思科ISE的API证书设置

这里是一个步行通过编写利用了证书颁发机构的RESTful API生成证书对脚本。

当我们在1.3版本中添加的证书颁发机构（CA），思科ISE，有从外地出极大的兴趣水平。公司从端点寻找此功能使BYOD和安全的网络访问更加安全和有嗡嗡声的这个功能很多。

至于谁飞的家伙在世界各地持有“标志”的内置CA在ISE - 强迫我的消息到所有的管理人员，我能找到，为什么它是如此重要，我自然是欣喜若狂地看到一些我的成功倡导和自成立以来培养。

然而，与一切，总是需要更多！ISE管理员有世界各地的觉得对于能够入职的设备是伟大的，但他们需要的问题端点证书无法通过自动启用流程走的设备，如医疗器械，销售点系统，Linux的等等。

“做起来很” - 让 - 吕克·皮卡尔

在ISE 1.4，我们增加了一个RESTful（表述性状态转移）API的CA颁发私钥+公共证书对。本博客文章是专门为您展示如何利用该API的RESTful和生成自己的证书无法使用BYOD入职过程的自动配置功能的设备。

主要叫出维克托·阿什，我们的小团体摇滚明星的主要团队成员谁负责这个CA的一个维克多就是我要告诉你，在这个博客的原作者。谢谢，维克多！

你可以（当然）建立一个全面的门户网站，利用此API来生成组织中的人的证书。不过，我要告诉你如何使用卷曲的Linux或Mac设备上的一个简单的脚本来做到这一点。你也许可以得到这个与CURL一个用于Windows的Windows设备的工作，但我不喜欢这样做 - 因此它不会是博客的一部分:)

让我们开始吧

There are many tools available for REST so please bear in mind, there’s a reason we are using curl instead of a browser based REST Client, like Poster, Postman, etc. The browser-based clients just spit back the response body as text, and aren’t smart enough to treat this as a file and let you download it.

您可以将自己的Linux / MAC工作站上创建两个文件。一个我们称之为request.sh和其他将被称为有效载荷。该request.sh脚本包含放信息到API来获取证书对curl命令。有效载荷文件包含您要生成证书的详细信息。

request.sh：
卷曲-X PUT -H “授权：基本YXBpdXNlcjpoaXNwYXNzd29yZA ==” -H “接受：应用/ vnd.com.cisco.ise.ca.endpointcert.1.0 + xml的;字符集= UTF-8” -H“内容类型：应用/ vnd.com.cisco.ise.ca.endpointcert.1.0 + xml的;字符集= UTF-8" --data @payload -v --insecureHTTPS：// ：9060 / ERS /配置/ endpointcert / certRequest> result.zip

有效载荷：
<？XML版本= “1.0” 编码= “UTF-8” 独立= “是”？>

EAP_Authentication_Certificate_Template

<条目>
<键> SAN
<值> 11-22-33-44-55-66

<条目>
<键> CN
<值>测试

<格式> PKCS12
<密码> Cisco123

生成的ZIP文件（或发生故障时的任何错误消息）会出现在一个名为result.zip。因此，如果响应状态不是200行（可能是400错误的请求），那么result.zip文件将只是一个文本文件，所以在文本编辑器来查看错误信息打开它。

Accept（接受）和所需要的请求（如上所示）的Content-Type头，它们具有相同的值。这被示出的文档页面（下面描述）上。授权头是一个基本的访问授权头。此头的值应为：

基本<基部64编码“用户名：密码”>

对于基本64编码，你可以去这样的网站https://www.base64encode.org/（在图2中所示），并转到“编码”标签在顶部。在您的用户名和密码输入，分离由冒号（如apiuser：hispassword），然后按下编码按钮。你会得到类似YXBpdXNlcjpoaXNwYXNzd29yZA ==。那么您的“授权”标头值将是“基本YXBpdXNlcjpoaXNwYXNzd29yZA ==”这是上面的curl命令看到。