Sécurité : Cisco Secure Access Control Server pour Windows

Secure ACS pour Windows v3.2 avec l'authentification de machine d'EAP-TLS

16 janvier 2016 - Traduction automatique
Autres versions: PDFpdf | Anglais (20 décembre 2015) | Commentaires


Contenu


Introduction

Ce document décrit comment configurer Extensible Authentication Protocol ? Transport Layer Security (EAP-TLS) avec le Système de contrôle d'accès sécurisé Cisco (ACS) pour la version 3.2 de Windows.

Remarque: L'authentification de machine n'est pas prise en charge avec l'Autorité de certification (CA) de Novell. ACS peut employer l'EAP-TLS pour prendre en charge l'authentification de machine au Répertoire actif de Microsoft Windows. Le client d'utilisateur final pourrait limiter le protocole pour l'authentification de l'utilisateur au même protocole qui est utilisé pour l'authentification de machine. C'est-à-dire, l'utilisation de l'EAP-TLS pour l'authentification de machine pourrait exiger l'utilisation de l'EAP-TLS pour l'authentification de l'utilisateur. Pour plus d'informations sur l'authentification de machine, référez-vous à la section d'authentification de machine du guide utilisateur pour le Cisco Secure Access Control Server 4.1.

Remarque: En installant ACS pour authentifier des ordinateurs par l'intermédiaire de l'EAP-TLS et de l'ACS a été installé pour l'authentification de machine, le client doit être configuré pour faire l'authentification de machine seulement. Le pour en savoir plus, se réfèrent comment activer l'authentification ordinateur ordinateur pour un réseau 802.1X-based dans les Windows Vista, dans les Windows Server 2008, et dans les Windows XP Service Pack 3.

Conditions préalables

Conditions requises

Aucune condition préalable spécifique n'est requise pour ce document.

Composants utilisés

Les informations dans ce document sont basées sur les versions de logiciel et de matériel ci-dessous.

Les informations présentées dans ce document ont été créées à partir de périphériques dans un environnement de laboratoire spécifique. Tous les périphériques utilisés dans ce document ont démarré avec une configuration effacée (par défaut). Si vous travaillez dans un réseau opérationnel, assurez-vous de bien comprendre l'impact potentiel de toute commande avant de l'utiliser.

Théorie générale

L'EAP-TLS et le Protected Extensible Authentication Protocol (PEAP) construisent et utilisent un tunnel TLS/Secure Socket Layer (SSL). L'EAP-TLS utilise l'authentification mutuelle dans laquelle le serveur et les clients ACS (authentification, autorisation, et comptabilité [AAA]) ont des Certificats et prouvent leurs identités entre eux. Le PEAP, cependant, utilise seulement l'authentification de côté serveur ; seulement le serveur a un certificat et prouve son identité au client.

Conventions

Pour plus d'informations sur les conventions des documents, référez-vous aux Conventions utilisées pour les conseils techniques de Cisco.

Diagramme du réseau

Ce document utilise la configuration réseau indiquée dans le diagramme suivant :

/image/gif/paws/43722/acs-eap-01.gif

Configurer le Cisco Secure ACS pour Windows v3.2

Suivez les étapes ci-dessous pour configurer ACS 3.2.

  1. Obtenez un certificat pour le serveur ACS.

  2. Configurez ACS pour utiliser un certificat de mémoire.

  3. Spécifiez les autorités de certification supplémentaires aux lesquelles l'ACS devrait faire confiance.

  4. Redémarrez le service et configurez les configurations PEAP sur l'ACS.

  5. Spécifiez et configurez le Point d'accès en tant que client d'AAA.

  6. Configurez les bases de données d'utilisateur externe.

  7. Redémarrez le service.

Obtenez un certificat pour le serveur ACS

Suivez ces étapes pour obtenir un certificat.

  1. Sur le serveur ACS, ouvrez un navigateur Web, et entrez dans http:// CA-ip-address/certsrv afin d'accéder au serveur CA.

  2. Procédure de connexion au domaine comme administrateur.

    /image/gif/paws/43722/acs-eap-02.gif

  3. Sélectionnez la demande un certificat, et puis cliquez sur Next.

    /image/gif/paws/43722/acs-eap-03.gif

  4. La demande avancée choisie, et cliquent sur Next alors.

    /image/gif/paws/43722/acs-eap-04.gif

  5. Choisi soumettez une demande de certificat à ce CA utilisant une forme, et puis cliquez sur Next.

    /image/gif/paws/43722/acs-eap-05.gif

  6. Configurez les options de certificat :

    1. Le serveur Web choisi comme modèle de certificat, et écrivent le nom du serveur ACS.

      /image/gif/paws/43722/acs-eap-06a.gif

    2. Écrivez 1024 dans le domaine de taille de clé, et vérifiez les clés de marque en tant que cases exportables et d'utilisation d'ordinateur local de mémoire.

    3. Configurez d'autres options comme nécessaire, et puis cliquez sur Submit.

      /image/gif/paws/43722/acs-eap-06b.gif

      Remarque: Si la boîte de dialogue potentielle de violation de script apparaît, cliquez sur oui pour continuer.

      acs-eap-07.gif

  7. Le clic installent ce certificat.

    /image/gif/paws/43722/acs-eap-08.gif

    Remarque: Si la boîte de dialogue potentielle de violation de script apparaît, cliquez sur oui pour continuer.

    acs-eap-09.gif

  8. Si l'installation est réussie, le message installé par certificat apparaît.

    acs-eap-10.gif

Configurez ACS pour utiliser un certificat de mémoire

Terminez-vous ces étapes afin de configurer ACS pour utiliser le certificat dans la mémoire.

  1. Ouvrez un navigateur Web, et entrez dans http:// ACS-ip-address:2002/ afin d'accéder au serveur ACS.

  2. Cliquez sur la configuration système, et puis cliquez sur l'installation de certificat ACS.

  3. Le clic installent le certificat ACS.

  4. Cliquez sur le certificat d'utilisation de la case d'option de mémoire.

  5. Dans le domaine NC de certificat, écrivez le nom du certificat que vous avez assigné dans l'étape 5a d'obtenir un certificat de l'ACS Serversection de ce document.

  6. Cliquez sur Submit.

    /image/gif/paws/43722/acs-eap-11.gif

    Une fois que la configuration est complète, un message de confirmation apparaît qui indique que la configuration du serveur ACS a été changée.

    Remarque: Vous n'avez pas besoin de redémarrer l'ACS à ce moment.

    /image/gif/paws/43722/acs-eap-12.gif

Spécifiez les autorités de certification supplémentaires aux lesquelles l'ACS devrait faire confiance

L'ACS fait confiance automatiquement au CA qui a délivré son propre certificat. Si les certificats client sont délivrés par CAs supplémentaire, vous devez se terminer ces étapes :

  1. Cliquez sur la configuration système, et puis cliquez sur l'installation de certificat ACS.

  2. Cliquez sur l'installation d'autorité de certification ACS pour ajouter le CAs à la liste de Certificats de confiance.

  3. Dans le domaine pour le fichier de certificat de CA, entrez l'emplacement du certificat, et puis cliquez sur Submit.

    /image/gif/paws/43722/acs-eap-13.gif

  4. Cliquez sur Edit la liste de confiance de certificat.

  5. Vérifiez tout le CAs au lequel l'ACS devrait faire confiance, et décochez tout le CAs au lequel l'ACS ne devrait pas faire confiance.

  6. Cliquez sur Submit.

    /image/gif/paws/43722/acs-eap-14.gif

Redémarrez le service et configurez les configurations d'EAP-TLS sur l'ACS

Terminez-vous ces étapes afin de redémarrer le service et configurer des configurations d'EAP-TLS :

  1. La configuration système de clic, et cliquent sur alors le contrôle des services.

  2. Reprise de clic afin de redémarrer le service.

  3. Afin de configurer des configurations d'EAP-TLS, la configuration système de clic, et puis cliquer sur l'installation globale d'authentification.

  4. Vérifiez permettent l'EAP-TLS, et puis vérifient un ou plusieurs des comparaisons de certificat.

  5. Cliquez sur Submit.

    /image/gif/paws/43722/acs-eap-15.gif

Spécifiez et configurez le Point d'accès en tant que client d'AAA

Terminez-vous ces étapes afin de configurer le Point d'accès (AP) en tant que client d'AAA :

  1. Cliquez sur Network Configuration.

  2. Sous des clients d'AAA, cliquez sur Add l'entrée.

    /image/gif/paws/43722/acs-eap-16.gif

  3. Écrivez le nom d'hôte de Point d'accès dans le domaine d'adresse Internet de client d'AAA et l'adresse IP dans le champ IP Address de client d'AAA.

  4. Entrez dans une clé secrète partagée pour l'ACS et le Point d'accès dans la zone de tri.

  5. Choisissez le RAYON (Cisco Aironet) comme méthode d'authentification, et cliquez sur Submit.

    /image/gif/paws/43722/acs-eap-17.gif

Configurez les bases de données d'utilisateur externe

Terminez-vous ces étapes afin de configurer les bases de données d'utilisateur externe.

  1. Cliquez sur les bases de données d'utilisateur externe, et puis cliquez sur la configuration de base de données.

  2. Base de données de Windows de clic.

    Remarque: S'il n'y a aucune base de données de Windows déjà définie, le clic créent la nouvelle configuration, et puis cliquent sur Submit.

  3. Cliquez sur Configure.

  4. Sous configurez le domain list, déplacent le domaine SEC-SYD des domaines disponibles au domain list.

    /image/gif/paws/43722/acs-eap-18.gif

  5. Dans la région de configurations d'EAP de Windows, cliquez sur la case d'authentification de machine d'EAP-TLS d'autorisation afin d'activer l'authentification de machine.

    Remarque:  Ne changez pas le préfixe de nom d'authentification de machine. Microsoft emploie actuellement « /host » (la valeur par défaut) pour distinguer l'utilisateur et l'authentification de machine.

  6. Sur option, vous pouvez cocher la case de nom de domaine de bande d'EAP-TLS afin d'activer l'élimination de domaine.

  7. Cliquez sur Submit.

    /image/gif/paws/43722/acs-eap-19.gif

  8. Cliquez sur les bases de données d'utilisateur externe, et puis cliquez sur la stratégie inconnue d'utilisateur.

  9. Cliquez sur le contrôle la case d'option suivante de bases de données d'utilisateur externe.

  10. Déplacez la base de données de Windows des bases de données externes répertorient aux bases de données la liste sélectionnée.

  11. Cliquez sur Submit.

    /image/gif/paws/43722/acs-eap-19a.gif

Redémarrez le service

Quand vous avez fini de configurer l'ACS, terminez-vous ces étapes afin de redémarrer le service :

  1. La configuration système de clic, et cliquent sur alors le contrôle des services.

  2. Cliquez sur Restart.

Configurer l'ordinateur Autoenrollment de certificat de MS

Terminez-vous ces étapes afin de configurer le domaine pour l'inscription de certificat automatique d'ordinateur :

  1. Allez au panneau de configuration > aux outils d'administration > les utilisateurs et les ordinateurs de Répertoire actif ouverts.

  2. Cliquez avec le bouton droit sec-syd de domaine, et choisissez Properties.

  3. Cliquez sur l'onglet de stratégie de groupe.

  4. Cliquez sur la stratégie par défaut de domaine, et puis cliquez sur Edit.

  5. Allez à la configuration de l'ordinateur > aux paramètres de windows > aux paramètres de sécurité > des stratégies de clé publique > les configurations automatiques de demande de certificat.

    acs-eap-20.gif

  6. Sur la barre de menus, allez à l'action > nouvelle > automatique demande de certificat, et cliquez sur Next.

  7. Choisissez l'ordinateur, et cliquez sur Next.

  8. Vérifiez l'autorité de certification, « notre TAC CA, » dans cet exemple.

  9. Cliquez sur Next, et puis cliquez sur Finish.

Configurer le point d'accès Cisco

Terminez-vous ces étapes afin de configurer AP pour utiliser l'ACS en tant que serveur d'authentification :

  1. Ouvrez un navigateur Web, et entrez dans http:// AP-ip-address/certsrv afin d'accéder à AP.

  2. Sur la barre d'outils, installation de clic.

  3. Sous des services, cliquez sur Security, et puis cliquez sur le serveur d'authentification.

    Remarque: Si vous configuriez des comptes sur AP, vous devez ouvrir une session.

