Segurança : Cisco Secure Access Control Server para Windows

Instale o certificado no dispositivo do Cisco Secure ACS para clientes PEAP

19 Setembro 2015 - Tradução por Computador
Outras Versões: Versão em PDFpdf | Inglês (22 Agosto 2015) | Feedback


Índice


Introdução

Este guia descreve os Certificados criados com Microsoft CA e igualmente contém etapas para quando você usa um certificado auto-assinado, que esteja apoiado até à data do Serviço de controle de acesso Cisco Secure (ACS) 3.3. O uso de um certificado autoassinado simplifica a instalação inicial do Protected Extensible Authentication Protocol (PEAP) consideravelmente dado que nenhuma CA externa é exigida. Contudo, neste ponto, o período de expiração padrão do certificado autoassinado é de apenas um ano e não pode ser alterado. Este é o padrão quando se trata de certificados de servidor. Contudo, porque o certificado auto-assinado igualmente atua como o certificado CA raiz, isto pode significar a instalação do certificado novo em cada cliente cada ano em que você usa o suplicante do Microsoft a menos que você não verificar a opção do certificado de servidor da validação. A Cisco recomenda que você usa certificados autoassinados somente como uma medida temporária até que você possa usar a CA tradicional. Se você deseja usar um certificado autoassinado, continue até a seção de certificados autoassinados.

Pré-requisitos

Requisitos

Não existem requisitos específicos para este documento.

Componentes Utilizados

As informações neste documento são baseadas nestas versões de software e hardware:

  • Access Point (AP) 12.02T1 de Cisco IOS�

  • Cisco Secure ACS para Windows 3.1 e mais tarde

  • Solution engine do Cisco Secure ACS (SE).

  • Microsoft Windows 2000 (SP3 e SP4) ou XP com versão de ACU 6 (se você usa o Cisco Secure ACS 3.2 que o ACU não estão exigidos)

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando.

Convenções

Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.

A instalação de Microsoft Certificate Service

Conclua estes passos:

  1. Escolha o começo > os ajustes > o Control Panel.

  2. Dentro do Control Panel, abra adicionar/removeres programar.

  3. Nos adicionar/removeres programar, escolha adicionam/removem componentes do Windows.

  4. Verifique serviços certificados e clique-os em seguida. Clique sim ao mensagem IIS.

  5. Escolha uma CA raiz autônoma (ou empresa) e clique-a em seguida.

  6. Dê a CA um nome e clique-o em seguida. Todas as caixas restantes são opcionais.

    Nota: Não dê a CA o mesmo nome que um server do Cisco Secure ACS. Isto pode fazer com que os clientes PEAP falhem a autenticação porque obtêm confusos quando um certificado CA raiz é encontrado com o mesmo nome que o certificado de servidor. Este problema não é original aos clientes Cisco.

  7. Clique em Next.

  8. Clique em Finish.

    Nota: Você deve instalar o IIS antes que você instale CA.

Cisco Secure ACS para a instalação do certificado do indicador

Passo 1: Crie um certificado de servidor

Termine estas etapas a fim criar um certificado de servidor.

  1. De seu server do Cisco Secure ACS, consulte a CA http://IP_of_CA_server/certsrv/.

  2. Escolha o pedido uma opção do certificado e clique-o em seguida.

  3. Escolha o pedido avançado e clique-o em seguida.

  4. Escolha submetem um pedido de certificado para este CA usando um formulário e clicam-no em seguida.

  5. Datilografe algo na caixa do nome (CN).

  6. Escolha o certificado de autenticação de servidor para a finalidade pretendida.

    Nota: Escolha o servidor de Web na primeira caixa suspensa se você usa a empresa CA.

    • CSP — V1.0 do provedor criptográfico de base Microsoft

    • Tamanho chave — 1024**

      Nota:  A empresa CA de Windows 2003 permite os tamanhos chaves maiores de 1024. Contudo, o uso de um chave maior de 1024 não trabalha com PEAP. A autenticação pôde parecer passar no ACS, mas o cliente apenas pendura quando tentar a autenticação.

    • Chaves da marca de verificação como Exportable.

    • Verifique a loja de máquina local do uso (software ACS somente).

    • Deixe tudo outro como o padrão e o clique submete-se.

    Uma mensagem parece que indica que seu pedido do certificado esteve recebido….

    Nota: Os Certificados criados com um tamanho chave maior de 1024 não trabalham.

Nota 2

Nota:  Microsoft mudou o molde do servidor de Web com a liberação da empresa CA de Windows 2003 de modo que as chaves fossem já não exportable e a opção fosse desabilitada para fora. Não há nenhum outro molde de certificado fornecido com os serviços certificados que são para a autenticação de servidor e dão a capacidade para marcar as chaves porque exportable que estão disponíveis na gota-para baixo. Consequentemente, você precisa de criar um molde novo que faça assim.

Conclua estes passos:

  1. Escolha o Iniciar > Executar > o certtmpl.msc.

  2. Clicar com o botão direito o molde do servidor de Web e escolha o molde duplicado.

  3. Nomeie o molde com um nome que seja fácil de identificar.

  4. Vá à aba da manipulação de pedido e a verificação permite que a chave privada seja exportada.

  5. Clique sobre os CSP abotoam e verificam o v1.0 do provedor criptográfico de base Microsoft. Clique em OK.

  6. Todas as outras opções podem ser deixadas no padrão.

  7. O clique aplica-se e APROVA-SE.

  8. Abra CA MMC pressão-em.

  9. Clicar com o botão direito moldes de certificado e escolha novo > molde de certificado a emitir.

  10. Escolha o molde que novo você criou e clique a APROVAÇÃO.

  11. Reinicie CA.

Os serviços certificados podem igualmente dar não estão criados o erro do objeto “CertificateAuthority.Request” quando uma tentativa é feita para criar um certificado novo. Termine estas etapas a fim corrigir esta edição:

  1. Escolha o Iniciar > Ferramentas Administrativas > o IIS.

  2. Expanda sites > website padrão.

  3. Clicar com o botão direito CertSrv e escolha propriedades.

  4. Clique o botão da configuração na seção das configurações de aplicativo da aba do diretório virtual.

  5. Vá às opções aba e a verificação permite o estado de sessão.

  6. Tudo mais pode ser deixado sozinho.

  7. APROVAÇÃO do clique duas vezes.

  8. Reinício IIS.

    Se seu navegador trava com uma mensagem do controle activex do fazendo download, execute o reparo discutido nas paradas do internet explorer do documento de Microsoft que respondem do “na mensagem do controle activex fazendo download” quando você tenta usar um servidor certificadoleavingcisco.com . Se o campo CSP indica somente a carga…., certifique-se que você não executa um firewall de software na máquina que submete o pedido.

Passo 2: Aprove o certificado de CA

Conclua estes passos:

  1. Abra CA e o > programas do chooseStart > as ferramentas administrativas > o Certificate Authority.

  2. À esquerda, expanda o certificado, a seguir clique-o durante pedidos.

  3. Clicar com o botão direito no certificado, escolha todas as tarefas, e escolha a edição.

Passo 3: Transfira o certificado de servidor ao server do Cisco Secure ACS

Conclua estes passos:

  1. De seu server do Cisco Secure ACS, consulte ao diretório de CA - de http://IP_of_CA_server/certsrv/.

  2. Escolha a verificação em um certificado pendente e clique-a em seguida.

  3. Selecione o certificado e clique-o em seguida.

  4. O clique instala.

Passo 4: Instale o certificado de CA no server do Cisco Secure ACS

Conclua estes passos:

Nota: Esta etapa não é exigida se o Cisco Secure ACS e CA são instalados no mesmo server.

  1. De seu server do Cisco Secure ACS, consulte ao diretório de CA - de http://IP_of_CA_server/certsrv/.

  2. Escolha recuperam o certificado de CA ou a lista de revogação de certificado e clicam-nos em seguida.

  3. Escolha o certificado de CA da transferência do clique do encodedand de Base64.

  4. Clique aberto e escolha-o instalam o certificado.

  5. Clique em Next.

  6. Escolha o lugar todos os Certificados na seguinte loja e o clique consulta.

  7. Verifique a caixa das lojas do show physical.

  8. Expanda Autoridades de certificação de raiz confiável, escolha o computador local, e clique a APROVAÇÃO.

  9. Clique em seguida, termine, e a APROVAÇÃO do clique para a importação era caixa bem sucedida.

Passo 5: Cisco Secure ACS estabelecido para usar o certificado de servidor

Conclua estes passos:

  1. No server do Cisco Secure ACS, clique a configuração de sistema.

  2. Escolha a instalação do certificado ACS e instale o certificado ACS.

  3. Escolha o certificado do uso do armazenamento.

  4. Datilografe dentro o nome do CN e o clique submete-se.

  5. No server do Cisco Secure ACS, configuração de sistema do clique.

  6. Escolha a instalação do certificado ACS e edite o certificate trust list.

  7. Verifique a caixa para ver se há CA e o clique submete-se.

Instalação do certificado do dispositivo do Cisco Secure ACS

Passo 1: Crie uma solicitação de assinatura de certificado

Conclua estes passos:

