这篇博客文章将介绍通过pxGrid与带有CA签名证书的ISE 2.1和WSA的集成。我个人喜欢在部署中使用CA签名证书,因为如果我需要重建ISE实例或pxGrid客户端,使用CA签名证书重新安装并再次运行非常容易。
在进行任何操作之前,请确保WSA具有基本配置(IP地址,许可等)。
对于ISE,请导航至 行政>System>Certificates>Trusted 证明书 并确保已上传根CA证书,并且该证书在ISE中可用于客户端身份验证和身份验证:
导航 行政>System>Certificates>证书签名请求 然后点击 Generate 证书签名请求 (CSR)。为您的ISE节点创建一个多用途证书,创建后将其导出。使用记事本打开它,复制CSR,然后打开“ AD证书服务”页面。点击 申请证书>高级证书申请, 将CSR粘贴到Base-64编码的请求中,然后选择 pxGrid 在点击之前对证书模板进行广告 提交。在下一页上,以Base-64编码下载证书。
回去 行政>System>Certificates>证书签名请求,请选中CSR旁边的框并绑定证书,并指定该证书至少将用于pxGrid。
导航 行政>System>Certificates>System 证明书 并确保您的债券证书与pxGrid一起使用:
导航 行政>System>Deployment 并单击您的ISE节点:
确保已选中pxGrid:
导航 行政>pxGrid Services>Settings 并确保 自动批准新帐户 已检查:
导航到AD证书服务,并确保已下载CA证书(如果尚未下载):
在WSA中,导航到 网络>证书管理 然后点击 Manage Trusted Root 证明书..上传刚刚下载的CA证书。
请点击 进口:
浏览到您下载并上传的CA证书,然后单击 提交:
请点击 提交 再次:
请点击 提交变更 应用更改。
导航 网络>身份服务引擎 然后点击 Enable 和 Edit 设定值..
在第一部分中,添加您的ISE IP或主机名,单击 浏览, 选择CA证书,然后单击 上传文件:
在下一部分中,再次上传CA证书:
在最后一部分中,选择单选按钮 使用生成的证书和密钥 然后点击按钮 生成新证书和密钥:
填写证书字段,然后单击 生成:
生成后,点击 Download 证书签名请求… 链接并在记事本中打开CSR:
很重要: 请点击 提交 在页面底部,然后 提交更改。
这样做之后,导航回 网络>身份服务引擎 然后点击 Edit 设定值:
打开您的AD证书服务,然后单击 申请证书:
请点击 高级证书申请。
在您从WSA下载的打开的CSR上,仅复制证书的选择
返回AD证书服务,将其粘贴,然后选择 pxGrid 模板,然后单击 提交:
以Base 64格式下载新证书。
返回WSA,上传证书:
您应该在顶部看到一条成功消息:
在屏幕底部,单击 开始测试 验证一切正常:
在WSA中,导航到 系统 行政>Log Subscription 然后点击 访问日志。在“自定义字段”(可选)下,添加 %m
请点击 提交 和 提交变更
在ISE中,导航至 行政>pxGrid Services>Clients 验证是否显示了新的pxGrid节点: