角色 : 主要 PAN( 策略 Admin 节点 ), 主要 MnT( 监控 ) 节点,PSN( 策略服务节点 ) pxgrid 节点也会作为不同的角色进行部署, 而且在 CA( 证书颁发机构 ) 签名的环境中需要使用自定义的 pxgrid 模板 本文档将介绍在这种 ISE 分布式环境中对 ISE pxgrid 节点和 ISE pxgrid 客户端都使用 CA 签名的证书进行 pxgrid 配置的程序步骤 此外, 本文档还将介绍 pxgrid 主用 - 备用配置 在本文档中, 运行 OSX 的 MAC 将用作 pxgrid 客户端 Microsoft Enterprise CA (Certificate Authority) 2008 R2 服务器将用作指定的 CA 服务器 请注意, 用于 pxgrid 的自定义模板将同时具有客户端身份验证和服务器身份验证的增强型密钥用法 (EKU) EKU 用于定义证书的用途, 且以 ISO 定义的对象标识符 (OID) 来定义 ; 在此使用案例中, 一个用于客户端身份验证 ( ), 另一个用于服务器身份验证 ( ) 2015 思科系统公司第 5 页

6 使用 pxgrid 角色的 ISE 分布式部署简介 将 Windows 2008 R2 Enterprise CA 服务器用作 CA 机构 将 CA 根证书导入到每个 ISE 节点的受信任系统证书库中 CA 将使用 ISE 节点 (pxgrid 节点除外 ) 中定义的 Web 服务器模板和管理员 usage 证书为 CSR 节点请求提供服务 pxgrid 节点则使用自定义模板, 同时包含用于客户端身份验证和服务器身份验证的 EKU 注 :pxgrid 模板既可以是 Windows 2003 格式的用户模板的副本, 也可以是添加了同时用于客户端身份验证和服务器身份验证的 EKU 的用户模板的副本 必须将 pxgrid 节点的公钥 / 私钥对复制到每个主要 PAN( 管理员 ) 节点和主要 MnT( 监控 ) 节点的系统证书库,pxGrid 操作才能成功 注 : 如果是主用 - 备用 pxgrid 配置, 则要将第一个 pxgrid 节点 ( 主要 pxgrid 节点 ) 的公钥 / 私钥对导出到主要 PAN 节点和主要 MnT 节点中 将第二个 pxgrid 节点 ( 辅助 pxgrid 节点 ) 的公钥 / 私钥对导出到辅助 PAN 节点或辅助 MnT 节点中 下图显示了典型的 ISE 分布式环境中各种不同 ISE 节点的证书生成情况 请注意, 管理员 usage 证书用于除 pxgrid 节点外所有 ISE 节点的 CSR 请求生成过程 CA 服务器将使用 Web server 模板为这些请求提供服务 而 pxgrid usage 证书则用于 pxgrid 节点 CSR 请求, 由自定义 pxgrid 模板提供服务 2015 思科系统公司第 6 页

7 下图显示了分布式 ISE 环境中的 pxgrid 节点配置 pxgrid 节点在所有生产环境中都是外部节点 需要将 pxgrid 节点的公钥 / 私钥同时复制到主要 PAN 节点和主要 MnT 节点的系统证书库后才能启用 pxgrid 控制器 2015 思科系统公司第 7 页

8 pxgrid 角色配置 配置 Microsoft CA 2008 R2 企业版 pxgrid 模板 本节介绍 pxgrid 证书模板的配置 pxgrid 模板必须同时包含用于客户端身份验证和服务器身份验证的 EKU 创建 pxgrid 模板的步骤如下 : 步骤 1 步骤 2 Select -> Administrative Tools -> Certificate Authority -> CA 服务器旁的 + 下拉列表 -> 右键点击 Certificate Templates -> Manage 右键点击 User 模板并选择 Duplicate -> Select -> Windows 2003 Enterprise -> OK 注 : 选择 Windows Server 2003 Enterprise 让其显示于模板 CA 窗口下拉列表中 2015 思科系统公司第 8 页

9 步骤 3 输入证书模板的名称, 取消选中 Publish certificate in Active Directory, 提供有效期和续约期 步骤 4 点击 Extensions -> Add -> Server Authentication -> OK -> Apply 2015 思科系统公司第 9 页

10 不含 pxgrid 主用 - 备用配置的 pxgrid 节点配置 本节说明定义 ISE 节点 生成 CSR 请求以及从 CA 机构获取证书的步骤 这是所有 ISE 分布式部署的典型过程 此过程先在独立模式下进行配置, 然后从主要 Admin 节点加入节点 pxgrid 节点会将 ISE pxgrid usage 证书用于初始 CSR 请求, 并由此前定义的 MS CA pxgrid 模板提供服务 返回的证书将与初始 pxgrid CSR 请求绑定 将公钥 / 私钥对从 pxgrid 节点导出, 然后导入到主要 PAN 节点和主要 MnT 节点中 注 : 在 pxgrid 主用 - 备用配置中, 要将第二个节点或辅助 pxgrid 节点的公钥 / 私钥对导入到辅助 PAN 节点和辅助 MnT 节点中 下载 Microsoft CA 根证书并将其导入到每个 ISE 节点的受信任系统证书库中, 然后启用 Trust for Authentication within ISE 生成 CA 签名的节点证书 以下步骤概述下载 CA 根证书 生成 ISE 节点 CSR 请求以及将证书与 CSR 请求绑定的步骤 注 : 下载 CA 根证书和其他接受服务的证书请求时, 应选择 base 64 格式 步骤 1 下载 base 64 格式的 CA 根证书 2015 思科系统公司第 10 页

11 步骤 2 导入到受信任的证书库中 Administration -> System -> Certificates -> Trusted Certificates 步骤 3 在独立环境中为所需的 Admin 节点 MnT 节点和 PSN 节点生成 CSR Administration -> System -> Certificates -> Certificate Signing Requests - admin 证书用法 2015 思科系统公司第 11 页

12 步骤 4 使用 MS CA Web Server 模板为 Admin 节点 MnT 节点和 PSN 节点的证书请求提供服务 步骤 5 下载 base 64 编码格式的证书 步骤 6 将证书分别与每个 ISE 节点的 CSR 请求绑定 ( 例如 :Admin 节点 MnT 节点和 PSN 节点 ) Administration -> System -> Certificates -> Certificate Signing Requests -> 选择证书并绑定 2015 思科系统公司第 12 页

13 步骤 7 分别为每个 ISE 节点导入节点证书, 然后提交 步骤 8 为 pxgrid 节点生成 CSR Administration -> System -> Certificates -> Certificate Signing Requests - pxgrid 证书用法 2015 思科系统公司第 13 页

14 步骤 9 提交请求 MS CA pxgrid 模板, 为 pxgrid 节点的证书请求提供服务 步骤 10 将 pxgrid 证书与 pxgrid 节点 CSR 请求绑定 Administration -> System -> Certificates -> Certificate Signing Requests -> 选择 pxgrid 节点并绑定证书 在主要 PAN 节点和 MnT 节点中导出 pxgrid 节点公钥 / 私钥 必须将 pxgrid 客户端节点的公钥 / 私钥对复制到主要 PAN 节点和 MnT 节点中 相应步骤如下所述 : 步骤 1 在独立模式的新安装中, 从 pxgrid 节点的系统证书库中导出公钥和私钥, 然后导入到所需的主要 Admin 节点和 MnT 节点的系统证书库中 2015 思科系统公司第 14 页

15 注 : 如果存在现有 ISE 1.3 部署并已添加外部 pxgrid 角色, 可以从主要 PAN 节点的系统证书库中导出 pxgrid 节点的公钥 / 私钥对, 然后导入到主要 PAN 节点和主要 MnT 节点中 Administration -> System -> Certificates -> System Certificates, 选择证书并导出证书和私钥必须为私钥提供名称 ( 例如 cisco123) 此导出内容会另存为包含 PEM 和 PVK( 公钥 / 私钥对 ) 的压缩文件 步骤 2 对于所需的主要 Admin 节点, 将公钥和私钥都导入到系统证书库中, 然后提交 Administration -> System -> Certificates -> System Certificates, 然后导入 pxgrid PEM 证书和 PVK 证书 2015 思科系统公司第 15 页

16 步骤 3 对于所需的主要 MnT 节点, 将公钥和私钥都导入到系统证书库中, 然后提交 Administration -> System -> Certificates -> System Certificates, 然后导入 pxgrid PEM 证书和 PVK 证书 步骤 4 pxgrid 公钥 / 私钥将显示于主要 PAN 节点和主要 MnT 节点的系统证书库中 2015 思科系统公司第 16 页

17 批量会话下载 批量会话下载使用 pxgrid session_download 脚本, 从 ISE MnT 节点提供活动会话下载查询 这样即可提供已经过身份验证的 802.1X 会话中有关可用 ISE 情景信息的可用会话属性 将 MnT 节点的公钥 (PEM) 复制到 pxgrid 客户端并转换为 DER, 然后导入到 truststorefilename 密钥库中 此操作将于稍后介绍, 而现在则要按照下述步骤导出 MnT 节点证书 注 : 在 pxgrid 主用 - 备用配置中, 需要将主要 MnT 节点和辅助 MnT 节点的证书都导入到 pxgrid 客户端中 如果其中任一个证书不存在, 则会在注册客户端时出现问题, 而且无法连接到 pxgrid 节点 步骤 1 仅从所需的 MnT 节点导出公共证书密钥 此证书供 pxgrid 客户端用于批量会话下载 Administration -> Certificates -> Certificate Management -> System Certificates, 然后选择 MnT 身份证书并导出公共证书 2015 思科系统公司第 17 页

18 为分布式环境注册 ISE 节点 通过主要 Admin (PAN) 节点注册用于主要 PAN 节点 主要 MnT 节点 PSN 节点和 pxgrid 节点的所需的独立 ISE 节点 相应步骤定义如下 : 步骤 1 将所需的 Admin 节点设置为最初包括主要 Admin 和主要 MnT 角色 步骤 2 注册要作为主要 MnT 节点的所需的 MnT 节点 注 : 主要 PAN 节点将自动成为辅助 MnT 角色 禁用辅助 MnT 角色 2015 思科系统公司第 18 页

19 步骤 3 注册 PSN 节点 步骤 4 注册 pxgrid 节点 步骤 5 确保 pxgrid 服务已启动并且您有 ISE 发布的功能 Administration -> pxgrid Services, 同时启用 Auto Registration 2015 思科系统公司第 19 页

20 pxgrid 客户端管理 pxgrid Service 菜单提供客户端管理 客户端注册 / 删除以及在禁用 Auto-Registration 时对客户端 挂起 请求进行授权的功能 此菜单还可用于查看客户端已注册功能或信息主题的日志历史记录 Enable Auto-Registration - 启用自动注册, 在 pxgrid 客户端初始身份验证完成后,pxGrid 客户端将自动注册 Disable Auto-Registration - 禁用自动注册,pxGrid 客户端将保持 挂起 状态, 直到管理员将其移入相应的 session 组或 EPS 组中 Client Groups - client 组主要注册到 session 组, 用于 pxgrid 操作 Administrator - 为 ISE 预留 Session - 访问会话属性信息 EPS - session 组的 superset, 用于 ANC 自适应网络控制 缓解操作 Live Log - 显示客户端注册和主题订用的历史记录 2015 思科系统公司第 20 页

21 2015 思科系统公司第 21 页

22 pxgrid 客户端配置 本节介绍如何安装用于 pxgrid 示例脚本测试的 pxgrid java SDK 系统将运行 Register.sh, 连接 pxgrid 控制器并与其建立连接 然后将运行 Session_download.sh, 从 ISE 下载活动会话记录 系统使用这些脚本进行基本测试, 以确保 pxgrid 客户端与 ISE 之间的连接和通信能正常工作 如果要测试所有 shell 脚本 ( 包括以前称为终端保护服务 [EPS 的自适应网络控制 [ANC 缓解操作 ), 请参阅 : ( Configure_and_Test_Integration_with_Cisco_pxGrid.pdf) pxgrid Java sdk 安装 请联系思科客户团队获取 pxgrid java SDK 库 请下载您的 Linux 操作系统适用的 Oracle Java Development Kit: 要安装 Oracle Java Development Kit, 必须卸载系统中现有的旧版本的 Java 注 : 如果使用 MAC 进行测试, 请参阅以下网址了解如何卸载 Java: 如果您使用的是 Centos 6.5, 请参阅附录在 Centos 6.5 中删除 Java 和安装 JDK 8.0 解压文件夹 tar -zxf pxgrid-sdk-x.x.x-dist.tar.gz 您将看到以下内容 : Lib - 包含所有 GCL 库 Samples - 包含 bin certs conf lib 和 src 目录 Bin - 包含所有示例脚本 Certs - 包含所有样本 pxgrid 身份证书和 rootsample 证书 Src - 包含所有 Java 源文件 要运行 pxgrid 示例脚本, 请在 JAVA_HOME= 环境变量中加入 jre 路径 下面以 MAC 为例加以说明 要查看 jre 路径的位置, 请运行以下命令 : 注 : 运行 sudo 命令时需要 root 权限 sudo find / -name java Password: /Applications/pxGridsdk/pxgrid-sdk-1.0.0/samples/src/java find: /dev/fd/3: Not a directory find: /dev/fd/4: Not a directory /Library/Internet Plug-Ins/JavaAppletPlugin.plugin/Contents/Home/bin/java /Library/Java/JavaVirtualMachines/jdk1.8.0_25.jdk/Contents/Home/bin/java /Library/Java/JavaVirtualMachines/jdk1.8.0_25.jdk/Contents/Home/jre/bin/java 2015 思科系统公司第 22 页

23 将路径 /Library/Java/JavaVirtualMachines/jdk1.8.0_25.jdk/Contents/Home/jre 添加到 JAVA_HOME export JAVA_HOME=/Library/Java/JavaVirtualMachines/jdk1.8.0_25.jdk/Contents/Home/jre 如果使用的 Linux 版本不同 ( 例如使用 Centos 64), 请确保路径中包含 keytool Append the../jdk1.7._51/bin to PATH export PATH=/usr/lib64/qt3.3/bin:/usr/local/bin:/usr/bin:/bin:/usr/local/sbin:/usr/sbin:/sbin:/home/jeppich/bin:/usr /java/jdk1.7.0_51/bin pxgrid 客户端 SDK Java 密钥库简介 Java 密钥库包含诸如 CA 根证书 主机身份证书或 pxgrid 客户端证书 自签名证书等证书的公钥 / 私钥对 Java 密钥库本身为 PKCS #12 格式 (.JKS) 证书本身为 PEM 或 CER 格式, 会被转换为 DER 并导入到 Java 密钥库中 在本文档中, 我们将使用 CA 签名的 pxgrid 客户端证书和 CA 签名的 ISE 证书 pxgrid 有两个密钥库 : 包含 pxgrid 客户端身份证书的 keystorefilename 以及代表 CA 根证书和 MnT 节点证书的 truststorefilename 此外, 将证书导入到密钥库中时, 这些密钥库值还包含关联的密码 keystorepassword 和 truststorepassword keystorefilename keystorepassword truststorefilename 和 truststorepassword 在 pxgrid SDK 脚本中用于 SASL 身份验证和 pxgrid 角色连接 在下面的说明示例中,pxGrid 客户端注册并连接到 pxgrid 控制器./register.sh -keystorefilename pxgridclient.jks -keystorefilename cisco123 -truststorefilename root3.jks - truststorepassword cisco123 -group Session -description test -username macbook-pro -hostname properties version=1.0.0 hostnames= username=macbook-pro descriptipon=test keystorefilename=pxgridclient.jks keystorepassword=cisco123 truststorefilename=root3.jks truststorepassword=cisco registering... connecting... account enabled connected. done registering. connection closed 2015 思科系统公司第 23 页

24 在下面的说明示例中,pxGrid 客户端从 MnT 节点下载活动会话记录./session_download.sh -keystorefilename pxgridclient.jks -keystorefilename cisco123 -truststorefilename root3.jks -truststorepassword cisco123 -username macbook-pro -hostname properties version=1.0.0 hostnames= username=macbook-pro keystorefilename=pxgridclient.jks keystorepassword=cisco123 truststorefilename=root3.jks truststorepassword=cisco123 filter=null start=null end=null connecting... connected. starting at Wed Dec 10 18:44:49 EST session (ip= , Audit Session Id=0A B006E1086, User Name=jeppich, AD User DNS Domain=lab6.com, AD Host DNS Domain=null, AD User NetBIOS Name=LAB6, AD Host NETBIOS Name=null, Calling station id=00:0c:29:d1:8d:90, Session state= STARTED, Epsstatus=null, Security Group=null, Endpoint Profile=VMWare-Device, NAS IP= , NAS Port=GigabitEthernet1/0/15, RADIUSAVPairs=[ Acct-Session- Id= , Posture Status=null, Posture Timestamp=, Session Last Update Time=Wed Dec 10 16:41:48 EST 2014 )... ending at: Wed Dec 10 18:44:49 EST downloaded 1 sessions in 26 milliseconds connection closed pxgrid 客户端证书配置 以下程序表示下列过程的步骤 : 为 pxgrid 客户端生成密钥 创建 CSR 请求 导入证书并将其转换为 DER 添加到密钥库 注 : 该 pxgrid 客户端配置适用于具有 CA 签名的 pxgrid 客户端和 CA 签名的 pxgrid 节点证书的情况 有关其他证书部署的注意事项, 请参阅参考资料 具体过程如下所述 : 为 pxgrid 客户端生成私钥 根据私钥生成 CSR( 证书签名请求 ) 质询秘钥是必须的, 它将在稍后用于密钥库管理 CA 机构使用此前定义的有效 pxgrid 模板为 CSR 请求签名 根据公钥 / 私钥对和根证书创建 PKCS#12 文件 此文件将用于创建密钥库 keystorefilename (JKS) 和 truststorefilename (JKS) 创建 keystorefilename (JKS) 创建 truststorefilename (JKS) 从用于活动会话记录或批量下载会话的 ISE MnT 主要节点和 ISE MnT 辅助节点导入 ISE 身份证书 2015 思科系统公司第 24 页

25 将 ISE 身份证书 PEM 文件转换为 DER 格式, 连同 CA 根证书一起添加到 truststorefilename 密钥库中 将 pxgrid 客户端证书导入到 keystorefilename (JKS) 中 将 CA 根证书导入到 tuststorefilename (JKS) 中 将两个文件都复制到 pxgrid 的../samples/bin/.. 文件夹中并运行脚本 步骤 1 生成私钥为 pxgrid 客户端生成私钥 ( 例如 mac.key) 注 : 此.key 名称可以是任意名称, 此处以 mac.key 为例 openssl genrsa -out mac.key 4096 Generating RSA private key, 4096 bit long modulus e is (0x10001) 步骤 1 生成 CSR 请求生成向 CA 机构请求证书的 CSR 请求 ( 例如 mac.csr) 提供质询密码 ( 例如 cisco123) 注 :csr 可以是任意名称, 为保持一致, 此处仍以 mac.csr 为例 ; 同样, 质询密码也可以是任意名称 openssl req -new -key mac.key -out mac.csr You are about to be asked to enter information that will be incorporated into your certificate request. What you are about to enter is what is called a Distinguished Name or a DN. There are quite a few fields but you can leave some blank For some fields there will be a default value, If you enter '.', the field will be left blank Country Name (2 letter code) [AU: State or Province Name (full name) [Some-State: Locality Name (eg, city) [: Organization Name (eg, company) [Internet Widgits Pty Ltd: Organizational Unit Name (eg, section) [: Common Name (e.g. server FQDN or YOUR name) [: Address [: Please enter the following 'extra' attributes to be sent with your certificate request A challenge password [:cisco123 An optional company name [:Eppich, Inc 在本文档各处使用相同的密码可便于维护, 并减少错误 步骤 2 CA 机构为 PxGrid CS 请求签名 CA 机构必须使用 pxgrid 模板 ( 同时包含用于客户端身份验证和服务器身份验证的 EKU) 提供用户证书 注 : 由于选择的是 Windows 2003 的 CA 模板, 所以它会显示于下拉列表中 复制的用户模板同时包含用于客户端身份验证和服务器身份验证的 EKU 2015 思科系统公司第 25 页

26 步骤 3 创建 PKCS12 文件根据 pxgrid 客户端证书 ( 例如 mac.cer) 中的私钥创建 pxgrid 客户端 pkcs12 文件 (mac.p12) 此文件将用于密钥库管理, 可以是扩展名为.p12 的随机文件名 包括 CA 根文件 ( 例如 root2a) openssl pkcs12 -export -out mac.p12 -inkey mac.key -in mac.cer -chain -CAfile root2a.cer Enter Export Password: cisco123 Verifying - Enter Export Password: cisco123 步骤 4 为 pxgrid 客户端创建 keystorefilename 创建 pxgrid 客户端身份密钥库 ( 例如 mac.jks) 这是 pxgrid 客户端身份密钥库, 可以是扩展名为.jks 的随机文件名 这将在 pxgrid 脚本示例中充当 keystorefilename 和关联的 keystorepassword keytool -importkeystore -srckeystore mac.p12 -destkeystore mac.jks -srcstoretype PKCS12 Enter destination keystore password: cisco123 Re-enter new password: cisco123 Enter source keystore password: Entry for alias 1 successfully imported. Import command completed: 1 entries successfully imported, 0 entries failed or cancelled 步骤 5 从 ISE MnT 主要节点和 ISE MnT 辅助节点导出公共 ISE 身份证书仅将公共 ISE 身份证书导出到 pxgrid 客户端中, 请注意导出文件将采用.pem 格式 您可以重命名扩展名为.pem 的文件, 使其更易于读取 在本例中, 该文件被重命名为 mnt1.pem 注 : 如果已进行 pxgrid 主用 - 备用配置, 则 pxgrid 客户端同时需要 ISE MnT 主要节点和 ISE Mnt 辅助节点的证书 2015 思科系统公司第 26 页

27 步骤 6 将 ISE MnT 节点身份证书从 PEM 格式转换为 DER 格式 openssl x509 -outform der -in mnt1.pem -out mnt1.der 步骤 7 将 ISE MnT DER 文件添加到 truststorefilename 中将 ISE 身份证书添加到信任密钥库 ( 例如 caroot1.jks) 中 这是受信任的密钥库, 可以是扩展名为.jks 的随机文件名 这将成为 pxgrid 脚本中使用的 truststorefilename 和 truststorepassword keytool -import -alias isemnt -keystore caroot1.jks -file mnt1.der Enter keystore password: cisco123 Re-enter new password: cisco123 Owner: CN=ise.lab6.com Issuer: CN=lab6-WIN-BG7GPQ053ID-CA, DC=lab6, DC=com Serial number: 61262d d Valid from: Wed Dec 10 16:39:24 EST 2014 until: Sat Dec 10 16:49:24 EST 2016 Certificate fingerprints: MD5: 2B:3D:24:04:D3:FF:1F:1E:7E:57:8E:44:4A:AF:6D:51 SHA1: BD:18:C0:DD:4D:DD:43:80:CA:CA:3B:F6:DC:1E:6E:46:93:59:FE:B7 SHA256: F9:11:FC:EC:BC:0F:0F:84:36:F1:26:BC:5A:09:B7:2B:3C:D1:1B:AC:FC:1A:F1:AB:6D:00:8D:11:F8:26:93:FF Signature algorithm name: SHA256withRSA Version: 3 Extensions: #1: ObjectId: Criticality=false 0000: E A F7 0D *.H : E A F7 0D *.H : B 0E A A * 0030: F7 0D H... #2: ObjectId: Criticality=false 0000: A B A : B A B : C 06 0A 2B : 37 0A #3: ObjectId: Criticality=false 0000: 30 2D B DC FD 1A 0-.% : 87 CB EB D 2D 86 E6 FC A y S : 5E 86 D1 B FC EF ^...#...@..d 思科系统公司第 27 页

28 #4: ObjectId: Criticality=false AuthorityInfoAccess [ [ accessmethod: caissuers accesslocation: URIName: ldap:///cn=lab6-win-bg7gpq053id- CA,CN=AIA,CN=Public%20Key%20Services,CN=Services,CN=Configuration,DC=lab6,DC=com?cACertificate?base?objectCla ss=certificationauthority #5: ObjectId: Criticality=false AuthorityKeyIdentifier [ KeyIdentifier [ 0000: A9 C7 8E 26 9C F5 37 0A E6 5A D4 A &..7..Z.6& : 6A C8 79 2C j.y, #6: ObjectId: Criticality=false CRLDistributionPoints [ [DistributionPoint: [URIName: ldap:///cn=lab6-win-bg7gpq053id-ca,cn=win- BG7GPQ053ID,CN=CDP,CN=Public%20Key%20Services,CN=Services,CN=Configuration,DC=lab6,DC=com?certificateRevocati onlist?base?objectclass=crldistributionpoint #7: ObjectId: Criticality=false CertificatePolicies [ [CertificatePolicyId: [ [ #8: ObjectId: Criticality=false ExtendedKeyUsages [ serverauth clientauth protection #9: ObjectId: Criticality=true KeyUsage [ DigitalSignature Key_Encipherment #10: ObjectId: Criticality=false SubjectKeyIdentifier [ KeyIdentifier [ 0000: DA 39 A3 EE 5E 6B 4B 0D BF EF ^kK.2U...` : AF D Trust this certificate? [no: yes Certificate was added to keystroke 步骤 8 将 pxgrid 客户端证书导入到 keystorefilename 中将 pxgrid 客户端证书导入到身份密钥库中 Johns-MacBook-Pro:pxGridsdk jeppich$ keytool -import -alias pxgridmac -keystore mac.jks -file mac.cer Enter keystore password: cisco123 Certificate already exists in keystore under alias <1> Do you still want to add it? [no: yes Certificate was added to keystore 2015 思科系统公司第 28 页

29 注 : 如果您收到表明证书已添加到预先存在的密钥库的消息, 则可以选择 no, 这不会有任何问题 我选择了 yes, 因此我们可以验证后来是否添加了证书 步骤 9 将 CA 根证书添加到 truststorefilename 中将 CA 根证书添加到受信任的密钥库中 CA 根证书也需要是受信任的 keytool -import -alias ca_root1 -keystore caroot1.jks -file root2a.cer Enter keystore password: cisco123 Owner: CN=lab6-WIN-BG7GPQ053ID-CA, DC=lab6, DC=com Issuer: CN=lab6-WIN-BG7GPQ053ID-CA, DC=lab6, DC=com Serial number: 448a6d6486c91cb14c6888c127d16c4e Valid from: Thu Nov 13 20:47:06 EST 2014 until: Wed Nov 13 20:57:06 EST 2019 Certificate fingerprints: MD5: 41:10:8A:F5:36:76:79:9C:2C:00:03:47:55:F8:CF:7B SHA1: 9D:DA:06:AF:06:3F:8F:5E:84:C7:F4:58:50:95:03:22:64:48:96:9F SHA256: DB:28:50:D6:47:CA:C0:6A:E9:7B:87:B4:0E:9C:3A:C1:A2:61:EA:D1:29:8B:45:B4:76:4B:DA:2A:F1:D8:E0:A3 Signature algorithm name: SHA256withRSA Version: 3 Extensions: #1: ObjectId: Criticality=false 0000: #2: ObjectId: Criticality=true BasicConstraints:[ CA:true PathLen: #3: ObjectId: Criticality=false KeyUsage [ DigitalSignature Key_CertSign Crl_Sign #4: ObjectId: Criticality=false SubjectKeyIdentifier [ KeyIdentifier [ 0000: A9 C7 8E 26 9C F5 37 0A E6 5A D4 A &..7..Z.6& : 6A C8 79 2C j.y, Trust this certificate? [no: yes Certificate was added to keystore 步骤 10 将身份密钥库 (mac.jks) 和信任密钥库 (caroot1.jks) 复制到 pxgrid../samples/bin/.. 文件夹中 pxgrid 客户端主用 - 备用配置示例 对于 pxgrid 主用 - 备用配置, 需要将主要 MnT 节点和辅助 MnT 节点公共证书 (PEM) 都导出到 pxgrid 客户端中并转换为 DER 格式 需要将这两个证书都连同 CA 根证书 (root2a.cer) 一起添加到 truststorefilename 密钥库中 2015 思科系统公司第 29 页

30 Johns-Macbook-Pro:mntnodes jeppich$ openssl x509 -outform der -in mnt1.pem -out mnt1.der Johns-Macbook-Pro:mntnodes jeppich$ keytool -import -alias lab1 -keystore caroot1.jks -file mnt1.der Enter keystore password: Re-enter new password: Owner: CN=mnt1.lab6.com Issuer: CN=lab6-WIN-BG7GPQ053ID-CA, DC=lab6, DC=com Serial number: 61326a Valid from: Tue Jan 20 20:08:40 EST 2015 until: Fri Jan 20 20:18:40 EST 2017 Certificate fingerprints: MD5: D7:EC:5C:10:37:8D:6A:64:4C:51:BE:0B:7E:46:A4:36 SHA1: 6A:CF:48:0D:55:34:41:AA:D8:68:2C:06:86:6E:85:1A:80:7A:8E:BE SHA256: 66:7C:74:C3:D8:50:D0:09:A2:AA:60:5C:9D:97:09:D9:75:30:DD:3D:4B:56:47:77:91:47:84:DF:46:57:53:6F Signature algorithm name: SHA256withRSA Version: 3 Extensions: #1: ObjectId: Criticality=false 0000: E A F7 0D *.H : E A F7 0D *.H : B 0E A A * 0030: F7 0D H... #2: ObjectId: Criticality=false 0000: A B A : B A B : C 06 0A 2B : 37 0A #3: ObjectId: Criticality=false 0000: 30 2D B DC FD 1A 0-.% : 87 CB EB D 2D 86 E6 FC A y S : 5E 86 D1 B FC EF ^...#...@..d... #4: ObjectId: Criticality=false AuthorityInfoAccess [ [ accessmethod: caissuers accesslocation: URIName: ldap:///cn=lab6-win-bg7gpq053id- CA,CN=AIA,CN=Public%20Key%20Services,CN=Services,CN=Configuration,DC=lab6,DC=com?cACertificate?base?objectCla ss=certificationauthority #5: ObjectId: Criticality=false AuthorityKeyIdentifier [ KeyIdentifier [ 0000: A9 C7 8E 26 9C F5 37 0A E6 5A D4 A &..7..Z.6& : 6A C8 79 2C j.y, 2015 思科系统公司第 30 页

31 #6: ObjectId: Criticality=false CRLDistributionPoints [ [DistributionPoint: [URIName: ldap:///cn=lab6-win-bg7gpq053id-ca,cn=win- BG7GPQ053ID,CN=CDP,CN=Public%20Key%20Services,CN=Services,CN=Configuration,DC=lab6,DC=com?certificateRevocati onlist?base?objectclass=crldistributionpoint #7: ObjectId: Criticality=false CertificatePolicies [ [CertificatePolicyId: [ [ #8: ObjectId: Criticality=false ExtendedKeyUsages [ serverauth clientauth protection #9: ObjectId: Criticality=true KeyUsage [ DigitalSignature Key_Encipherment #10: ObjectId: Criticality=false SubjectAlternativeName [ DNSName: mnt1.lab6.com #11: ObjectId: Criticality=false SubjectKeyIdentifier [ KeyIdentifier [ 0000: DA 39 A3 EE 5E 6B 4B 0D BF EF ^kK.2U...` : AF D Trust this certificate? [no: yes Certificate was added to keystore Johns-Macbook-Pro:mntnodes jeppich$ openssl x509 -outform der -in mnt2.pem -out mnt2.der Johns-Macbook-Pro:mntnodes jeppich$ keytool -import -alias lab1 -keystore caroot1.jks -file mnt2.der Enter keystore password: keytool error: java.lang.exception: Certificate not imported, alias <lab1> already exists Johns-Macbook-Pro:mntnodes jeppich$ keytool -import -alias lab2 -keystore caroot1.jks -file mnt2.der Enter keystore password: Owner: CN=mnt2.lab6.com Issuer: CN=lab6-WIN-BG7GPQ053ID-CA, DC=lab6, DC=com Serial number: ec Valid from: Wed Mar 04 18:11:54 EST 2015 until: Fri Mar 03 18:11:54 EST 2017 Certificate fingerprints: MD5: 1E:96:5E:35:A1:3E:FA:CD:16:32:A7:01:2C:5A:E6:12 SHA1: 8F:0D:8A:58:DD:80:82:D3:56:F1:CE:26:E4:A3:C3:3F:F8:F6:D1:28 SHA256: 3A:70:F0:E6:43:93:E8:10:11:C5:FE:61:24:66:A2:C8:2A:FA:AC:04:38:4A:B5:B6:20:2C:E6:3C:21:D5:45:C3 Signature algorithm name: SHA256withRSA Version: 3 Extensions: #1: ObjectId: Criticality=false 0000: 1E W.e.b.S.e.r.v 0010: e.r 2015 思科系统公司第 31 页

32 #2: ObjectId: Criticality=false AuthorityInfoAccess [ [ accessmethod: caissuers accesslocation: URIName: ldap:///cn=lab6-win-bg7gpq053id- CA,CN=AIA,CN=Public%20Key%20Services,CN=Services,CN=Configuration,DC=lab6,DC=com?cACertificate?base?objectCla ss=certificationauthority #3: ObjectId: Criticality=false AuthorityKeyIdentifier [ KeyIdentifier [ 0000: A9 C7 8E 26 9C F5 37 0A E6 5A D4 A &..7..Z.6& : 6A C8 79 2C j.y, #4: ObjectId: Criticality=false CRLDistributionPoints [ [DistributionPoint: [URIName: ldap:///cn=lab6-win-bg7gpq053id-ca,cn=win- BG7GPQ053ID,CN=CDP,CN=Public%20Key%20Services,CN=Services,CN=Configuration,DC=lab6,DC=com?certificateRevocati onlist?base?objectclass=crldistributionpoint #5: ObjectId: Criticality=false ExtendedKeyUsages [ serverauth #6: ObjectId: Criticality=true KeyUsage [ DigitalSignature Key_Encipherment #7: ObjectId: Criticality=false SubjectAlternativeName [ DNSName: mnt2.lab6.com #8: ObjectId: Criticality=false SubjectKeyIdentifier [ KeyIdentifier [ 0000: DA 39 A3 EE 5E 6B 4B 0D BF EF ^kK.2U...` : AF D Trust this certificate? [no: yes Certificate was added to keystore Johns-Macbook-Pro:mntnodes jeppich$ keytool -list -v -keystore caroot1.jks Enter keystore password: Keystore type: JKS Keystore provider: SUN Your keystore contains 2 entries Alias name: lab2 Creation date: Mar 4, 2015 Entry type: trustedcertentry Owner: CN=mnt2.lab6.com Issuer: CN=lab6-WIN-BG7GPQ053ID-CA, DC=lab6, DC=com Serial number: ec Valid from: Wed Mar 04 18:11:54 EST 2015 until: Fri Mar 03 18:11:54 EST 思科系统公司第 32 页

33 Certificate fingerprints: MD5: 1E:96:5E:35:A1:3E:FA:CD:16:32:A7:01:2C:5A:E6:12 SHA1: 8F:0D:8A:58:DD:80:82:D3:56:F1:CE:26:E4:A3:C3:3F:F8:F6:D1:28 SHA256: 3A:70:F0:E6:43:93:E8:10:11:C5:FE:61:24:66:A2:C8:2A:FA:AC:04:38:4A:B5:B6:20:2C:E6:3C:21:D5:45:C3 Signature algorithm name: SHA256withRSA Version: 3 Extensions: #1: ObjectId: Criticality=false 0000: 1E W.e.b.S.e.r.v 0010: e.r #2: ObjectId: Criticality=false AuthorityInfoAccess [ [ accessmethod: caissuers accesslocation: URIName: ldap:///cn=lab6-win-bg7gpq053id- CA,CN=AIA,CN=Public%20Key%20Services,CN=Services,CN=Configuration,DC=lab6,DC=com?cACertificate?base?objectCla ss=certificationauthority #3: ObjectId: Criticality=false AuthorityKeyIdentifier [ KeyIdentifier [ 0000: A9 C7 8E 26 9C F5 37 0A E6 5A D4 A &..7..Z.6& : 6A C8 79 2C j.y, #4: ObjectId: Criticality=false CRLDistributionPoints [ [DistributionPoint: [URIName: ldap:///cn=lab6-win-bg7gpq053id-ca,cn=win- BG7GPQ053ID,CN=CDP,CN=Public%20Key%20Services,CN=Services,CN=Configuration,DC=lab6,DC=com?certificateRevocati onlist?base?objectclass=crldistributionpoint #5: ObjectId: Criticality=false ExtendedKeyUsages [ serverauth #6: ObjectId: Criticality=true KeyUsage [ DigitalSignature Key_Encipherment #7: ObjectId: Criticality=false SubjectAlternativeName [ DNSName: mnt2.lab6.com #8: ObjectId: Criticality=false SubjectKeyIdentifier [ KeyIdentifier [ 0000: DA 39 A3 EE 5E 6B 4B 0D BF EF ^kK.2U...` : AF D 思科系统公司第 33 页

34 ******************************************* ******************************************* Alias name: lab1 Creation date: Mar 4, 2015 Entry type: trustedcertentry Owner: CN=mnt1.lab6.com Issuer: CN=lab6-WIN-BG7GPQ053ID-CA, DC=lab6, DC=com Serial number: 61326a Valid from: Tue Jan 20 20:08:40 EST 2015 until: Fri Jan 20 20:18:40 EST 2017 Certificate fingerprints: MD5: D7:EC:5C:10:37:8D:6A:64:4C:51:BE:0B:7E:46:A4:36 SHA1: 6A:CF:48:0D:55:34:41:AA:D8:68:2C:06:86:6E:85:1A:80:7A:8E:BE SHA256: 66:7C:74:C3:D8:50:D0:09:A2:AA:60:5C:9D:97:09:D9:75:30:DD:3D:4B:56:47:77:91:47:84:DF:46:57:53:6F Signature algorithm name: SHA256withRSA Version: 3 Extensions: #1: ObjectId: Criticality=false 0000: E A F7 0D *.H : E A F7 0D *.H : B 0E A A * 0030: F7 0D H... #2: ObjectId: Criticality=false 0000: A B A : B A B : C 06 0A 2B : 37 0A #3: ObjectId: Criticality=false 0000: 30 2D B DC FD 1A 0-.% : 87 CB EB D 2D 86 E6 FC A y S : 5E 86 D1 B FC EF ^...#...@..d... #4: ObjectId: Criticality=false AuthorityInfoAccess [ [ accessmethod: caissuers accesslocation: URIName: ldap:///cn=lab6-win-bg7gpq053id- CA,CN=AIA,CN=Public%20Key%20Services,CN=Services,CN=Configuration,DC=lab6,DC=com?cACertificate?base?objectCla ss=certificationauthority #5: ObjectId: Criticality=false AuthorityKeyIdentifier [ KeyIdentifier [ 0000: A9 C7 8E 26 9C F5 37 0A E6 5A D4 A &..7..Z.6& : 6A C8 79 2C j.y, #6: ObjectId: Criticality=false CRLDistributionPoints [ [DistributionPoint: [URIName: ldap:///cn=lab6-win-bg7gpq053id-ca,cn=win- BG7GPQ053ID,CN=CDP,CN=Public%20Key%20Services,CN=Services,CN=Configuration,DC=lab6,DC=com?certificateRevocati onlist?base?objectclass=crldistributionpoint 2015 思科系统公司第 34 页

35 #7: ObjectId: Criticality=false CertificatePolicies [ [CertificatePolicyId: [ [ #8: ObjectId: Criticality=false ExtendedKeyUsages [ serverauth clientauth protection #9: ObjectId: Criticality=true KeyUsage [ DigitalSignature Key_Encipherment #10: ObjectId: Criticality=false SubjectAlternativeName [ DNSName: mnt1.lab6.com #11: ObjectId: Criticality=false SubjectKeyIdentifier [ KeyIdentifier [ 0000: DA 39 A3 EE 5E 6B 4B 0D BF EF ^kK.2U...` : AF D ******************************************* ******************************************* Johns-Macbook-Pro:mntnodes jeppich$ openssl x509 -outform der -in root2a.cer -out root2a.der Johns-Macbook-Pro:mntnodes jeppich$ keytool -import -alias lab3 -keystore caroot1.jks -file root2a.der Enter keystore password: Owner: CN=lab6-WIN-BG7GPQ053ID-CA, DC=lab6, DC=com Issuer: CN=lab6-WIN-BG7GPQ053ID-CA, DC=lab6, DC=com Serial number: 448a6d6486c91cb14c6888c127d16c4e Valid from: Thu Nov 13 20:47:06 EST 2014 until: Wed Nov 13 20:57:06 EST 2019 Certificate fingerprints: MD5: 41:10:8A:F5:36:76:79:9C:2C:00:03:47:55:F8:CF:7B SHA1: 9D:DA:06:AF:06:3F:8F:5E:84:C7:F4:58:50:95:03:22:64:48:96:9F SHA256: DB:28:50:D6:47:CA:C0:6A:E9:7B:87:B4:0E:9C:3A:C1:A2:61:EA:D1:29:8B:45:B4:76:4B:DA:2A:F1:D8:E0:A3 Signature algorithm name: SHA256withRSA Version: 3 Extensions: #1: ObjectId: Criticality=false 0000: #2: ObjectId: Criticality=true BasicConstraints:[ CA:true PathLen: #3: ObjectId: Criticality=false KeyUsage [ 2015 思科系统公司第 35 页

36 DigitalSignature Key_CertSign Crl_Sign #4: ObjectId: Criticality=false SubjectKeyIdentifier [ KeyIdentifier [ 0000: A9 C7 8E 26 9C F5 37 0A E6 5A D4 A &..7..Z.6& : 6A C8 79 2C j.y, Trust this certificate? [no: yes Certificate was added to keystore 2015 思科系统公司第 36 页

37 在 ISE 分布式环境中测试 xgrid 客户端 系统将运行 pxgrid 脚本 register.sh 和 session_download.sh 来确保 pxgrid 客户端连接和 pxgrid 注册 会话下载可确保 ISE MNT 证书和 pxgrid 客户端没有问题 步骤 1 注册 pxgrid 客户端 Johns-Macbook-Pro:bin jeppich$./register.sh -keystorefilename mac. jks -keystorepassword cisco123 - truststorefilename caroot1.jks -truststorepassword cisco123 -hostname username mac1 -group Session properties version=1.0.0 hostnames= username=mac1 descriptipon=null keystorefilename=mac.jks keystorepassword=cisco123 truststorefilename=caroot1.jks truststorepassword=cisco registering... connecting... connected. done registering. connection closed Johns-Macbook-Pro:bin jeppich$ 验证 pxgrid 客户端是否已注册到 pxgrid 控制器 Administration -> pxgrid Services 步骤 2 运行会话下载 Johns-Macbook-Pro:bin jeppich$./session_download.sh -keystorefilename mac.jks -keystorepassword cisco123 - truststorefilename caroot1.jks -truststorepassword cisco123 -hostname username mac properties version=1.0.0 hostnames= username=mac1 keystorefilename=mac.jks keystorepassword=cisco 思科系统公司第 37 页

38 truststorefilename=caroot1.jks truststorepassword=cisco123 filter=null start=null end=null connecting... connected. starting at Thu Mar 05 21:45:49 EST session (ip= , Audit Session Id=0A D02D814C0, User Name=jeppich, AD User DNS Domain=lab6.com, AD Host DNS Domain=null, AD User NetBIOS Name=LAB6, AD Host NETBIOS Name=null, Calling station id=00:0c:29:77:d6:85, Session state= STARTED, Epsstatus=null, Security Group=null, Endpoint Profile=VMWare-Device, NAS IP= , NAS Port=GigabitEthernet1/0/23, RADIUSAVPairs=[ Acct-Session- Id= , Posture Status=null, Posture Timestamp=, Session Last Update Time=Thu Mar 05 21:33:02 EST 2015 ) session (ip=null, Audit Session Id=0A C C, User Name=68:EF:BD:F6:76:56, AD User DNS Domain=null, AD Host DNS Domain=null, AD User NetBIOS Name=null, AD Host NETBIOS Name=null, Calling station id=68:ef:bd:f6:76:56, Session state= STARTED, Epsstatus=null, Security Group=null, Endpoint Profile=Cisco- Device, NAS IP= , NAS Port=GigabitEthernet1/0/15, RADIUSAVPairs=[ Acct-Session-Id= , Posture Status=null, Posture Timestamp=, Session Last Update Time=Thu Mar 05 21:33:44 EST 2015 )... ending at: Thu Mar 05 21:45:49 EST downloaded 2 sessions in 35 milliseconds connection closed 查看密钥库条目 通过查看密钥库条目, 您可以查看 keystorefilename 和 truststorefilename 秘钥库的受信任证书条目 步骤 1 验证 truststorefilename 密钥库 caroot1.jks Johns-Macbook-Pro:bin jeppich$ keytool -list -v -keystore caroot1.jks Enter keystore password: Keystore type: JKS Keystore provider: SUN Your keystore contains 3 entries Alias name: lab3 Creation date: Mar 4, 2015 Entry type: trustedcertentry Owner: CN=lab6-WIN-BG7GPQ053ID-CA, DC=lab6, DC=com Issuer: CN=lab6-WIN-BG7GPQ053ID-CA, DC=lab6, DC=com Serial number: 448a6d6486c91cb14c6888c127d16c4e Valid from: Thu Nov 13 20:47:06 EST 2014 until: Wed Nov 13 20:57:06 EST 2019 Certificate fingerprints: MD5: 41:10:8A:F5:36:76:79:9C:2C:00:03:47:55:F8:CF:7B SHA1: 9D:DA:06:AF:06:3F:8F:5E:84:C7:F4:58:50:95:03:22:64:48:96:9F SHA256: DB:28:50:D6:47:CA:C0:6A:E9:7B:87:B4:0E:9C:3A:C1:A2:61:EA:D1:29:8B:45:B4:76:4B:DA:2A:F1:D8:E0:A3 Signature algorithm name: SHA256withRSA Version: 思科系统公司第 38 页

39 Extensions: #1: ObjectId: Criticality=false 0000: #2: ObjectId: Criticality=true BasicConstraints:[ CA:true PathLen: #3: ObjectId: Criticality=false KeyUsage [ DigitalSignature Key_CertSign Crl_Sign #4: ObjectId: Criticality=false SubjectKeyIdentifier [ KeyIdentifier [ 0000: A9 C7 8E 26 9C F5 37 0A E6 5A D4 A &..7..Z.6& : 6A C8 79 2C j.y, ******************************************* ******************************************* Alias name: lab2 Creation date: Mar 4, 2015 Entry type: trustedcertentry Owner: CN=mnt2.lab6.com Issuer: CN=lab6-WIN-BG7GPQ053ID-CA, DC=lab6, DC=com Serial number: ec Valid from: Wed Mar 04 18:11:54 EST 2015 until: Fri Mar 03 18:11:54 EST 2017 Certificate fingerprints: MD5: 1E:96:5E:35:A1:3E:FA:CD:16:32:A7:01:2C:5A:E6:12 SHA1: 8F:0D:8A:58:DD:80:82:D3:56:F1:CE:26:E4:A3:C3:3F:F8:F6:D1:28 SHA256: 3A:70:F0:E6:43:93:E8:10:11:C5:FE:61:24:66:A2:C8:2A:FA:AC:04:38:4A:B5:B6:20:2C:E6:3C:21:D5:45:C3 Signature algorithm name: SHA256withRSA Version: 3 Extensions: #1: ObjectId: Criticality=false 0000: 1E W.e.b.S.e.r.v 0010: e.r #2: ObjectId: Criticality=false AuthorityInfoAccess [ [ accessmethod: caissuers accesslocation: URIName: ldap:///cn=lab6-win-bg7gpq053id- CA,CN=AIA,CN=Public%20Key%20Services,CN=Services,CN=Configuration,DC=lab6,DC=com?cACertificate?base?objectCla ss=certificationauthority #3: ObjectId: Criticality=false AuthorityKeyIdentifier [ KeyIdentifier [ 2015 思科系统公司第 39 页

40 0000: A9 C7 8E 26 9C F5 37 0A E6 5A D4 A &..7..Z.6& : 6A C8 79 2C j.y, #4: ObjectId: Criticality=false CRLDistributionPoints [ [DistributionPoint: [URIName: ldap:///cn=lab6-win-bg7gpq053id-ca,cn=win- BG7GPQ053ID,CN=CDP,CN=Public%20Key%20Services,CN=Services,CN=Configuration,DC=lab6,DC=com?certificateRevocati onlist?base?objectclass=crldistributionpoint #5: ObjectId: Criticality=false ExtendedKeyUsages [ serverauth #6: ObjectId: Criticality=true KeyUsage [ DigitalSignature Key_Encipherment #7: ObjectId: Criticality=false SubjectAlternativeName [ DNSName: mnt2.lab6.com #8: ObjectId: Criticality=false SubjectKeyIdentifier [ KeyIdentifier [ 0000: DA 39 A3 EE 5E 6B 4B 0D BF EF ^kK.2U...` : AF D ******************************************* ******************************************* Alias name: lab1 Creation date: Mar 4, 2015 Entry type: trustedcertentry Owner: CN=mnt1.lab6.com Issuer: CN=lab6-WIN-BG7GPQ053ID-CA, DC=lab6, DC=com Serial number: 61326a Valid from: Tue Jan 20 20:08:40 EST 2015 until: Fri Jan 20 20:18:40 EST 2017 Certificate fingerprints: MD5: D7:EC:5C:10:37:8D:6A:64:4C:51:BE:0B:7E:46:A4:36 SHA1: 6A:CF:48:0D:55:34:41:AA:D8:68:2C:06:86:6E:85:1A:80:7A:8E:BE SHA256: 66:7C:74:C3:D8:50:D0:09:A2:AA:60:5C:9D:97:09:D9:75:30:DD:3D:4B:56:47:77:91:47:84:DF:46:57:53:6F Signature algorithm name: SHA256withRSA Version: 3 Extensions: #1: ObjectId: Criticality=false 0000: E A F7 0D *.H : E A F7 0D *.H : B 0E A A * 0030: F7 0D H 思科系统公司第 40 页

41 #2: ObjectId: Criticality=false 0000: A B A : B A B : C 06 0A 2B : 37 0A #3: ObjectId: Criticality=false 0000: 30 2D B DC FD 1A 0-.% : 87 CB EB D 2D 86 E6 FC A y S : 5E 86 D1 B FC EF #4: ObjectId: Criticality=false AuthorityInfoAccess [ [ accessmethod: caissuers accesslocation: URIName: ldap:///cn=lab6-win-bg7gpq053id- CA,CN=AIA,CN=Public%20Key%20Services,CN=Services,CN=Configuration,DC=lab6,DC=com?cACertificate?base?objectCla ss=certificationauthority #5: ObjectId: Criticality=false AuthorityKeyIdentifier [ KeyIdentifier [ 0000: A9 C7 8E 26 9C F5 37 0A E6 5A D4 A &..7..Z.6& : 6A C8 79 2C j.y, #6: ObjectId: Criticality=false CRLDistributionPoints [ [DistributionPoint: [URIName: ldap:///cn=lab6-win-bg7gpq053id-ca,cn=win- BG7GPQ053ID,CN=CDP,CN=Public%20Key%20Services,CN=Services,CN=Configuration,DC=lab6,DC=com?certificateRevocati onlist?base?objectclass=crldistributionpoint #7: ObjectId: Criticality=false CertificatePolicies [ [CertificatePolicyId: [ [ #8: ObjectId: Criticality=false ExtendedKeyUsages [ serverauth clientauth protection #9: ObjectId: Criticality=true KeyUsage [ DigitalSignature Key_Encipherment #10: ObjectId: Criticality=false SubjectAlternativeName [ DNSName: mnt1.lab6.com #11: ObjectId: Criticality=false SubjectKeyIdentifier [ KeyIdentifier [ 0000: DA 39 A3 EE 5E 6B 4B 0D BF EF ^kK.2U...` 思科系统公司第 41 页

42 0010: AF D ******************************************* ******************************************* Johns-Macbook-Pro:bin jeppich$ 步骤 2 验证 keystorefilename 密钥库 mac.jks Johns-Macbook-Pro:bin jeppich$ keytool -list -v -keystore mac.jks Enter keystore password: Keystore type: JKS Keystore provider: SUN Your keystore contains 2 entries Alias name: 1 Creation date: Jan 28, 2015 Entry type: PrivateKeyEntry Certificate chain length: 2 Certificate[1: Owner: O=Internet Widgits Pty Ltd, ST=Some-State, C=AU Issuer: CN=lab6-WIN-BG7GPQ053ID-CA, DC=lab6, DC=com Serial number: 6118d Valid from: Wed Jan 28 14:35:54 EST 2015 until: Sat Jan 28 14:45:54 EST 2017 Certificate fingerprints: MD5: 93:E4:D9:1B:00:5B:48:75:C1:9F:36:BC:B7:5C:27:73 SHA1: 33:79:37:44:81:EA:68:B8:EC:A3:26:75:18:70:AA:11:E4:58:B2:AF SHA256: DA:6C:BA:E3:E8:76:DD:8A:30:BA:EE:0B:46:3B:78:BF:F9:CE:B4:68:2C:5D:CE:8A:9D:FB:66:A8:1F:97:BE:4A Signature algorithm name: SHA256withRSA Version: 3 Extensions: #1: ObjectId: Criticality=false 0000: E A F7 0D *.H : E A F7 0D *.H : B 0E A A * 0030: F7 0D H... #2: ObjectId: Criticality=false 0000: A B A : B A B : C 06 0A 2B : 37 0A #3: ObjectId: Criticality=false 0000: 30 2D B DC FD 1A 0-.% : 87 CB EB D 2D 86 E6 FC A y S : 5E 86 D1 B FC EF ^...#...@..d... #4: ObjectId: Criticality=false AuthorityInfoAccess [ 2015 思科系统公司第 42 页

43 [ accessmethod: caissuers accesslocation: URIName: ldap:///cn=lab6-win-bg7gpq053id- CA,CN=AIA,CN=Public%20Key%20Services,CN=Services,CN=Configuration,DC=lab6,DC=com?cACertificate?base?objectCla ss=certificationauthority #5: ObjectId: Criticality=false AuthorityKeyIdentifier [ KeyIdentifier [ 0000: A9 C7 8E 26 9C F5 37 0A E6 5A D4 A &..7..Z.6& : 6A C8 79 2C j.y, #6: ObjectId: Criticality=false CRLDistributionPoints [ [DistributionPoint: [URIName: ldap:///cn=lab6-win-bg7gpq053id-ca,cn=win- BG7GPQ053ID,CN=CDP,CN=Public%20Key%20Services,CN=Services,CN=Configuration,DC=lab6,DC=com?certificateRevocati onlist?base?objectclass=crldistributionpoint #7: ObjectId: Criticality=false CertificatePolicies [ [CertificatePolicyId: [ [ #8: ObjectId: Criticality=false ExtendedKeyUsages [ serverauth clientauth protection #9: ObjectId: Criticality=true KeyUsage [ DigitalSignature Key_Encipherment #10: ObjectId: Criticality=false SubjectKeyIdentifier [ KeyIdentifier [ 0000: E D2 5A A8 70.R..."C.^...Z.p 0010: CF DB... Certificate[2: Owner: CN=lab6-WIN-BG7GPQ053ID-CA, DC=lab6, DC=com Issuer: CN=lab6-WIN-BG7GPQ053ID-CA, DC=lab6, DC=com Serial number: 448a6d6486c91cb14c6888c127d16c4e Valid from: Thu Nov 13 20:47:06 EST 2014 until: Wed Nov 13 20:57:06 EST 2019 Certificate fingerprints: MD5: 41:10:8A:F5:36:76:79:9C:2C:00:03:47:55:F8:CF:7B SHA1: 9D:DA:06:AF:06:3F:8F:5E:84:C7:F4:58:50:95:03:22:64:48:96:9F SHA256: DB:28:50:D6:47:CA:C0:6A:E9:7B:87:B4:0E:9C:3A:C1:A2:61:EA:D1:29:8B:45:B4:76:4B:DA:2A:F1:D8:E0:A3 Signature algorithm name: SHA256withRSA Version: 思科系统公司第 43 页

44 Extensions: #1: ObjectId: Criticality=false 0000: #2: ObjectId: Criticality=true BasicConstraints:[ CA:true PathLen: #3: ObjectId: Criticality=false KeyUsage [ DigitalSignature Key_CertSign Crl_Sign #4: ObjectId: Criticality=false SubjectKeyIdentifier [ KeyIdentifier [ 0000: A9 C7 8E 26 9C F5 37 0A E6 5A D4 A &..7..Z.6& : 6A C8 79 2C j.y, ******************************************* ******************************************* Alias name: macstore Creation date: Jan 28, 2015 Entry type: trustedcertentry Owner: O=Internet Widgits Pty Ltd, ST=Some-State, C=AU Issuer: CN=lab6-WIN-BG7GPQ053ID-CA, DC=lab6, DC=com Serial number: 6118d Valid from: Wed Jan 28 14:35:54 EST 2015 until: Sat Jan 28 14:45:54 EST 2017 Certificate fingerprints: MD5: 93:E4:D9:1B:00:5B:48:75:C1:9F:36:BC:B7:5C:27:73 SHA1: 33:79:37:44:81:EA:68:B8:EC:A3:26:75:18:70:AA:11:E4:58:B2:AF SHA256: DA:6C:BA:E3:E8:76:DD:8A:30:BA:EE:0B:46:3B:78:BF:F9:CE:B4:68:2C:5D:CE:8A:9D:FB:66:A8:1F:97:BE:4A Signature algorithm name: SHA256withRSA Version: 3 Extensions: #1: ObjectId: Criticality=false 0000: E A F7 0D *.H : E A F7 0D *.H : B 0E A A * 0030: F7 0D H... #2: ObjectId: Criticality=false 0000: A B A : B A B : C 06 0A 2B : 37 0A #3: ObjectId: Criticality=false 0000: 30 2D B DC FD 1A 0-.% : 87 CB EB D 2D 86 E6 FC A y S : 5E 86 D1 B FC EF ^...#...@..d 思科系统公司第 44 页

45 #4: ObjectId: Criticality=false AuthorityInfoAccess [ [ accessmethod: caissuers accesslocation: URIName: ldap:///cn=lab6-win-bg7gpq053id- CA,CN=AIA,CN=Public%20Key%20Services,CN=Services,CN=Configuration,DC=lab6,DC=com?cACertificate?base?objectCla ss=certificationauthority #5: ObjectId: Criticality=false AuthorityKeyIdentifier [ KeyIdentifier [ 0000: A9 C7 8E 26 9C F5 37 0A E6 5A D4 A &..7..Z.6& : 6A C8 79 2C j.y, #6: ObjectId: Criticality=false CRLDistributionPoints [ [DistributionPoint: [URIName: ldap:///cn=lab6-win-bg7gpq053id-ca,cn=win- BG7GPQ053ID,CN=CDP,CN=Public%20Key%20Services,CN=Services,CN=Configuration,DC=lab6,DC=com?certificateRevocati onlist?base?objectclass=crldistributionpoint #7: ObjectId: Criticality=false CertificatePolicies [ [CertificatePolicyId: [ [ #8: ObjectId: Criticality=false ExtendedKeyUsages [ serverauth clientauth protection #9: ObjectId: Criticality=true KeyUsage [ DigitalSignature Key_Encipherment #10: ObjectId: Criticality=false SubjectKeyIdentifier [ KeyIdentifier [ 0000: E D2 5A A8 70.R..."C.^...Z.p 0010: CF DB... ******************************************* ******************************************* Johns-Macbook-Pro:bin jeppich$ 2015 思科系统公司第 45 页

46 采用 pxgrid 主用 - 备用配置的 ISE 分布式部署简介 本节介绍 pxgrid 主用 - 备用配置 在 ISE 分布式部署中, 只能有 (2) 个 pxgrid 节点 一个处理控制 pxgrid 服务的 pxgrid 客户端连接, 另一个用于故障切换 每次只有一个 pxgrid 节点处于活动状态 采用 pxgrid 主用 - 备用配置的 ISE 分布式部署包括主要 Admin 节点 辅助 Admin 节点 主要 MnT 节点, 辅助 MnT 节点 两个 PSN 节点和两个不同的 pxgrid 角色 我们将添加辅助 Admin 节点 辅助 MnT 节点和辅助 pxgrid 节点, 构成 pxgrid 主用 - 备用配置 将公钥 / 私钥从第一个或主要 pxgrid 角色导出到主要 Admin 节点和主要 MnT 节点的系统证书库中 注 : 在初始 ISE 分布式部署过程中已经完成此配置 将公钥 / 私钥从第二个或辅助 pxgrid 角色导出到辅助 Admin 节点和辅助 MnT 节点的系统证书库中 将主要和辅助 MnT 节点身份证书导出到 pxgrid 客户端中, 用于批量活动会话下载 如果缺少其中任一证书, pxgrid 客户端都无法注册 注册的客户端帐户 订用和主题等为主用 - 主用配置, 通过 PAN 节点在 pxgrid 服务器之间同步 主要和辅助 pxgrid 节点为主用 - 备用配置 pxgrid 客户端连接到主要 PxGrid 节点 如果主要 pxgrid 节点断开, 客户端会连接到辅助 pxgrid 节点, 所有注册的客户端和事务都会转移到该节点 本文档将对此加以说明 2015 思科系统公司第 46 页

47 为分布式环境 pxgrid 主用 - 备用配置注册 ISE 节点 此处注册的是辅助节点 步骤 1 将辅助 pxgrid 节点的公钥 / 私钥对导入到辅助 PAN 节点中 Administration -> System -> Certificate -> Certificate Management -> System Certificates, 然后导入辅助 pxgrid 节点的公钥 / 私钥 注 : 可以在所有节点处于独立模式时完成此操作, 也可以直接从主要 PAN 节点完成此操作 此处假定已经从辅助 pxgrid 节点导出公钥 / 私钥对 步骤 2 将辅助 pxgrid 节点的公钥 / 私钥对导入到辅助 PAN 节点中 Administration -> System -> Certificate -> Certificate Management -> System Certificates, 然后导入辅助 pxgrid 节点的公钥 / 私钥 2015 思科系统公司第 47 页

48 步骤 3 公钥 / 私钥对应该已经成功导入到 ISE 辅助 PAN 节点和 ISE 辅助 MnT 节点中 Administration -> System -> Certificates -> Certificate Management -> System Certificates 步骤 4 通过主要 Admin 节点注册辅助 Admin 节点 Administration -> System -> Deployment, 将 ISE 节点注册为辅助 Admin 节点 2015 思科系统公司第 48 页

49 步骤 5 通过主要 Admin 节点注册辅助监控节点 Administration -> System -> Deployment, 将 ISE 节点注册为辅助监控节点 注 : 确保辅助 MnT 节点已加入域, 检查外部身份服务, 如果辅助 MnT 节点尚未加入域, 则不会连接到 pxgrid 节点 步骤 6 添加辅助 pxgrid 节点 Administration -> System -> Deployment, 将 ISE 节点注册为辅助 pxgrid 节点 2015 思科系统公司第 49 页

50 步骤 7 确保 pxgrid 服务已启动并且您能看到 ISE 发布的节点 : Administration -> pxgrid Services 2015 思科系统公司第 50 页

51 在 ISE 分布式环境 pxgrid 主用 - 备用配置中测试 pxgrid 客户端 本节通过添加辅助 PAN 节点 辅助 MnT 节点和辅助 pxgrid 节点来说明 pxgrid 主用 - 备用配置 此外, 我们还将通过以下方式测试该配置 : 基本操作 : 将 pxgrid 客户端注册到主要 pxgrid 节点 注 : 在 pxgrid 主用 - 备用配置中, 只有主要 pxgrid 节点可处于活动状态, 而辅助 pxgrid 节点则处于 not running 状态, 正如在 pxgrid 辅助节点上发出 sh application status ise 命令时所示 从 MnT 主要节点下载活动会话记录 在 ISE 中查看注册的 pxgrid 客户端状态 查看部署节点状态以显示 pxgrid 节点状态 测试 pxgrid 节点能否故障切换为辅助 pxgrid 节点 在主要 pxgrid 节点上发出 application stop ise 命令, 模拟 pxgrid 节点断开的情况 在辅助 pxgrid 节点上发出 application start ise 命令, 启动辅助 pxgrid 节点 从 MnT 主要节点下载活动会话以便对其进行比较, 这些会话应该相同 将 pxgrid 客户端注册到辅助 pxgrid 节点 在 ISE 中查看注册的 pxgrid 客户端 查看部署节点状态以显示 pxgrid 节点状态 恢复 pxgrid 主要节点 在辅助 pxgrid 节点上发出 application stop ise 命令 在主要 pxgrid 节点上发出 application start ise 命令 从 MnT 主要节点下载活动会话以便对其进行比较, 这些会话应该相同 将 pxgrid 客户端注册到主要 pxgrid 节点 在 ISE 中查看注册的 pxgrid 客户端 查看部署节点状态以显示 pxgrid 节点状态 2015 思科系统公司第 51 页

52 测试 pxgrid 主用 - 备用配置 基本操作 此处我们在 pxgrid 主用 - 备用配置中, 将 pxgrid 客户端注册到第一个 pxgrid 节点或主要 pxgrid 节点 基本操作 : 将 pxgrid 客户端注册到主要 pxgrid 节点 注 : 在 pxgrid 主用 - 备用配置中, 只有主要 pxgrid 节点可处于活动状态, 而辅助 pxgrid 节点则处于 not running 状态, 正如在 pxgrid 辅助节点上发出 sh application status ise 命令时所示 从 MnT 主要节点下载活动会话记录 在 ISE 中查看注册的 pxgrid 客户端状态 查看部署节点状态以显示 pxgrid 节点状态 下图说明所有节点都处于活动状态 步骤 1 验证所有节点是否都处于活动状态 Administration -> System -> Deployment, 您应该看到所有节点 2015 思科系统公司第 52 页

53 步骤 2 验证 pxgrid 服务是否已启动,ISE 主要 PAN 节点 ISE 辅助 PAN 节点 ISE 主要 MnT 节点和 ISE 辅助 MnT 节点是不是注册的客户端 Administration -> pxgrid Services 步骤 3 使用 pxgrid register 脚本和 session_download shell 脚本注册 pxgrid 客户端并下载活动会话记录 记下 pxgrid 节点的主 IP 地址和备用 IP 地址的 IP 地址用作 hostname 注 : 在生产环境中, 您可能通过 GUI 指定辅助 pxgrid 节点 Johns-Macbook-Pro:bin jeppich$./register.sh -keystorefilename mac.jks -keystorepassword cisco123 - truststorefilename caroot1.jks -truststorepassword cisco123 -hostname username mac_engineering15 -group Session properties version=1.0.0 hostnames= , username=mac_engineering15 descriptipon=null keystorefilename=mac.jks keystorepassword=cisco123 truststorefilename=caroot1.jks truststorepassword=cisco registering... connecting... connected. done registering. connection closed Johns-Macbook-Pro:bin jeppich$./session_download.sh -keystorefilename mac.jks -keystorepassword cisco123 - truststorefilename caroot1.jks -truststorepassword cisco123 -hostname username mac_engineering properties version=1.0.0 hostnames= , username=mac_engineering15 keystorefilename=mac.jks keystorepassword=cisco123 truststorefilename=caroot1.jks truststorepassword=cisco123 filter=null start=null 2015 思科系统公司第 53 页

54 end=null connecting... connected. starting at Thu Mar 05 00:54:43 EST session (ip= , Audit Session Id=0A E027B9538, User Name=jeppich, AD User DNS Domain=lab6.com, AD Host DNS Domain=null, AD User NetBIOS Name=LAB6, AD Host NETBIOS Name=null, Calling station id=00:0c:29:77:d6:85, Session state= STARTED, Epsstatus=null, Security Group=null, Endpoint Profile=VMWare-Device, NAS IP= , NAS Port=GigabitEthernet1/0/23, RADIUSAVPairs=[ Acct-Session- Id= , Posture Status=null, Posture Timestamp=, Session Last Update Time=Wed Mar 04 20:06:47 EST 2015 ) session (ip= , Audit Session Id=0A C , User Name=68:EF:BD:F6:76:56, AD User DNS Domain=null, AD Host DNS Domain=null, AD User NetBIOS Name=null, AD Host NETBIOS Name=null, Calling station id=68:ef:bd:f6:76:56, Session state= STARTED, Epsstatus=null, Security Group=null, Endpoint Profile=Cisco- Device, NAS IP= , NAS Port=GigabitEthernet1/0/15, RADIUSAVPairs=[ Acct-Session-Id= , Posture Status=null, Posture Timestamp=, Session Last Update Time=Wed Mar 04 21:18:38 EST 2015 )... ending at: Thu Mar 05 00:54:43 EST downloaded 2 sessions in 12 milliseconds 步骤 4 您应该看到注册的客户端 mac_engineering15 Administration -> pxgrid Services 2015 思科系统公司第 54 页

55 测试故障切换 测试 pxgrid 节点能否故障切换为辅助 pxgrid 节点 在主要 pxgrid 节点上发出 application stop ise 命令, 模拟 pxgrid 节点断开的情况 在辅助 pxgrid 节点上发出 application start ise 命令, 启动辅助 pxgrid 节点 从 MnT 主要节点下载活动会话以便对其进行比较, 这些会话应该相同 将 pxgrid 客户端注册到辅助 pxgrid 节点 在 ISE 中查看注册的 pxgrid 客户端 查看部署节点状态以显示 pxgrid 节点状态 在主要 pxgrid 节点上发出 application stop ise 命令, 模拟 pxgrid 节点断开的情况 在辅助 pxgrid 节点上发出 application start ise 命令, 启动辅助 pxgrid 节点 从 MnT 主要节点下载活动会话以便对其进行比较, 这些会话应该相同 步骤 1 验证主要 pxgrid 节点或 pxgrid 1 是否断开 Administration -> System -> Deployment 2015 思科系统公司第 55 页