  1. Escolha a configuração de sistema > o certificado ACS Setup > geram a solicitação de assinatura de certificado.

  2. Dê entrada com um nome no campo de assunto do certificado com o formato do cn=name.

  3. Dê entrada com um nome para o arquivo-chave privado.

    Nota: O trajeto à chave privada é posto em esconderijo neste campo. Se você pressiona submeta uma segunda vez depois que o CSR é criado, a chave privada overwritten e não combina o CSR original. Este resultado em uma chave privada não combina o Mensagem de Erro quando você tenta instalar o certificado de servidor.

  4. Incorpore a senha da chave privada e confirme-a.

  5. Escolha um comprimento chave de 1024.

    Nota: Quando o Cisco Secure ACS puder gerar os tamanhos chaves maiores de 1024, o uso de um chave maior de 1024 não trabalha com PEAP. A autenticação pôde parecer passar no Cisco Secure ACS, mas o cliente pendura quando a autenticação for tentada.

  6. O clique submete-se

  7. Copie o CSR output no lado direito para a submissão a CA.

Passo 2: Crie um certificado de servidor com seu CSR

Termine estas etapas.

  1. De seu servidor FTP, consulte ao diretório de CA - de http://IP_of_CA_server/certsrv/.

  2. Escolha o pedido uma opção do certificado e clique-o em seguida.

  3. Escolha o pedido avançado e clique-o em seguida.

  4. Escolha submetem um pedido do certificado usando base64 um arquivo do PKCS codificado #10 ou uma requisição de renovação usando base64 um arquivo do PKCS codificado #7.

  5. Cole a saída da solicitação de assinatura de certificado no campo codificado Base64 do pedido do certificado e o clique submete-se.

  6. Certificado de CA da transferência do clique.

  7. Clique a salvaguarda, nomeie o certificado, e salvar o a seu diretório de FTP.

Passo 3: Certificado de CA da transferência a seu servidor FTP

Conclua estes passos:

Nota: Se você salta estas etapas, conduz a qualquer um que não pode permitir o PEAP. Você igualmente recebe um erro que o certificado de servidor não está instalado mesmo que seja ou você receba um tipo falha não configurada EAP nas falhas de tentativa mesmo que o tipo EAP seja configurado.

Nota: Igualmente note que se seu certificado de servidor é criado usando CA intermediário, você precisa de repetir estas etapas para cada CA na corrente entre a CA raiz e o certificado de servidor, que inclui o certificado CA raiz.

  1. De seu servidor FTP, consulte ao diretório de CA - de http://IP_of_CA_server/certsrv/.

  2. Escolha recuperam o certificado de CA ou a lista de revogação de certificado e clicam-nos em seguida.

  3. Escolha Base64 codificado e clique o certificado de CA da transferência.

  4. Clique a salvaguarda e nomeie o certificado. Salvar o a seu diretório de FTP.

Passo 4: Instale o certificado de CA em seu dispositivo

Conclua estes passos:

Nota: Se você salta estas etapas, conduz a qualquer um que não pode permitir o PEAP. Você igualmente recebe um erro que o certificado de servidor não está instalado mesmo que seja ou você receba um tipo falha não configurada EAP nas falhas de tentativa mesmo que o tipo EAP seja configurado.

Nota: Igualmente note que se seu certificado de servidor é criado usando CA intermediário, você precisa de repetir estas etapas para cada CA na corrente entre a CA raiz e o certificado de servidor, que inclui o certificado CA raiz.

  1. Escolha a configuração de sistema > o certificado ACS Setup > instalação da autoridade de certificação ACS.

  2. Clique o arquivo de certificado de CA da transferência.

  3. Datilografe o endereço IP ou nome do host do servidor FTP no campo do servidor FTP.

  4. Datilografe um nome de usuário válido que o Cisco Secure ACS possa usar a fim alcançar o servidor FTP no campo do início de uma sessão.

  5. Datilografe a senha do usuário no campo de senha.

  6. Datilografe o caminho relativo do diretório raiz do servidor FTP ao diretório que contém o arquivo de certificado de CA no campo remoto do diretório de FTP.

  7. Datilografe o nome do arquivo de certificado de CA no campo de nome de arquivo remoto FTP.

  8. Clique em Submit.

  9. Verifique que o nome de arquivo no campo e o clique se submetem.

  10. Reinicie os serviços ACS na configuração de sistema > no controle de serviço.

Passo 5: Instale o certificado de servidor em seu dispositivo

Conclua estes passos:

  1. Escolha a instalação da configuração de sistema > do certificado ACS.

  2. Clique em Install ACS Certificate (Instalar certificado ACS).

  3. Escolha o certificado lido da opção de arquivo e clique então o link de arquivo certificado da transferência.

  4. Datilografe o endereço IP ou nome do host do servidor FTP no campo do servidor FTP.

  5. Datilografe um nome de usuário válido que o Cisco Secure ACS possa usar a fim alcançar o servidor FTP no campo do início de uma sessão.

  6. Datilografe a senha do usuário no campo de senha.

  7. Datilografe o caminho relativo do diretório raiz do servidor FTP ao diretório que contém o arquivo de certificado de servidor no campo remoto do diretório de FTP.

  8. Datilografe o nome do arquivo de certificado de servidor no campo de nome de arquivo remoto FTP.

  9. Clique em Submit.

  10. Entre no trajeto à chave privada.

  11. Incorpore a senha para a chave privada.

  12. Clique em Submit.

Certificado auto-assinado Setup (somente se você não usa CA externo)

Nota: Quando você testa no laboratório com certificados auto-assinados, conduz a uma estadia mais longa da autenticação a primeira vez que um cliente autentica com o suplicante do Microsoft. Todas as autenticações subsequente são muito bem.

Conclua estes passos:

  1. No server do Cisco Secure ACS, clique a configuração de sistema.

  2. Clique a instalação do certificado ACS.

  3. O clique gera o certificado auto-assinado.

  4. Datilografe algo no campo de assunto do certificado precedido pelo cn=, por exemplo, cn=ACS33.

  5. Datilografe o caminho cheio e o nome do certificado que você quer criar, por exemplo, c:\acscert \acs33.cer.

  6. Datilografe o caminho cheio e o nome do arquivo-chave privado que você quer criar, por exemplo, c:\acscert \acs33.pvk.

  7. Incorpore e confirme a senha da chave privada.

  8. Escolha 1024 do menu suspenso do comprimento chave.

    Nota: Quando o Cisco Secure ACS puder gerar os tamanhos chaves maiores de 1024, o uso de um chave maior de 1024 não trabalha com PEAP. A autenticação pôde parecer passar no ACS, mas o cliente pendura quando a autenticação for tentada.

  9. Verifique o certificado gerado Install.

  10. Clique em Submit.

Configurar ajustes da autenticação global

Termine estas etapas.

  1. No server do Cisco Secure ACS, clique a configuração de sistema.

  2. Clique a instalação da autenticação global.

      Para a versão 3.2 e mais recente do Cisco Secure ACS

    1. A verificação permite o EAP-MSCHAPv2 se você usa Microsoft PEAP.

    2. A verificação permite o EAP-GTC se você usa Cisco PEAP.

    3. A verificação permite a versão MS-CHAP 1 autenticação.

    4. A verificação permite a autenticação da versão MS-CHAP 2.

    5. O clique submete-se e reinicia-se.

      Para a versão 3.1 do Cisco Secure ACS

    1. A verificação permite o PEAP.

    2. A verificação permite a versão MS-CHAP 1 autenticação.

    3. A verificação permite a autenticação da versão MS-CHAP 2.

    4. O clique submete-se e reinicia-se.

Estabelecer o AP no Cisco Secure ACS

Conclua estes passos:

  1. No server do Cisco Secure ACS, clique a configuração de rede.

  2. O clique adiciona a entrada a fim adicionar um cliente de AAA.

  3. Preencha estas caixas:

    • Endereço IP de Um ou Mais Servidores Cisco ICM NT do cliente de AAA — IP_of_your_AP

    • Chave — Compõe uma chave, e certifique-se que isto combina no segredo compartilhado AP.

    • Autentique usando-se — RAIO (Cisco Aironet)

  4. O clique submete-se e reinicia-se.

    Nota: Nenhuns dos padrões na instalação do cliente de AAA foram mudados.

Configurar o AP

Com VxWorks

Conclua estes passos:

  1. Abra o AP e escolha o Authentication Server do Instalação > Segurança >.

    1. Incorpore o endereço IP de Um ou Mais Servidores Cisco ICM NT do Cisco Secure ACS.

    2. Incorpore o segredo compartilhado, que deve combinar a CHAVE no Cisco Secure ACS.

    3. Verifique a autenticação de EAP.

    4. Clique em OK.

  2. Escolha o Radio Data Encryption do Instalação > Segurança >.

    1. Verifique aberto e a Rede EAP para aceita o tipo do autenticação.

    2. Verifique aberto exigem o EAP.

    3. Ajuste a chave de WEP 1 e escolha o 128 mordido se você não usa a rotação chave da transmissão.

    4. Mude Use of Data Encryption por estações à criptografia total. Se você não pode mudar Use of Data Encryption, o clique aplica-se primeiramente.

    5. Clique em OK.

Com a interface da WEB do Cisco IOS AP

Conclua estes passos:

  1. Abra o AP e escolha a Segurança > o gerenciador do servidor.

    1. Escolha o RAIO da gota-para baixo da lista do servidor atual.

    2. Incorpore o endereço IP de Um ou Mais Servidores Cisco ICM NT do Cisco Secure ACS.

    3. Incorpore o segredo compartilhado, que deve combinar a “CHAVE” no Cisco Secure ACS.

    4. Verifique a autenticação de EAP.

    5. Clique a APROVAÇÃO no diálogo de advertência e clique-a então aplicam-se.

  2. Escolha a Segurança > o gerenciador de SSID.

    Nota: A configuração difere se você usa o WPA. Veja o suplemento ao gerenciamento chave WPA na extremidade deste documento para detalhes.

    1. Escolha o SSID da lista atual SSID ou incorpore um SSID novo ao campo SSID.

    2. Verifique a autenticação aberta e escolha-a com o EAP do menu suspenso.

    3. Verifique a rede EAP.

    4. Deixe todos valores restantes em seus padrões e o clique aplica-se.

  3. Escolha a Segurança > o gerenciador de criptografia.

    Nota: A configuração difere se você usa o WPA. Veja o suplemento ao gerenciamento chave WPA na extremidade deste documento para detalhes.

    1. Clique o botão de rádio da criptografia de WEP e escolha imperativo da gota-para baixo.

    2. Clique o botão de rádio da chave de criptografia 1 e incorpore a chave ao campo.

    3. Escolha o 128 mordido da gota-para baixo do tamanho chave.

    4. Clique em Apply.

Nota: A rede EAP é exigida se você instala o ACU.

Nota: Se você usa a rotação chave da transmissão, você não precisa de ajustar uma chave desde que a chave deve já ser ajustada. Se a chave não é ajustada, escolha o avanço do > Rádio da instalação e ajuste um valor para a rotação da chave da transmissão. Não há nenhuma necessidade de ajustar isto nenhuns mais baixos então cinco minutos (300 segundos). Uma vez o valor é ajustado, APROVAÇÃO do clique e ido de novo na página do Radio Data Encryption.

Instale a versão de ACU 6 (somente se você usa o Cisco Secure ACS 3.1 ou se você exige o EAP-GTC)

Você precisa de selecionar o COSTUME instala porque o PEAP suplicante de Cisco não é instalado pela instalação expressa. Você pode dizer se o suplicante de Cisco é instalado quando você olha o EAP datilografa dentro a aba da autenticação de suas propriedades de conexão de rede. Se aparece como o PEAP, este é o PEAP suplicante do Microsoft. Se aparece como apenas o PEAP, a seguir você uso o PEAP suplicante de Cisco.

Instale o certificado CA raiz para o cliente (somente para EAP-MSCHAP-V2)

Se você usa o certificado de Microsoft CA

Conclua estes passos:

  1. Do PC cliente, consulte a CA - http://IP_of_CA_server/certsrv/.

  2. Escolha recuperam um certificado de CA e clicam-no em seguida.

  3. Escolha Base64 que codifica e transfira o certificado de CA.

  4. Clique aberto e seleto instale o certificado.

  5. Clique em Next.

  6. Escolha o lugar todos os Certificados na seguinte loja e clique-o então consultam.

  7. Verifique a caixa das lojas do show physical.

  8. Expanda Autoridades de certificação de raiz confiável, escolha o computador local, e clique a APROVAÇÃO.

  9. Clique em seguida, clique o revestimento, e a APROVAÇÃO do clique para a importação era caixa bem sucedida.

Se você usa um certificado auto-assinado do Cisco Secure ACS

Conclua estes passos:

  1. Copie o certificado de seu lugar ao cliente.

  2. Clicar com o botão direito o arquivo de .cer e o clique instala o certificado.

  3. Clique em Next.

  4. Escolha o lugar todos os Certificados na seguinte loja e o clique consulta.

  5. Verifique lojas do show physical.

  6. Expanda Autoridades de certificação de raiz confiável, o computador local seleto, e a APROVAÇÃO do clique.

  7. Clique em seguida, clique o revestimento, e clique a APROVAÇÃO.

    Nota:  Estabelecer o AP para o Cisco Secure ACS está exigido para cada cliente se você usa EAP-MSCHAP-V e tem as propriedades PEAP de Windows dentro verificado caixa do certificado de servidor da validação.

Estabelecer o cliente para o PEAP

Estabelecer Windows XP SP1 ou o SP para o PEAP

Conclua estes passos:

Nota: Esta configuração difere se você usa o WPA. Veja a seção de gerenciamento chave WPA deste documento para detalhes.

Nota: Windows XP SP2 tem atualmente problemas com autenticação de PEAP aos servidores Radius diferentes de IAS. Isto é documentado em KB885453 e em Microsoftleavingcisco.com tem uma correção de programa disponível mediante solicitação.

  1. As conexões de rede aberta no Control Panel e escolhem o começo > o Control Panel).

  2. Clicar com o botão direito a rede Wireless e escolha propriedades.

  3. Na aba da rede Wireless, certifique-se que os indicadores do uso a configurar… está verificado.

  4. Se você vê o SSID na lista, o clique configura. Se não, o clique adiciona.

  5. Põe no SSID e verifique o WEP e a chave é fornecido para mim automaticamente.

  6. Escolha a aba da autenticação e certifique-se que para permitir o controle de acesso de rede que se usa… está verificado.

  7. Escolha o EAP protegido e clique propriedades para o tipo EAP.

  8. Verifique a caixa para ver se há CA sob o certificado do root confiável.

  9. Clique a APROVAÇÃO três vezes.

Estabelecer Windows XP para o certificado (sem SP1)

Conclua estes passos:

  1. As conexões de rede aberta no Control Panel e escolhem o começo > o Control Panel).

  2. Clicar com o botão direito a rede Wireless e escolha propriedades.

  3. Na aba da rede Wireless, certifique-se que os indicadores do uso a configurar… está verificado.

  4. Escolha a aba da autenticação e certifique-se que para permitir o controle de acesso de rede que se usa… está verificado.

  5. Escolha o PEAP e clique propriedades para o tipo EAP.

  6. Verifique a caixa para ver se há CA sob o certificado do root confiável.

  7. Clique a APROVAÇÃO três vezes.

Estabelecer o Windows 2000 para o PEAP

Conclua estes passos:

  1. Se você executa o SP3, transfira e instale o hotfix do 802.1xleavingcisco.com de Microsoft. Isto não é exigido para o SP4.

  2. Escolha o começo > o Control Panel > a rede e as conexões dial-up.

  3. Clicar com o botão direito sua conexão Wireless e escolha propriedades.

  4. Clique sobre a aba da autenticação.

    Nota: Se não há nenhuma aba da autenticação o serviço do 802.1X está instalado em um estado desabilitado. A fim resolver isto, você deve permitir o serviço de configuração sem fio na lista de serviços:

    1. Clicar com o botão direito o meu computador e o clique controla.

    2. Escolha serviços > aplicativos e clique serviços.

    3. Ajuste o valor Startup para o serviço a automático, e comece então o serviço.

    Nota: Se a aba da autenticação esta presente mas é não disponível, esta indica que o direcionador do adaptador de rede não apoia o 802.1x corretamente. Verifique a lista na parte inferior da página do hotfixleavingcisco.com do 802.1x ou na site do fornecedor na Web para ver se há direcionadores apoiados.

  5. A verificação permite o controle de acesso de rede usando o IEEE 802.1X.

  6. Escolha o PEAP do tipo menu suspenso EAP e clique a APROVAÇÃO.

Se você usa o ACU

Conclua estes passos:

  1. Abra o ACU.

  2. Escolha controlam o perfil e criam um perfil ou editam um.

  3. Põe no nome do cliente e no SSID do AP.

  4. Escolha a ABA de segurança de rede.

  5. Choose Host-baseou o EAP para o tipo da segurança de rede.

  6. Escolha chaves de WEP dinâmicas do uso para o WEP.

  7. Clique a APROVAÇÃO duas vezes.

  8. Escolha o perfil que você criou.

    Nota: Se você usa o suplicante de Cisco, na aba da autenticação você tem somente o PEAP. Se você usa o suplicante do Microsoft, indica EAP protegido (PEAP).

