Segurança : Cisco Secure Access Control Server para Windows

Secure ACS para Windows v3.2 com autenticação da máquina do EAP-TLS

16 Janeiro 2016 - Tradução por Computador
Outras Versões: Versão em PDFpdf | Inglês (20 Dezembro 2015) | Feedback


Índice


Introdução

Este documento descreve como configurar o protocolo extensible authentication – Transport Layer Security (EAP-TLS) com Cisco Secure Access Control System (ACS) para a versão do Windows 3.2.

Nota: A autenticação da máquina não é apoiada com Certificate Authority (CA) de Novell. O ACS pode usar o EAP-TLS para apoiar a autenticação da máquina ao diretório ativo de Microsoft Windows. O cliente do utilizador final pôde limitar o protocolo para a autenticação de usuário ao mesmo protocolo que é usado para a autenticação da máquina. Isto é, o uso do EAP-TLS para a autenticação da máquina pôde exigir o uso do EAP-TLS para a autenticação de usuário. Para obter mais informações sobre da autenticação da máquina, refira a seção da autenticação da máquina do Guia do Usuário para o Serviço de controle de acesso Cisco Secure 4.1.

Nota: Quando estabelecer o ACS para autenticar máquinas através do EAP-TLS e do ACS estabelecer-se-&z para a autenticação da máquina, o cliente deve ser configurado para fazer a autenticação da máquina somente. Para mais informação, consulte como permitir a autenticação do computador-somente para uma rede 802.1X-based em Windows Vista, em Windows Server 2008, e em Windows XP Service Pack 3.

Pré-requisitos

Requisitos

Não existem requisitos específicos para este documento.

Componentes Utilizados

As informações neste documento são baseadas nas versões de software e hardware abaixo.

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se você estiver trabalhando em uma rede ativa, certifique-se de que entende o impacto potencial de qualquer comando antes de utilizá-lo.

Material de Suporte

Tanto o EAP-TLS quanto o Protocolo protegido de autenticação extensível (PEAP) criam e utilizam um túnel TLS/Secure Socket Layer (SSL). O EAP-TLS usa a autenticação mútua, na qual tanto o servidor ACS (AAA - autenticação, autorização e relatório) quanto os clientes possuem certificados e comprovam suas identidades uns aos outros. O PEAP, contudo, usa somente a autenticação do lado de servidor; somente o server tem um certificado e prova sua identidade ao cliente.

Convenções

Para obter mais informações sobre convenções de documento, consulte as Convenções de dicas técnicas Cisco.

Diagrama de Rede

Este documento utiliza a instalação de rede mostrada no diagrama abaixo.

/image/gif/paws/43722/acs-eap-01.gif

Configurando o Cisco Secure ACS for Windows v3.2

Siga os passos abaixo para configurar o ACS 3.2.

  1. Obtenha um certificado para o servidor de ACS.

  2. Configure o ACS para utilizar um certificado do armazenamento.

  3. Especifique autoridades de certificação adicionais nas quais o ACS deve confiar.

  4. Reinicie o serviço e configure as definições PEAP no ACS.

  5. Especifique e configure o ponto de acesso como um cliente AAA.

  6. Configure os bancos de dados de usuário externo.

  7. Reinicie o serviço.

Obtenha um certificado para o servidor ACS

Siga estes passos para obter um certificado.

  1. No servidor ACS, abra um navegador da Web, e entre em http:// CA-ip-address/certsrv a fim alcançar o server de CA.

  2. Efetuar logon no domínio como Administrador.

    /image/gif/paws/43722/acs-eap-02.gif

  3. Selecione Solicitar um certificado e, em seguida, clique em Avançar.

    /image/gif/paws/43722/acs-eap-03.gif

  4. Selecione a solicitação Avançado e clique em Avançar.

    /image/gif/paws/43722/acs-eap-04.gif

  5. Selecione Enviar uma solicitação de certificado para este CA, utilizando um formulário e, em seguida, clique em Avançar.

