伊势 2.1 和 世界安全联盟 pxGrid Integration with CA-Signed 证明书

这篇博客文章将介绍通过pxGrid与带有CA签名证书的ISE 2.1和WSA的集成。我个人喜欢在部署中使用CA签名证书,因为如果我需要重建ISE实例或pxGrid客户端,使用CA签名证书重新安装并再次运行非常容易。

在进行任何操作之前,请确保WSA具有基本配置(IP地址,许可等)。

对于ISE,请导航至 行政>System>Certificates>Trusted 证明书 并确保已上传根CA证书,并且该证书在ISE中可用于客户端身份验证和身份验证:

导航 行政>System>Certificates>证书签名请求 然后点击 Generate 证书签名请求 (CSR)。为您的ISE节点创建一个多用途证书,创建后将其导出。使用记事本打开它,复制CSR,然后打开“ AD证书服务”页面。点击 申请证书>高级证书申请, 将CSR粘贴到Base-64编码的请求中,然后选择 pxGrid 在点击之前对证书模板进行广告 提交。在下一页上,以Base-64编码下载证书。

回去 行政>System>Certificates>证书签名请求,请选中CSR旁边的框并绑定证书,并指定该证书至少将用于pxGrid。

导航 行政>System>Certificates>System 证明书 并确保您的债券证书与pxGrid一起使用:

导航 行政>System>Deployment 并单击您的ISE节点:


确保已选中pxGrid:

导航 行政>pxGrid Services>Settings 并确保 自动批准新帐户 已检查:

导航到AD证书服务,并确保已下载CA证书(如果尚未下载):

 

在WSA中,导航到 网络>证书管理 然后点击 Manage Trusted Root 证明书..上传刚刚下载的CA证书。 

 

请点击 进口:

浏览到您下载并上传的CA证书,然后单击 提交:

请点击 提交 再次:

请点击 提交变更 应用更改。

导航 网络>身份服务引擎 然后点击 Enable 和 Edit 设定值..

在第一部分中,添加您的ISE IP或主机名,单击 浏览, 选择CA证书,然后单击 上传文件:

 

在下一部分中,再次上传CA证书:

 

在最后一部分中,选择单选按钮 使用生成的证书和密钥 然后点击按钮 生成新证书和密钥:

填写证书字段,然后单击 生成:

 

生成后,点击 Download 证书签名请求… 链接并在记事本中打开CSR:

很重要: 请点击 提交 在页面底部,然后 提交更改。

这样做之后,导航回 网络>身份服务引擎 然后点击 Edit 设定值:

打开您的AD证书服务,然后单击 申请证书:

 

请点击 高级证书申请。

在您从WSA下载的打开的CSR上,仅复制证书的选择

 

返回AD证书服务,将其粘贴,然后选择 pxGrid 模板,然后单击 提交:

以Base 64格式下载新证书。

返回WSA,上传证书:

 

您应该在顶部看到一条成功消息:

在屏幕底部,单击 开始测试 验证一切正常:

 

在WSA中,导航到 系统 行政>Log Subscription 然后点击 访问日志。在“自定义字段”(可选)下,添加 %m

请点击 提交 提交变更

 

在ISE中,导航至 行政>pxGrid Services>Clients 验证是否显示了新的pxGrid节点: