我将使用自签名证书通过Firepower v6.0.x进行配置,以便与ISE进行pxGrid集成。我们在上一篇文章中介绍了使用CA签名证书对Firepower进行配置的过程,您会发现该配置与本文中的配置非常相似。
在Firepower管理中心(FMC)中,导航到 目的s>Object Management>PKI>Internal CAs 然后点击 产生CA 按钮并提供证书信息。
单击铅笔图标并下载证书。
此时,它将要求您输入密码。我用了 思科123 并下载了证书。
重命名p12文件,然后使用WinSCP将其复制到FMC。
SSH到SMC,并使用以下命令将P12文件转换为CER和KEY文件:
sudo openssl pkcs12 -nokeys -clcerts -in fmc2.p12 -out fmc2.cer
sudo openssl pkcs12 -nocerts-输入fmc2.p12-输出fmc2.key
输入之前使用的加密密码。
使用WinSCP将CER和KEY文件移出FMC。
在ISE中,导航至 行政>System>Certificates>Trusted 证明书 并导入FMC cer文件。
导航 行政>System>Certificates>System 证明书,请选中ISE自签名证书旁边的框,然后单击 出口。导出证书和私钥。它将以zip文件下载。解压缩它,并将证书名称更改为易于阅读的名称。
在FMC中,导航到 目的>Object Management>PKI>Trusted CAs 然后点击 加 受信任的CA 按钮。添加ISE可信证书,并使用为它配置的加密密钥。
导航 目的>Object Management>PKI>Internal Certs 然后点击 添加内部证书 按钮。添加Firepower cer和密钥文件。
删除包属性。
和<no> at the end.
确保输入加密密码,然后单击 好。
导航 系统>Integration>Identity Sources 然后点击 身分识别 Services Engine 按钮。
填写ISE IP地址,并为前两个CA字段使用先前上传的ISE证书。对于第三个,使用先前创建的FMC2证书,然后单击 救.
在ISE中,导航至 行政>pxGrid Services 查看添加的Firepower管理中心。
如果您按照上述步骤操作,但仍然无法执行,请检查以下内容:
- 检查FMC和ISE之间的网络连接(从CLI ping等)
- 如果您使用的是ISE 2.0或更低版本,则需要单击 启用自动注册 而是在 行政>pxGrid Services>Clients 页
- 确保您使用的ISE客户端上已启用pxGrid Persona
- 确保没有 待批准 下 行政>pxGrid Services
我们将配置的下一件事是Firepower中的Active Directory领域。导航 系统>Integration>Realms 然后点击 新境界。

在里面 Add New Realm 弹出窗口,添加以下内容:
- 领域名称
- (可选)说明
- 选择一种类型-AD或LDAP
- 输入AD主域
- 添加用户名
- 添加密码
- 基本DN
- 群组DN
- 选择组属性-成员
在下一页上,单击 添加目录 按钮并添加域服务器。

点击 测试 按钮以确保您可以连接到AD服务器,然后单击 好 .
单击“用户下载”选项卡。在此标签上,选中旁边的框 下载用户和组 然后单击立即下载按钮以下载AD组。
请点击 救 保存领域。
您将被带回“领域”页面。确保启用了状态滑块以启用此领域
导航 政策规定>Access Control>Identity 然后点击 新政策。命名新策略,然后单击 好。 在下一页上,单击 添加规则 并创建如下的被动身份验证策略:
请点击 加 并保存您的身份政策。
现在,我们将新创建的身份策略添加到访问控制策略中。导航 政策规定>Access Control>Access Control 并修改您的政策。在顶部,单击“身份策略”旁边的链接,然后从下拉列表中选择新策略,然后单击“保存”。
点击 高级 标签并编辑 传输/网络层预处理器设置 并选中旁边的框 跟踪连接时忽略VLAN标头 然后点击 好
救 you 访问控制 Policy.
要验证您是否正在获取有关主机的信息,请导航至 分析>Users>User Activity 并且您应该看到ISE传递的信息。
现在,我们将基于ISE属性创建一个策略。导航 政策规定>Access Control>Access Control 并修改您的政策。请点击 添加规则 并单击“ 伊势属性”选项卡
在此标签下,我们可以基于以下内容创建规则:
- 安全组标签
- 设备类型
- 位置IP
按照这个规则,我要 根据Domain Admin SGT阻止社交媒体:
单击“确定”,保存并部署我的策略后,应阻止任何使用Domain Admin SGT的人访问社交媒体。