    /image/gif/paws/43722/acs-eap-05.gif

  6. Configurar as opções do certificado:

    1. Selecione o servidor de Web como o molde de certificado, e dê entrada com o nome do servidor ACS.

      /image/gif/paws/43722/acs-eap-06a.gif

    2. Incorpore 1024 ao campo do tamanho chave, e verifique as chaves de Mark como exportable e use caixas de seleção da loja de máquina local.

    3. Configure outras opções, conforme necessário e, em seguida, clique em Enviar.

      /image/gif/paws/43722/acs-eap-06b.gif

      Nota: Se a caixa de diálogo potencial da violação do script aparece, clique sim para continuar.

      acs-eap-07.gif

  7. Clique em Instalar este certificado.

    /image/gif/paws/43722/acs-eap-08.gif

    Nota: Se a caixa de diálogo potencial da violação do script aparece, clique sim para continuar.

    acs-eap-09.gif

  8. Se a instalação é bem sucedida, a mensagem instalada certificado aparece.

    acs-eap-10.gif

Configurar o ACS para utilizar um certificado do armazenamento

Termine estas etapas a fim configurar o ACS para usar o certificado no armazenamento.

  1. Abra um navegador da Web, e entre em http:// ACS-ip-address:2002/ a fim alcançar o servidor ACS.

  2. Clique em System Configuration e, em seguida, em ACS Certificate Setup.

  3. Clique em Install ACS Certificate (Instalar certificado ACS).

  4. Clique o certificado do uso do botão de rádio do armazenamento.

  5. No campo do CN do certificado, dê entrada com o nome do certificado que você atribuiu na etapa 5a de obter um certificado do ACS Serversection deste documento.

  6. Clique em Submit.

    /image/gif/paws/43722/acs-eap-11.gif

    Uma vez que a configuração está completa, um mensagem de confirmação aparece que indique que a configuração do servidor ACS esteve mudada.

    Nota: Você não precisa reiniciar o ACS desta vez.

    /image/gif/paws/43722/acs-eap-12.gif

Especifique as autoridades de certificado adicionais em que o ACS deve confiar

O ACS confia automaticamente CA que emitiu seu próprio certificado. Se os certificados de cliente são emitidos por CA adicionais, você deve terminar estas etapas:

  1. Clique em System Configuration e, em seguida, em ACS Certificate Setup.

  2. Clique em ACS Certificate Authority Setup para adicionar CAs à lista de certificados confiáveis.

  3. No campo para o arquivo do certificado de CA, digite a localização do certificado e, em seguida, clique em Submit.

    /image/gif/paws/43722/acs-eap-13.gif

  4. Clique em Edit Certificate Trust List.

  5. Selecione todas as CAs nas quais o ACS deve confiar e desmarque todas as CAs nas quais o ACS não deve confiar.

  6. Clique em Submit.

    /image/gif/paws/43722/acs-eap-14.gif

Reiniciar o serviço e definir as configurações EAP-TLS no ACS

Termine estas etapas a fim reiniciar o serviço e configurar ajustes do EAP-TLS:

  1. Clique em System Configuration e, depois, em Service Control.

  2. Clique o reinício a fim reiniciar o serviço.

  3. A fim configurar ajustes do EAP-TLS, clique a configuração de sistema, e clique então a instalação da autenticação global.

  4. Marque Allow EAP-TLS e, em seguida, marque uma ou mais comparações de certificado.

  5. Clique em Submit.

    /image/gif/paws/43722/acs-eap-15.gif

Especifique e configure o ponto de acesso como um cliente AAA

Termine estas etapas a fim configurar o Access Point (AP) como um cliente de AAA:

  1. Clique em Network Configuration.

  2. Em AAA Clients, clique em Add Entry.

    /image/gif/paws/43722/acs-eap-16.gif

  3. Incorpore o nome de host do Access point ao campo do nome de host do cliente AAA e o endereço IP de Um ou Mais Servidores Cisco ICM NT no campo do endereço IP de Um ou Mais Servidores Cisco ICM NT do cliente de AAA.

  4. Incorpore uma chave secreta compartilhada para o ACS e o Access point ao campo chave.

  5. Escolha o RAIO (Cisco Aironet) como o método de autenticação, e o clique submete-se.

    /image/gif/paws/43722/acs-eap-17.gif

Configure o banco de dados de usuário externo

Termine estas etapas a fim configurar as bases de dados de usuário externo.