    Nota: Há muito um retardo longo antes que o cliente tente associar ao AP (aproximadamente um minuto), que pode parcialmente ser aliviado com o pacote wireless do rollup da atualização para Windows XP é correção de programaleavingcisco.com disponível de Microsoft. Esta correção de programa pode potencialmente reinstalar o suplicante do EAP-MSCHAPv2 que impede que os tipos do banco de dados compatível EAP-GTC funcionem.

    Nota: Se você não obtém associado, tente desabilitar e re-permitir então o cartão.

Estabelecer o móbil de Windows 2003 para o PEAP

Conclua estes passos:

  1. Instale a liberação a mais atrasada do ACU Cisco para Windows CE e seja certo instalar o PEAP suplicante durante a instalação.

  2. Abra o ACU e escolha o <External Settings> do menu suspenso ativo do perfil.

  3. Introduza seu cartão de rede Cisco, clique sobre o ícone de rede na barra de tarefas, e escolha ajustes > avançou > placa de rede.

  4. Clique sobre seu SSID (se disponível) ou adicionar ajustes novos.

  5. Verifique o SSID no campo de nome de rede e na rede para conectar a.

  6. Clique sobre a aba da autenticação.

  7. Verifique a criptografia de dados (WEP) e a chave é fornecida para mim….

  8. Verifique dentro permitem a rede access...802.1x e escolhem Cisco PEAP.

  9. Clique propriedades e a verificação valida o certificado de servidor (opcional).

    Nota: Quando você verifica esta opção, exige que você instala o certificado CA raiz no PocketPC. O Windows mobile não inclui um bom método que você pode se usar para importar/controla Certificados. Há um número de utilidades disponíveisleavingcisco.com . Estas utilidades não são apoiadas por Cisco. Importar um certificado CA raiz não é exigida manualmente quando você usa o ACU, desde que o PEAP suplicante de Cisco o importa para você. Nenhuma versão dos certificados auto-assinados dos suportes de sistema operacional do PocketPC neste tempo assim você não pode importar certificados auto-assinados no PocketPC para a validação. Você pode ainda usar um certificado auto-assinado se você desmarca a opção do certificado de servidor da validação.

  10. Clique a APROVAÇÃO até que você esteja para trás na tela das redes Wireless configurar.

  11. Clique em Conectar.

Suplemento à autenticação da máquina

A finalidade da autenticação da máquina é permitir a autenticação de EAP e a conectividade de rede a ser estabelecidas antes da autenticação de usuário de modo que os scripts de logon possam ser executado e um usuário possa registrar em um domínio. A associação de domínio é exigida para que as credenciais da máquina sejam estabelecidas e autenticação para ocorrer.

ACS estabelecido para permitir a autenticação da máquina

Conclua estes passos:

  1. Escolha bases de dados de usuário externo > configuração do banco de dados.

  2. Clique o banco de dados do Windows e escolha-o configuram.

  3. A verificação permite a autenticação de máquina PEAP.

  4. Clique em Submit.

Estabelecer o cliente de autenticação da máquina

Junte-se ao domínio (se não já um membro do domínio)

Conclua estes passos:

  1. Log em Windows com uma conta que tenha privilégios do administrado.

  2. Clicar com o botão direito no meu computador e escolha propriedades.

  3. Escolha a aba do nome de computador e clique a mudança.

  4. Inscreva o hostname no campo de nome de computador.

  5. Escolha o domínio, dê entrada com o nome do domínio, e clique a APROVAÇÃO.

  6. A fim juntar-se ao domínio, indicadores de um diálogo do início de uma sessão. Entre com uma conta que tenha a permissão se juntar ao domínio.

  7. Uma vez que o computador se junta com sucesso ao domínio, reinicie o computador. A máquina é um membro do domínio, e tem as credenciais de autenticação negociadas com o domínio que são sabidas somente pelo OS. No Cisco Secure ACS, o username aparece como o host/hostname.

PEAP suplicante estabelecido para a autenticação da máquina

Conclua estes passos:

  1. Escolha conexões de rede aberta do começo > do Control Panel no Control Panel.

  2. Clicar com o botão direito a conexão de rede e escolha propriedades.

  3. Escolha a aba da autenticação e a verificação autentica como o computador.

Suplemento ao gerenciamento chave WPA

Escrito para o Cisco IOS AP 12.02(13)JA1, o Cisco Secure ACS 3.2, e o Windows XP SP1 com a correção dinâmica de WPA.

Nota:  Os clientes do Windows 2000 não apoiam nativamente o gerenciamento chave WPAleavingcisco.com . Você deve usar o software do cliente do vendedor a fim obter este apoio:

Nota: O ACU Cisco não apoia o gerenciamento chave WPA para o EAP host-baseado (EAP-TLS e PEAP) neste tempo. Você deve instalar um cliente da terceira parte tal como o cliente Odyssey do funk ou os aegis cliente de Meetinghouse. Refira o apoio WPA para obter mais informações sobre do apoio WPA para o Produtos da Cisco.

Nota: Igualmente note que os direcionadores instalados para cartões de Cisco pela versão do Pocket PC do ACU não apoiam o WPA neste tempo. O WPA não trabalha para clientes Cisco em um PocketPC mesmo com um suplicante da terceira parte.

Configurar o AP

Conclua estes passos:

  1. Escolha a Segurança > o gerenciador de criptografia.

    1. A cifra de ChooseWEP e escolhe o TKIP da gota-para baixo.

    2. Clique em Apply.

  2. Escolha a Segurança > o gerenciador de SSID.

    1. Escolha o SSID da lista atual SSID ou incorpore um SSID novo ao campo SSID.

    2. Verifique a autenticação aberta e escolha-a com o EAP do menu suspenso.

    3. Verifique a rede EAP.

    4. Sob o gerenciamento chave autenticado, escolha imperativo do menu suspenso e clique o WPA.

    5. Clique em Apply.

Estabelecer Windows XP SP1 (com o KB826942 instalado) ou o cliente SP2 para o PEAP e o WPA

Conclua estes passos:

  1. Escolha conexões de rede aberta do começo > do Control Panel no Control Panel.

  2. Clicar com o botão direito a rede Wireless e escolha propriedades.

  3. Na aba da rede Wireless, certifique-se que os indicadores do uso a configurar… está verificado.

  4. Se você vê o SSID na lista, o clique configura. Se não, o clique adiciona.

  5. Põe no SSID e escolha o WPA para a autenticação de rede e o TKIP para a criptografia de dados.

  6. Escolha a aba da autenticação e certifique-se de que permita o controle de acesso de rede que se usa… está verificado.

  7. Escolha o EAP protegido e clique propriedades para o tipo EAP.

  8. Verifique a caixa para ver se há CA sob o certificado do root confiável.

  9. Clique a APROVAÇÃO três vezes.

Verificar

No momento, não há procedimento de verificação disponível para esta configuração.

Troubleshooting

Problema 1

Este erro ocorre durante a instalação certificada/autenticação com ACS.

Unsupported private key file format
Failed to initialize PEAP or EAP-TLS authentication protocol because ACS certificate is
not installed

Solução

O erro ocorre porque o certificado do peap não é instalado properally. Remova o certificado e instale o certificado auto-assinado novo a fim resolver o problema.

Problema 2

Este erro ocorre durante a instalação certificada/autenticação com ACS.

Failed to initialize PEAP or EAP-TLS authentication protocol because CA certificate is
 not installed.

Solução

A fim resolver o erro, instale o certificado de CA usando a instalação da autoridade de certificação ACS. Este erro ocorre devido ao certificado de CA incorreto se o certificado auto-assinado não é usado.

Problema 3

Este erro ocorre quando a elevação ACS é feita.

A required certificate is not within its validity period when verifying 
against the current system clock or the timestamp in the signed file.
(800B0101)

Solução

Este erro ocorre quando a elevação de software ACS é feita se você não promove o software de gestão. Execute a elevação de software de gestão e a elevação de software ACS a fim resolver então o problema. Refira o melhoramento da seção do dispositivo de administrar o dispositivo do Cisco Secure ACS para obter mais informações sobre de como promover o ACS.

Problema 4

Este erro ocorre durante a instalação certificada com ACS.

Private key you've selected doesn't fit to this certificate

Solução

A maioria de causa comum desta overwriting acidentalmente a chave privada por gera um CSR novo.

Verifique esta informação:

  1. Você carrega o certificado correto como o certificado ACS.

  2. O comprimento chave do bar RSA é 1024 bit durante a criação do pedido.

  3. Você usa o CN=string completo quando você gera o CSR.

Discussões relacionadas da comunidade de suporte da Cisco

A Comunidade de Suporte da Cisco é um fórum onde você pode perguntar e responder, oferecer sugestões e colaborar com colegas.


Informações Relacionadas


Document ID: 64067