  4. Écrivez les paramètres de configuration d'authentificateur :

    • Choisissez 802.1x-2001 pour la version de Protocol de 802.1x (pour l'authentification EAP).

    • Écrivez l'adresse IP du serveur ACS dans le domaine du serveur Name/IP.

    • Choisissez le RAYON comme type de serveur.

    • Écrivez 1645 ou 1812 dans le domaine de port.

    • Introduisez la clé secrète partagée que vous avez spécifiée dedans spécifiez et configurez le Point d'accès en tant que client d'AAA.

    • Vérifiez l'option pour l'authentification EAP afin de spécifier comment le serveur devrait être utilisé.

  5. Quand vous êtes de finition, cliquez sur OK.

    /image/gif/paws/43722/acs-eap-21.gif

  6. Chiffrement de données par radio de clic (WEP).

  7. Écrivez les configurations internes de chiffrement de données.

    • Choisissez le chiffrement complet de l'utilisation du chiffrement de données par des stations est liste déroulante afin de placer le niveau du chiffrement de données.

    • Pour le type d'authentification Accept, cochez la case ouverte afin de placer le type d'authentification reçu, et cochez le Network-EAP afin d'activer le LEAP.

    • Pour l'EAP Require, cochez la case ouverte afin d'exiger l'EAP.

    • Introduisez une clé de chiffrement dans la zone de tri d'Encription, et choisissez le bit 128 de la liste déroulante de taille de clé.

  8. Quand vous êtes de finition, cliquez sur OK.

    acs-eap-22.gif

  9. Allez au réseau > aux ensembles de services > sélectionnent le SSID Idx afin de confirmer que l'Identifiant SSID (Service Set Identifier) correct est utilisé.

  10. Cliquez sur OK.

    /image/gif/paws/43722/acs-eap-22a.gif

Configurer le client sans fil

Terminez-vous ces étapes afin de configurer ACS 3.2 :

  1. Joignez le domaine.

  2. Obtenez un certificat pour l'utilisateur.

  3. Configurez le réseau sans fil.

Joignez le domaine

Terminez-vous ces étapes afin d'ajouter le client sans fil au domaine.

Remarque: Afin de se terminer ces étapes, le client sans fil doit avoir la Connectivité au CA, par une connexion câblée ou par la connexion Sans fil avec la Sécurité de 802.1x désactivée.

  1. Procédure de connexion à Windows XP en tant qu'administrateur local.

  2. Allez au panneau de configuration > à la représentation et à la maintenance > au système.

  3. Cliquez sur l'onglet de nom de l'ordinateur, et puis cliquez sur la modification.

  4. Écrivez le nom d'hôte dans le domaine de nom de l'ordinateur.

  5. Choisissez le domaine, et puis écrivez le nom du domaine (SEC-SYD dans cet exemple).

  6. Cliquez sur OK.

    /image/gif/paws/43722/acs-eap-23.gif

  7. Quand la boîte de dialogue de connexion apparaît, ouvrez une session dedans avec un compte avec l'autorisation adéquate de joindre le domaine.

  8. Quand l'ordinateur a avec succès joint le domaine, redémarrez l'ordinateur.

    L'ordinateur va bien à un membre du domaine. Puisque l'autoenrollment d'ordinateur est configuré, l'ordinateur a un certificat pour le CA installé aussi bien qu'un certificat pour l'authentification de machine.

Obtenez un certificat pour l'utilisateur

Terminez-vous ces étapes afin d'obtenir un certificat pour l'utilisateur.

  1. Ouvrez une session à Windows XP et au domaine (SEC-SYD) sur le client sans fil (ordinateur portable) comme compte qui exige un certificat.

  2. Ouvrez un navigateur Web, et entrez dans http:// CA-ip-address/certsrv afin d'accéder au serveur CA.

  3. Ouvrez une session au serveur CA sous le même compte.

    Remarque: Le certificat est enregistré sur le client sans fil sous le profil de l'utilisateur courant ; donc, vous devez employer le même compte afin d'ouvrir une session à Windows et au CA.

    /image/gif/paws/43722/acs-eap-24.gif

  4. Cliquez sur la demande une case d'option de certificat, et puis cliquez sur Next.

    /image/gif/paws/43722/acs-eap-03.gif

  5. Cliquez sur la case d'option de demande avancée, et puis cliquez sur Next.

    /image/gif/paws/43722/acs-eap-04.gif

  6. Cliquez sur la soumission une demande de certificat à ce CA utilisant une case d'option de forme, et puis cliquez sur Next.

    /image/gif/paws/43722/acs-eap-05.gif

  7. Choisissez l'utilisateur du modèle de certificat, et écrivez 1024 dans le domaine de taille de clé.

  8. Configurez d'autres options comme nécessaire, et cliquez sur Submit.

    /image/gif/paws/43722/acs-eap-25.gif

    Remarque: Si la boîte de dialogue potentielle de violation de script apparaît, cliquez sur oui pour continuer.

    acs-eap-07.gif

  9. Le clic installent ce certificat.

    /image/gif/paws/43722/acs-eap-08.gif

    Remarque: Si la boîte de dialogue potentielle de violation de script apparaît, cliquez sur oui pour continuer.

    acs-eap-09.gif

    Remarque: La mémoire de certificat racine pourrait apparaître si le propre certificat du Ca n'est pas enregistré sur le client sans fil déjà. Cliquez sur oui afin de sauvegarder le certificat à la mémoire locale.

    acs-eap-26.gif

    Si l'installation est réussie, un message de confirmation apparaît.

    acs-eap-10.gif

Configurez le réseau sans fil

Terminez-vous ces étapes afin de placer les options pour le réseau sans fil :

  1. Procédure de connexion au domaine en tant qu'utilisateur de domaine.

  2. Allez au panneau de configuration > au réseau et aux connexions Internet > aux connexions réseau.

  3. Cliquez avec le bouton droit la connexion Sans fil, et choisissez Properties.

  4. Cliquez sur l'onglet Wireless Networks.

  5. Choisissez le réseau Sans fil de la liste de réseaux disponibles, et puis cliquez sur Configure.

    /image/gif/paws/43722/acs-eap-23.gif

  6. Sur l'onglet d'authentification, cochez l'authentification de 802.1x d'IEEE d'enable pour cette case de réseau.

  7. Choisissez Smart Card ou tout autre certificat de la liste déroulante de type d'EAP, et puis cliquez sur Properties.

    Remarque: Afin d'activer l'authentification de machine, cochez l'authentifier comme ordinateur quand les informations d'ordinateur sont case disponible.

    /image/gif/paws/43722/acs-eap-27.gif

  8. Cliquez sur l'utilisation un certificat sur cette case d'option d'ordinateur, et puis cochez la case simple de sélection de certificat d'utilisation.

  9. Cochez la case de certificatecheck de serveur de validation, et cliquez sur OK.

    Remarque: Quand le client joint le domaine, le certificat de Ca est installé automatiquement en tant qu'Autorité de certification racine approuvée. Le client fait confiance automatiquement implicitement au CA qui a signé le certificat de client. Le CAs supplémentaire peut est de confiance en les vérifiant dans la liste d'Autorités de certification racine approuvée.

    /image/gif/paws/43722/acs-eap-28.gif

  10. Sur l'onglet d'association de la fenêtre des propriétés réseau, vérifiez le chiffrement de données (WEP activé) et la clé est donnée pour moi automatiquement des cases.

  11. Cliquez sur OK, et puis cliquez sur OK de nouveau afin de fermer la fenêtre de configuration réseau.

    /image/gif/paws/43722/acs-eap-29.gif

Vérifiez

Cette section fournit des informations que vous pouvez employer afin de confirmer votre configuration fonctionne correctement.

  • Afin de vérifier que le client sans fil a été authentifié, terminez-vous ces étapes :

    1. Sur le client sans fil, allez au panneau de configuration > au réseau et aux connexions Internet > aux connexions réseau.

    2. Sur la barre de menus, allez à la vue > aux tuiles.

    La connexion Sans fil devrait afficher le message réussi « par authentification ».

  • Afin de vérifier que des clients sans fil ont été authentifiés, allez aux états et à l'activité > des authentifications passées > les authentifications passées active.csv sur l'interface web ACS.

Dépannez

Cette section fournit des informations que vous pouvez utiliser pour dépanner votre configuration.

  • Vérifiez que des services de certificat de MS ont été installés comme racine CA d'entreprise sur un Windows 2000 Advanced Server avec le Service Pack 3.

  • Vérifiez que vous utilisez le Cisco Secure ACS pour la version 3.2 de Windows avec le Windows 2000 et le Service Pack 3.

  • Si l'authentification de machine échoue sur le client sans fil, il n'y aura aucune connexion réseau sur la connexion Sans fil. Seulement les comptes qui ont leurs profils cachés sur le client sans fil pourront ouvrir une session au domaine. L'ordinateur doit être branché à un réseau câblé ou à un positionnement pour la connexion Sans fil sans la Sécurité de 802.1x.

  • Si l'inscription automatique avec le CA échoue quand elle joint le domaine, vérifiez le visualisateur d'événements pour des possibles raison.

  • Si le profil utilisateur du client sans fil n'a pas un certificat valide, vous pouvez ouvrir une session toujours à l'ordinateur et au domaine si le mot de passe est correct, mais noter que la connexion Sans fil n'aura pas la Connectivité.

  • Si le certificat ACS sur le client sans fil est non valide (du lequel dépend du certificat valide «  » et «  » aux dates, à la date et aux paramètres horaires du client, et à la confiance CA), alors le client la rejettera et l'authentification échouera. L'ACS se connectera l'authentification défaillante dans l'interface web sous des états et l'activité > des essais ratés > des essais ratés XXX.csv avec le Panne-code d'authentification semblable au « échec de l'authentification d'EAP-TLS ou PEAP pendant la prise de contact SSL. » Le message d'erreur prévu dans le fichier de CSAuth.log est semblable à ce message :

    AUTH 06/04/2003 14:56:41 E 0345 1644 EAP: buildEAPRequestMsg: 
    other side probably didn't accept our certificate
  • Si le certificat de client sur l'ACS est non valide (du lequel dépend du certificat valide «  » et «  » aux dates, à la date et aux paramètres horaires du serveur, et à la confiance CA), alors le serveur la rejettera et l'authentification échouera. L'ACS se connectera l'authentification défaillante dans l'interface web sous des états et l'activité > des essais ratés > des essais ratés XXX.csv avec le Panne-code d'authentification semblable au « échec de l'authentification d'EAP-TLS ou PEAP pendant la prise de contact SSL. » Si l'ACS rejette le certificat de client parce que l'ACS ne fait pas confiance au CA, le message d'erreur prévu dans le fichier de CSAuth.log est semblable à ce message :

    AUTH 06/04/2003 15:47:43 E 0345 1696 EAP: ProcessResponse:
    SSL handshake failed, status = 3 (SSL alert fatal:unknown CA certificate)

    Si l'ACS rejette le certificat de client parce que le certificat a expiré, le message d'erreur prévu dans le fichier de CSAuth.log est semblable à ce message :

    AUTH 06/04/2005 15:02:08 E 0345 1692 EAP: ProcessResponse:
    SSL handshake failed, status = 3 (SSL alert fatal:certificate expired)
  • Dans les logins l'interface web ACS, sous les deux états et activité > des authentifications passées > a passé les authentifications XXX.csv et l'activité de Reportsand > les essais ratés > les essais ratés XXX.csv, des authentifications d'EAP-TLS sont affichées dans le <user-id>@<domain> de format. Des authentifications PEAP sont affichées dans le format <DOMAIN> \ <user-id>.