  1. Clique em Bancos de dados do usuário externo e, em seguida, em Configuração do banco de dados.

  2. Clique em Windows Database.

    Nota: Se não houver um banco de dados do Windows já definido, clique em Create New Configuration e, em seguida, clique em Submit.

  3. Clique em Configurar.

  4. Em Configure Domain List, mova o domínio SEC-SYD de Available Domains para Domain List.

    /image/gif/paws/43722/acs-eap-18.gif

  5. Na área dos ajustes de Windows EAP, clique a caixa de verificação da autenticação da máquina do EAP-TLS da licença a fim permitir a autenticação da máquina.

    Nota:  Não altere o prefixo do nome de autenticação da máquina. A Microsoft usa atualmente "/host" (o valor padrão) para distinguir entre autenticação de usuário e de máquina.

  6. Opcionalmente, você pode verificar a caixa de verificação do Domain Name da tira do EAP-TLS a fim permitir a faixa de domínio.

  7. Clique em Submit.

    /image/gif/paws/43722/acs-eap-19.gif

  8. Clique em External User Databases e, em seguida, clique em Unknown User Policy (Política de usuário desconhecida).

  9. Clique a verificação o seguinte botão de rádio das bases de dados de usuário externo.

  10. Mova o banco de dados do Windows dos bancos de dados externos alistam aos bancos de dados selecionado a lista.

  11. Clique em Submit.

    /image/gif/paws/43722/acs-eap-19a.gif

Reinicie o serviço

Quando você terminou configurar o ACS, termine estas etapas a fim reiniciar o serviço:

  1. Clique em System Configuration e, depois, em Service Control.

  2. Clique em Reiniciar.

Configurando a inscrição automática no MS Certificate Machine

Termine estas etapas a fim configurar o domínio para o registro automático do certificado da máquina:

  1. Vão ao Control Panel > às ferramentas administrativas > os usuários e os computadores abertos de diretório ativo.

  2. Clicar com o botão direito o domínio SEC-syd, e escolha propriedades.

  3. Clique a aba da política do grupo.

  4. Clique em Política de domínio padrão e em Editar.

  5. Vão ao Configuração de Computador > Configurações do Windows > Configurações de Segurança > às políticas da chave pública > os ajustes automáticos do pedido do certificado.

    acs-eap-20.gif

  6. Na barra de menus, vai à ação > o pedido do certificado novo > automático, e clica em seguida.

  7. Escolha o computador, e clique-o em seguida.

  8. Verifique o Certificate Authority, “nosso TAC CA,” neste exemplo.

  9. Clique em Avançar e, em seguida, clique em Concluir.

Configurando o Ciscso Access Point

Termine estas etapas a fim configurar o AP para usar o ACS como o Authentication Server:

  1. Abra um navegador da Web, e entre em http:// AP-ip-address/certsrv a fim alcançar o AP.

  2. Na barra de ferramentas, clique em Setup.

  3. Sob serviços, clique a Segurança, e clique então o Authentication Server.

    Nota: Se você configurou contas no AP, você deve entrar.

  4. Incorpore os ajustes de configuração do autenticador:

    • Escolha 802.1x-2001 para a versão do protocolo do 802.1x (para a autenticação de EAP).

    • Digite o endereço IP do servidor ACS no campo Server Name/IP.

    • Escolha o RAIO como o tipo de servidor.

    • Digite 1645 ou 1812 no campo Porta.

    • Incorpore a chave secreta compartilhada que você especificou dentro especifica e configura o Access point como um cliente de AAA.

    • Verifique a opção para ver se há a autenticação de EAP a fim especificar como o server deve ser usado.

  5. Quando terminar, clique em OK.

    /image/gif/paws/43722/acs-eap-21.gif

  6. Clique em Radio Data Encryption (WEP).

  7. Introduza as configurações internas de criptografia de dados.

    • Escolha a criptografia total do Use of Data Encryption por estações é lista de drop-down a fim ajustar o nível da criptografia de dados.

    • Para o tipo do autenticação Accept, verifique a caixa de verificação aberta a fim ajustar o tipo de autenticação aceitado, e verifique a Rede EAP a fim permitir o PULO.

    • Para Require EAP, verifique a caixa de verificação aberta a fim exigir o EAP.

    • Incorpore uma chave de criptografia ao campo chave de Encription, e escolha o 128 mordido da lista de drop-down do tamanho chave.

  8. Quando terminar, clique em OK.

    acs-eap-22.gif

  9. Vá ao Rede > Conjuntos de Serviço > Selecionar o SSID Idx a fim confirmar que o Service Set Identifier (SSID) correto está usado.

  10. Clique em OK.

    /image/gif/paws/43722/acs-eap-22a.gif

Configurando o cliente Wireless

Termine estas etapas a fim configurar ACS 3.2:

  1. Junte-se ao domínio.

  2. Obtenha um certificado para o usuário.

  3. Configure a rede Wireless.

Unir ao domínio

Termine estas etapas a fim adicionar o cliente Wireless ao domínio.

Nota: A fim terminar estas etapas, o cliente Wireless deve ter a Conectividade a CA, através de uma conexão ligada com fio ou através da conexão Wireless com Segurança do 802.1x desabilitada.

  1. Inicie sessão no Windows XP como administrador local.

  2. Vá ao Control Panel > ao desempenho e à manutenção > ao sistema.

  3. Clique a aba do nome de computador, e clique então a mudança.

  4. Dê entrada com o nome de host no campo de nome de computador.

  5. Escolha o domínio, e dê entrada com então o nome do domínio (SEC-SYD neste exemplo).

  6. Clique em OK.

    /image/gif/paws/43722/acs-eap-23.gif

  7. Quando a caixa de diálogo do início de uma sessão aparece, entre dentro com uma conta com permissão adequada juntar-se ao domínio.

  8. Quando o computador tiver se unido com êxito ao domínio, reinicie-o.

    A máquina assenta bem em um membro do domínio. Desde que o registro automático de máquina é configurado, a máquina tem um certificado para CA instalado assim como um certificado para a autenticação da máquina.

Obter um certificado para o usuário

Termine estas etapas a fim obter um certificado para o usuário.

  1. Entre a Windows XP e ao domínio (SEC-SYD) no cliente Wireless (portátil) como a conta que exige um certificado.

  2. Abra um navegador da Web, e entre em http:// CA-ip-address/certsrv a fim alcançar o server de CA.

  3. Entre ao server de CA sob a mesma conta.

    Nota: O certificado é armazenado no cliente Wireless sob o perfil de usuário atual; consequentemente, você deve usar a mesma conta a fim entrar a Windows e a CA.

    /image/gif/paws/43722/acs-eap-24.gif

  4. Clique o pedido um botão de rádio do certificado, e clique-o então em seguida.

    /image/gif/paws/43722/acs-eap-03.gif

  5. Clique o botão de rádio do pedido avançado, e clique-o então em seguida.

    /image/gif/paws/43722/acs-eap-04.gif

  6. Clique a submissão um botão de rádio do pedido de certificado para este CA usando um formulário, e clique-a então em seguida.

    /image/gif/paws/43722/acs-eap-05.gif

  7. Escolha o usuário do molde de certificado, e incorpore 1024 ao campo do tamanho chave.

  8. Configurar outras opções como necessárias, e o clique submete-se.

    /image/gif/paws/43722/acs-eap-25.gif

    Nota: Se a caixa de diálogo potencial da violação do script aparece, clique sim para continuar.

    acs-eap-07.gif

  9. Clique em Instalar este certificado.

    /image/gif/paws/43722/acs-eap-08.gif

    Nota: Se a caixa de diálogo potencial da violação do script aparece, clique sim para continuar.

    acs-eap-09.gif

    Nota: A loja do certificado de raiz pôde aparecer se próprio certificado de CA não salvar no cliente Wireless já. Clique sim a fim salvar o certificado ao armazenamento local.

    acs-eap-26.gif

    Se a instalação é bem sucedida, um mensagem de confirmação aparece.

    acs-eap-10.gif

Configure a rede Wireless

Termine estas etapas a fim ajustar as opções para a rede de comunicação Wireless:

  1. Inicie a sessão no domínio como usuário de domínio.

  2. Vá ao Painel de Controle > Conexões de Rede e de Internet > Conexões de Rede.

  3. Clicar com o botão direito a conexão Wireless, e escolha propriedades.

  4. Clique a aba das redes Wireless.

  5. Escolha a rede Wireless da lista de redes disponíveis, e clique-a então configuram.

    /image/gif/paws/43722/acs-eap-23.gif

  6. Na aba da autenticação, verifique a autenticação do IEEE 802.1X da possibilidade para ver se há esta caixa de verificação de rede.

  7. Escolha a placa inteligente ou o outro certificado do tipo lista de drop-down EAP, e clique então propriedades.

    Nota: A fim permitir a autenticação da máquina, verifique a autenticação como o computador quando a informação de computador é caixa de verificação disponível.

    /image/gif/paws/43722/acs-eap-27.gif

  8. Clique o uso um certificado neste botão de rádio do computador, e verifique então a caixa de verificação da seleção de certificado simples do uso.

  9. Verifique a caixa do certificatecheck do server da validação, e clique a APROVAÇÃO.

    Nota: Quando o cliente se junta ao domínio, o certificado de CA está instalado automaticamente como uma Autoridade de certificação de raiz confiável. O cliente automaticamente confia implicitamente CA que assinou o certificado de cliente. As CAs adicionais podem ser confiáveis, verificando-as na lista Trusted Root Certification Authorities.

    /image/gif/paws/43722/acs-eap-28.gif

  10. Na aba da associação do indicador das propriedades de rede, verifique a criptografia de dados (WEP permitido) e a chave é fornecida para mim automaticamente caixas de seleção.

  11. Clique a APROVAÇÃO, e clique então a APROVAÇÃO outra vez a fim fechar o indicador da configuração de rede.

    /image/gif/paws/43722/acs-eap-29.gif

Verificar

Esta seção fornece a informação que você pode se usar a fim confirmar sua configuração está trabalhando corretamente.

  • A fim verificar que o cliente Wireless esteve autenticado, termine estas etapas:

    1. No cliente Wireless, vá ao Painel de Controle > Conexões de Rede e de Internet > Conexões de Rede.

    2. Na barra de menus, vá ao exibir > tiles.

    A conexão Wireless deve indicar a mensagem sucedida “autenticação”.

  • A fim verificar que os clientes Wireless estiveram autenticados, vá ao relatórios e atividade > autenticações aprovadas > csv ativo de autenticações aprovadas na interface da WEB ACS.

Troubleshooting

Esta seção fornece informações que podem ser usadas para o troubleshooting da sua configuração.

  • Verifique que os serviços certificados MS estiveram instalados como uma CA raiz da empresa em Windows 2000 Advanced Server com pacote de serviços 3.

  • Verifique se você está usando o Cisco Secure ACS for Windows versão 3.2 com Windows 2000 e Service Pack 3.

  • Se a autenticação da máquina falhar no cliente wireless, não haverá conectividade de rede na conexão sem fio. Somente as contas com perfis em cache no cliente wireless serão capazes de iniciar uma sessão no domínio. A máquina deve ser obstruída dentro a uma rede ligada com fio ou a um grupo para a conexão Wireless sem a Segurança do 802.1x.

  • Se o registro automático com CA falha quando se junta ao domínio, verifique o visualizador de eventos para ver se há razões possíveis.

  • Se o perfil de usuário do cliente sem fio não possuir um certificado válido, ainda será possível fazer o logon na máquina e no domínio caso a senha esteja correta, mas a conexão sem fio não terá conectividade.