56 步骤 2 运行注册和会话下载命令, 验证是否连接到辅助 pxgrid 节点 Johns-Macbook-Pro:bin jeppich$./session_download.sh -keystorefilename mac.jks -keystorepassword cisco123 - truststorefilename caroot1.jks -truststorepassword cisco123 -hostname username mac_engineering properties version=1.0.0 hostnames= username=mac_engineering15 keystorefilename=mac.jks keystorepassword=cisco123 truststorefilename=caroot1.jks truststorepassword=cisco123 filter=null start=null end=null connecting... connected. starting at Thu Mar 05 01:32:40 EST session (ip= , Audit Session Id=0A E027B9538, User Name=jeppich, AD User DNS Domain=lab6.com, AD Host DNS Domain=null, AD User NetBIOS Name=LAB6, AD Host NETBIOS Name=null, Calling station id=00:0c:29:77:d6:85, Session state= STARTED, Epsstatus=null, Security Group=null, Endpoint Profile=VMWare-Device, NAS IP= , NAS Port=GigabitEthernet1/0/23, RADIUSAVPairs=[ Acct-Session- Id= , Posture Status=null, Posture Timestamp=, Session Last Update Time=Wed Mar 04 20:06:47 EST 2015 ) session (ip= , Audit Session Id=0A C , User Name=68:EF:BD:F6:76:56, AD User DNS Domain=null, AD Host DNS Domain=null, AD User NetBIOS Name=null, AD Host NETBIOS Name=null, Calling station id=68:ef:bd:f6:76:56, Session state= STARTED, Epsstatus=null, Security Group=null, Endpoint Profile=Cisco- Device, NAS IP= , NAS Port=GigabitEthernet1/0/15, RADIUSAVPairs=[ Acct-Session-Id= , Posture Status=null, Posture Timestamp=, Session Last Update Time=Wed Mar 04 21:18:38 EST 2015 )... ending at: Thu Mar 05 01:32:40 EST downloaded 2 sessions in 12 milliseconds connection closed Johns-Macbook-Pro:bin jeppich$ 步骤 3 验证 pxgrid 服务是否已启动, 您能否看到 ISE 发布的节点 Administration -> pxgrid Services 2015 思科系统公司第 56 页

57 步骤 4 在主要 pxgrid 节点断开的情况下, 使用 pxgrid register 脚本和 session_download shell 脚本注册 pxgrid 客户端并下载活动会话记录 Johns-Macbook-Pro:bin jeppich$./register.sh -keystorefilename mac.jks -keystorepassword cisco123 - truststorefilename caroot1.jks -truststorepassword cisco123 -hostname username mac_engineering20 - group Session properties version=1.0.0 hostnames= username=mac_engineering20 descriptipon=null keystorefilename=mac.jks keystorepassword=cisco123 truststorefilename=caroot1.jks truststorepassword=cisco registering... connecting... connected. done registering. connection closed Johns-Macbook-Pro:bin jeppich$ 步骤 5 验证您能否看到注册的 pxgrid 客户端 mac_engineering20 Administration -> pxgrid Services 2015 思科系统公司第 57 页

58 恢复主要节点 恢复 pxgrid 主要节点 在辅助 pxgrid 节点上发出 application stop ise 命令 在主要 pxgrid 节点上发出 application start ise 命令 从 MnT 主要节点下载活动会话以便对其进行比较, 这些会话应该相同 将 pxgrid 客户端注册到主要 pxgrid 节点 在 ISE 中查看注册的 pxgrid 客户端 查看部署节点状态以显示 pxgrid 节点状态 步骤 1 验证主要 pxgrid 节点是否已恢复 Administration -> System -> Deployment, 您应该看到所有节点 步骤 2 验证 pxgrid 服务是否正在运行, 您能否看到 ISE 发布的节点 Administration -> pxgrid Services 2015 思科系统公司第 58 页

59 步骤 3 验证是否仍有连接正在运行 session_download 命令下载活动会话 Dddd Johns-Macbook-Pro:bin jeppich$./session_download.sh -keystorefilename mac.jks -keystorepassword cisco123 - truststorefilename caroot1.jks -truststorepassword cisco123 -hostname username mac_engineering properties version=1.0.0 hostnames= , username=mac_engineering15 keystorefilename=mac.jks keystorepassword=cisco123 truststorefilename=caroot1.jks truststorepassword=cisco123 filter=null start=null end=null connecting... connected. starting at Thu Mar 05 01:57:14 EST session (ip= , Audit Session Id=0A E027B9538, User Name=jeppich, AD User DNS Domain=lab6.com, AD Host DNS Domain=null, AD User NetBIOS Name=LAB6, AD Host NETBIOS Name=null, Calling station id=00:0c:29:77:d6:85, Session state= STARTED, Epsstatus=null, Security Group=null, Endpoint Profile=VMWare-Device, NAS IP= , NAS Port=GigabitEthernet1/0/23, RADIUSAVPairs=[ Acct-Session- Id= , Posture Status=null, Posture Timestamp=, Session Last Update Time=Wed Mar 04 20:06:47 EST 2015 ) session (ip= , Audit Session Id=0A C , User Name=68:EF:BD:F6:76:56, AD User DNS Domain=null, AD Host DNS Domain=null, AD User NetBIOS Name=null, AD Host NETBIOS Name=null, Calling station id=68:ef:bd:f6:76:56, Session state= STARTED, Epsstatus=null, Security Group=null, Endpoint Profile=Cisco- Device, NAS IP= , NAS Port=GigabitEthernet1/0/15, RADIUSAVPairs=[ Acct-Session-Id= , Posture Status=null, Posture Timestamp=, Session Last Update Time=Wed Mar 04 21:18:38 EST 2015 )... ending at: Thu Mar 05 01:57:14 EST downloaded 2 sessions in 12 milliseconds connection closed 步骤 4 通过注册 pxgrid 客户端来验证是否一切正常 Johns-Macbook-Pro:bin jeppich$./register.sh -keystorefilename mac.jks -keystorepassword cisco123 - truststorefilename caroot1.jks -truststorepassword cisco123 -hostname username mac_engineering50 -group Session properties version=1.0.0 hostnames= , username=mac_engineering50 descriptipon=null keystorefilename=mac.jks keystorepassword=cisco123 truststorefilename=caroot1.jks truststorepassword=cisco registering... connecting... connected. done registering. connection closed 2015 思科系统公司第 59 页

60 步骤 5 在 ISE pxgrid 控制器上查看 pxgrid 客户端 mac_engineering50 Administration -> pxgrid Services 2015 思科系统公司第 60 页

61 ISE 自签名身份证书 如果外部 CA 机构不可用, 或者要在不使用 pxgrid SDK 中的样本证书的情况下测试 pxgrid 和 ISE 实施, 则可使用 pxgrid 的 ISE 自签名身份证书 默认情况下, 自签名身份证书包含增强型密钥用法 (EKU), 可同时用于服务器身份验证 ( ) 和客户端身份验证 ( ), 其位于 ISE 系统证书库中 pxgrid 客户端可以使用自签名证书, 请参阅 : 将自签名证书与 pxgrid ISE 节点和 pxgrid 客户端配合使用 pxgrid 客户端也可以使用 CA 签名的证书, 请参阅 : 将自签名证书与 pxgrid ISE 节点和 CA 签名的 pxgrid 客户端配合使用 步骤 1 在 ISE 自签名身份证书中启用 pxgrid 用法 Administration -> System -> Certificates -> System Certificates -> Edit ISE 自签名证书并选择 pxgrid, 然后点击 Save 2015 思科系统公司第 61 页

62 步骤 2 导出 Trusted Certificates 下的公共 ISE 自签名身份证书 Administration -> System -> Certificates -> Edit 自签名证书, 然后选择 Export Certificate Only 注 : 此证书将另存为 PEM 文件 2015 思科系统公司第 62 页

63 步骤 3 将 PEM 文件导入到受信任的证书库中 Administration -> System -> Certificates -> Trusted Certificates -> 选择 PEM certificate 并启用 Trust for authentication within ISE, 然后提交 步骤 4 启用 pxgrid 角色 Administration -> System -> Deployment -> Edit 部署节点并启用 pxgrid, 然后点击 Save 2015 思科系统公司第 63 页

64 步骤 5 启动 pxgrid 服务 Administration -> pxgrid Services 注 : 如果没有看到与 pxgrid 节点的连接, 可能需要一些时间才能显示出来 2015 思科系统公司第 64 页

65 SDK 中的样本证书 本示例中使用的是 pxgrid SDK 中的样本证书, 它只能用于 POC, 不能在生产环境中使用 此处我们导入 rootsample.crt 作为信任的 CA 证书, 并导入 isesample1.crt 和 isesample1.key, 充当 pxgrid 客户端用于客户端注册的公钥 / 私钥对 有关 POC 部署 样本证书和 pxgrid 示例 shell 脚本的更多详细信息, 请参阅 : Configure_and_Test_Integration_with_Cisco_pxGrid.pdf 步骤 1 将 rootsample.crt 导入到 ISE 的受信任系统证书中 Administration -> System -> Certificates -> Trusted Certificate -> 导入 rootsample.crt, 然后点击 Submit 步骤 2 将 isesample1.crt 和 isesample1.key 导入到 ISE 的系统证书库中 Administration -> System -> Certificates -> System Certificates -> Import, 使用 cisco123 作为密码, 然后提交 2015 思科系统公司第 65 页

66 步骤 3 启用 pxgrid 角色 Administration -> System -> Deployment -> Edit 部署节点并启用 pxgrid, 然后点击 Save 步骤 4 启动 pxgrid 服务 Administration -> pxgrid Services 注 : 如果没有看到与 pxgrid 节点的连接, 可能需要一些时间才能显示出来 2015 思科系统公司第 66 页

67 测试 pxgrid 客户端 确保从 MnT 节点导出 ISE 自签名身份证书, 如果是独立部署, 则导出到用于批量会话下载的 pxgrid 客户端 ( 请参阅 批量会话下载 ) 此处我们要检查客户端注册和会话下载 步骤 1 使用 register.sh 脚本并运行以下命令 :./register.sh -keystorefilename isesample1.jks -keystorepassword cisco123 -truststorefilename rootsample.jks --truststorepassword cisco123 -group Session -username isesample -hostname group Session properties version=1.0.0 hostnames= username=isesample descriptipon=null keystorefilename=isesample1.jks keystorepassword=cisco123 truststorefilename=rootsample.jks truststorepassword=cisco registering... connecting... connected. done registering. connection closed 验证 pxgrid 客户端 isesample 是否在 pxgrid Services 下显示为已注册的客户端 2015 思科系统公司第 67 页