Cisco ISE API用于证书配置

以下是漫步来编写一个脚本，它利用证书权限依赖于生成证书对。

当我们在版本1.3中添加了思科的ISE证书颁发机构（CA）时，该领域的巨大兴趣级别。公司正在寻找此功能，使来自端点的Byod和安全的网络访问更安全，并且有很多关于此功能的嗡嗡声。

作为飞行世界各地的人的家伙携带“国旗”，在ISE中携带“旗帜” - 强迫我的信息到所有的高管上，我可以找到为什么它如此重要，我自然欣喜若狂，看看我的成功自成立以来的冠军和培养。

然而，与一切一样，总需要更多！ISE管理员全世界都认为它对于能够船上的设备非常重要，但他们需要向无法通过自动化车载过程的设备发出端点证书，例如医疗设备，销售点系统，Linux，等等。

“制作它” - Jean-Luc Picard

在ISE 1.4中，我们为CA添加了一个RESTFUL（代表状态转移）API，以发出私钥+公共证书对。此博客文章致力于向您展示如何利用该restful API，并为无法使用Byod oneBoaring进程的自动配置功能的设备生成您自己的证书。

我们的小型摇滚明星的主要团队成员之一是负责这个CA的主要团队成员。Victor是我将在这篇博客中向您展示的原始作者。谢谢，维克多！

您可以（当然）构建一个完整的Web门户，它利用此API为组织中的人们生成证书。但是，我将向您展示如何使用卷曲的任何Linux或Mac设备上的简单脚本进行此操作。您可能会使用它与Windows设备一起使用Windows for Windows，但我不想这样做 - 所以它不会成为博客的一部分:)

让我们开始吧

There are many tools available for REST so please bear in mind, there’s a reason we are using curl instead of a browser based REST Client, like Poster, Postman, etc. The browser-based clients just spit back the response body as text, and aren’t smart enough to treat this as a file and let you download it.

您将在Linux / Mac工作站上创建两个文件。一个我们将调用Request.sh，另一个将被称为有效载荷。Request.sh脚本包含卷曲命令，将信息放入API以检索证书对。有效载荷文件包含您尝试生成的证书的详细信息。

Request.sh.：
curl -x put-h“授权：基本yxbpdxnlcjpoaxnwyxnzd29yza ==”-h“accept：application / vnd.com.cisco.ise.ca.endpointCert.1.0 + XML; charset = UTF-8”-h“内容类型：application / vnd.com.cisco.ise.ca.endpointCert.1.0 + XML; charset = UTF-8“--data @payload -v - linsecurehttps：// ：9060 / ers / config / endpointcert / certrequest>结果。zip.zip.

有效载荷：
<？XML版本=“1.0”编码=“UTF-8”独立=“是”？>

eap_authentication_certificate_template

<进入>
san
<值> 11-22-33-44-55-66

<进入>
cn
test

<格式> PKCS12
<密码> Cisco123

生成的zip文件（或故障时的任何错误消息）将显示在一个调用的文件中结果。所以，如果响应状态不是200 OK（也许400个不好的请求）那么结果文件将只是文本文件，因此在文本编辑器中打开它以查看错误消息。

请求中需要接受和内容类型标头（如上所示），它们具有相同的值。这在文档页面上显示（如下所述）。授权标题是基本访问权限标题。此标题的值应该是：

“用户名：密码”的基本

对于基数64编码，您可以转到像这样的网站https://www.base64encode.org/（如图2所示）并转到顶部的“编码”选项卡。输入您的用户名和密码，由冒号分隔（例如，atmiuser：hispassword），然后点击编码按钮。你会得到像yxbpdxnlcjpoaxnwyxnzd29yza ==这样的东西。然后，您对“授权”标题的值将是“基本yxbpdxnlcjpoaxnwyxnzd29yza ==”这在curl命令中看到。