  • Se o certificado ACS no cliente Wireless é inválido (de que depende do certificado válido “” e “” às datas, aos ajustes da data e hora do cliente, e à confiança de CA), a seguir o cliente rejeitá-la-á e a autenticação falhará. O ACS registrará a autenticação falha na interface da WEB sob relatórios e atividade > falhas de tentativa > XXX.csv das falhas de tentativa com o Código de falha da autenticação similar ao “EAP-TLS ou a autenticação de PEAP falhada durante a saudação de SSL.” O Mensagem de Erro previsto no arquivo de CSAuth.log é similar a esta mensagem:

    AUTH 06/04/2003 14:56:41 E 0345 1644 EAP: buildEAPRequestMsg: 
    other side probably didn't accept our certificate
  • Se o certificado do cliente no ACS for inválido (o que depende das datas de validade “de” e “até” do certificado, das configurações e data e hora do servidor e da confiança da CA), o servidor o rejeitará e a autenticação falhará. O ACS registrará a autenticação falha na interface da WEB sob relatórios e atividade > falhas de tentativa > XXX.csv das falhas de tentativa com o Código de falha da autenticação similar ao “EAP-TLS ou a autenticação de PEAP falhada durante a saudação de SSL.” Se o ACS rejeita o certificado de cliente porque o ACS não confia CA, o Mensagem de Erro previsto no arquivo de CSAuth.log é similar a esta mensagem:

    AUTH 06/04/2003 15:47:43 E 0345 1696 EAP: ProcessResponse:
    SSL handshake failed, status = 3 (SSL alert fatal:unknown CA certificate)

    Se o ACS rejeita o certificado de cliente porque o certificado expirou, o Mensagem de Erro previsto no arquivo de CSAuth.log é similar a esta mensagem:

    AUTH 06/04/2005 15:02:08 E 0345 1692 EAP: ProcessResponse:
    SSL handshake failed, status = 3 (SSL alert fatal:certificate expired)
  • No entra a interface da WEB ACS, sob ambos os relatórios e a atividade > autenticações passadas > XXX.csv das autenticações e atividade de Reportsand > falhas de tentativa > XXX.csv passados das falhas de tentativa, autenticações EAP-TLS é mostrada no <user-id>@<domain> do formato. As autenticações de PEAP são mostradas no formato <DOMAIN> \ <user-id>.

  • Você pode verificar o certificado e a confiança do servidor ACS seguindo as etapas descritas abaixo.

    1. Inicie a sessão no Windows no servidor ACS com uma conta que tenha privilégios de administrador.

    2. Vá ao Iniciar > Executar, datilografe o mmc, e clique a APROVAÇÃO a fim abrir o Microsoft Management Console.

    3. Na barra de menus, vá ao Console > Adicionar/Remover Snap-in, e o clique adiciona.

    4. Escolha Certificados, e o clique adiciona.

    5. Escolha a conta do computador, clique-a em seguida, e escolha-a então o computador local (o computador que este console está executando sobre).

    6. Clique em Finish, em Close e, em seguida, em OK.

    7. A fim verificar que o servidor ACS tem um certificado do lado de servidor válido, vá ao fundamento de console > aos Certificados (computador local) > pessoal > Certificados, e verifique que há um certificado para o servidor ACS (OurACS Nomeado neste exemplo).

    8. Abra o certificado, e verifique estes artigos:

      • Não há advertência quanto ao certificado não estar sendo verificado para todos os seus propósitos pretendidos.

      • Não há advertência sobre o certificado não ser confiável.

      • Este certificado tem como objetivo garantir a identidade de um computador remoto.

      • O certificado não expirou e se tornou válido (verificar datas válidas “de” e “para”).

      • “Você tem uma chave privada que corresponde a esse certificado.”

    9. Na guia Detalhes, verifique se o campo Versão tem o valor V3 e se o campo Enhanced Key Usage tem autenticação de servidor (1.3.6.1.5.5.7.3.1).

    10. A fim verificar que o servidor ACS confia o server de CA, vá ao fundamento de console > aos Certificados (computador local) > Autoridades de certificação de raiz confiável > Certificados, e verifique que há um certificado para o server de CA (nomeado nosso TAC CA neste exemplo).

    11. Abra o certificado, e verifique estes artigos:

      • Não há advertência quanto ao certificado não estar sendo verificado para todos os seus propósitos pretendidos.

      • Não há advertência sobre o certificado não ser confiável.

      • O propósito pretendido do certificado está correto.

      • O certificado não expirou e se tornou válido (verificar datas válidas “de” e “para”).

      Se o ACS e o cliente não utilizaram o mesmo CA raiz, verifique se toda a cadeia de certificados de servidores de CA foi instalada. O mesmo se aplica se o certificado for obtido a partir de uma autoridade subcertificada.

  • Você pode verificar a confiança e o certificado da máquina do cliente móvel, seguindo os passos descritos abaixo.

    1. Inicie a sessão no Windows no servidor ACS com uma conta que tenha privilégios de administrador. Abra o Microsoft Management Console indo ao Iniciar > Executar, ao mmc de datilografia, e à APROVAÇÃO de clique.

    2. Na barra de menus, vá ao Console > Adicionar/Remover Snap-in, e clique então adicionam.

    3. Selecione Certificates e clique em Add.

    4. Selecione Conta do computador, clique em Avançar e selecione Computador local (o computador em que este console está executando).

    5. Clique em Finish, em Close e, em seguida, em OK.

    6. Verifique se a máquina possui um certificado válido do lado cliente. Se o certificado for inválido, a autenticação da máquina falhará. Para verificar o certificado, vá ao fundamento de console > aos Certificados (computador local) > pessoal > Certificados. Verifique que há um certificado para a máquina; o nome estará no formato <host-name>.<domain>. Abra o certificado e verifique os seguintes itens.

      • Não há advertência quanto ao certificado não estar sendo verificado para todos os seus propósitos pretendidos.

      • Não há advertência sobre o certificado não ser confiável.

      • "Este certificado tem a finalidade de – Prova sua identidade a computador remoto".

      • O certificado não expirou e se tornou válido (verificar datas válidas “de” e “para”).

      • “Você tem uma chave privada que corresponde a esse certificado.”

  • Nos detalhes catalogue, verifique que o campo da versão tem o valor V3 e que o campo do Enhanced Key Usage contém pelo menos a authenticação do cliente do valor (1.3.6.1.5.5.7.3.2); as finalidades adicionais podem estar listadas. Assegure-se de que o campo de assunto contenha o CN do valor = o <host-nome >.<domain>; os valores adicionais podem estar listados. Verifique se o nome do host e domínio correspondem ao que está especificado no certificado.

  • Para verificar que o perfil do cliente confia o server de CA, vá ao fundamento de console > aos Certificados (usuário atual) > Autoridades de certificação de raiz confiável > Certificados. Verifique se há um certificado para o servidor de CA (nomeado “Our TAC CA” neste exemplo). Abra o certificado e verifique os seguintes itens.

    • Não há advertência quanto ao certificado não estar sendo verificado para todos os seus propósitos pretendidos.

    • Não há advertência sobre o certificado não ser confiável.

    • O propósito pretendido do certificado está correto.

    • O certificado não expirou e se tornou válido (verificar datas válidas “de” e “para”).

    Se o ACS e o cliente não utilizaram o mesmo CA raiz, verifique se toda a cadeia de certificados de servidores de CA foi instalada. O mesmo se aplica se o certificado for obtido a partir de uma autoridade subcertificada.

  • Verifique os ajustes ACS como descrito em configurar o Cisco Secure ACS for Windows v3.2.

  • Verifique os ajustes de CA como descrito em configurar serviços certificados MS.

  • Verifique os ajustes AP como descrito em configurar o ponto de acesso da Cisco.

  • Verifique os ajustes do cliente Wireless como descrito em configurar o cliente Wireless.

  • Verifique que a conta de usuário existe no banco de dados interno do servidor AAA ou em um dos bancos de dados externos configurados, e assegure-se de que a conta não esteja desabilitada.

  • Os Certificados emitidos por CA construído no algoritmo de mistura segura 2 (SHA-2) não são compatíveis com Cisco Secure ACS desde que são desenvolvidos com Java que não apoia SHA-2 a partir de agora. A fim resolver esta edição, reinstale CA e configurar-lo para emitir Certificados com SHA-1.

Discussões relacionadas da comunidade de suporte da Cisco

A Comunidade de Suporte da Cisco é um fórum onde você pode perguntar e responder, oferecer sugestões e colaborar com colegas.


Informações Relacionadas


Document ID: 43722