  • Vous pouvez vérifier le certificat et la confiance de serveur ACS en suivant les étapes ci-dessous.

    1. Ouvrez une session à Windows sur le serveur ACS avec un compte qui a des privilèges d'administrateur.

    2. Allez au Start > Run, tapez le MMC, et cliquez sur OK afin d'ouvrir le Microsoft Management Console.

    3. Sur la barre de menus, allez à la console > à l'ajout/suppression SNAP-dans, et cliquez sur Add.

    4. Choisissez les Certificats, et cliquez sur Add.

    5. Choisissez le compte d'ordinateur, cliquez sur Next, et puis choisissez l'ordinateur local (l'ordinateur que cette console exécute en fonction).

    6. Cliquez sur Finish, cliquez sur étroitement, et cliquez sur OK alors.

    7. Afin de vérifier que le serveur ACS a un certificat valide de côté serveur, allez à la racine de console > aux Certificats (ordinateur local) > personnel > des Certificats, et vérifiez qu'il y a un certificat pour le serveur ACS (OurACS Désigné dans cet exemple).

    8. Ouvrez le certificat, et vérifiez ces éléments :

      • Il n'y a aucun avertissement au sujet du certificat n'étant pas vérifié pour assurer tous ses buts visés.

      • Il n'y a aucun avertissement au sujet du certificat n'étant de confiance pas.

      • « Ce certificat est destiné - Assure l'identité d'un ordinateur distant. »

      • Le certificat n'a pas expiré et est devenu valide (vérifiez valide «  » et «  » derrière des dates).

      • « Vous avez une clé privée qui correspond à ce certificat. »

    9. Sur les détails tabulez, vérifiez que le champ de version a la valeur V3 et que le champ amélioré d'utilisation principale a l'authentification de serveur (1.3.6.1.5.5.7.3.1).

    10. Afin de vérifier que le serveur ACS fait confiance au serveur CA, allez à la racine de console > aux Certificats (ordinateur local) > des Autorités de certification racine approuvée > des Certificats, et vérifiez qu'il y a un certificat pour le serveur CA (nommé notre TAC CA dans cet exemple).

    11. Ouvrez le certificat, et vérifiez ces éléments :

      • Il n'y a aucun avertissement au sujet du certificat n'étant pas vérifié pour assurer tous ses buts visés.

      • Il n'y a aucun avertissement au sujet du certificat n'étant de confiance pas.

      • Le but visé du certificat est correct.

      • Le certificat n'a pas expiré et est devenu valide (vérifiez valide «  » et «  » derrière des dates).

      Si l'ACS et le client n'utilisaient pas la même racine CA, alors vérifiez que la chaîne entière des Certificats de serveurs CA ont été installées. Le même s'applique si le certificat était obtenu d'une autorité de subcertificate.

  • Vous pouvez vérifier le certificat et la confiance de l'ordinateur de client sans fil en suivant les étapes ci-dessous.

    1. Ouvrez une session à Windows sur le serveur ACS avec un compte qui a des privilèges d'administrateur. Ouvrez Microsoft Management Console en allant au Start > Run, en tapant le MMC, et cliquer sur OK.

    2. Sur la barre de menus, allez à la console > à l'ajout/suppression SNAP-dans, et puis cliquez sur Add.

    3. Les Certificats choisis et cliquent sur Add.

    4. Le compte choisi d'ordinateur, cliquent sur Next, et puis sélectionnent l'ordinateur local (l'ordinateur que cette console exécute en fonction).

    5. Cliquez sur Finish, cliquez sur étroitement, et cliquez sur OK alors.

    6. Vérifiez que l'ordinateur a un certificat valide de côté client. Si le certificat est non valide, l'authentification de machine échouera. Pour vérifier le certificat, allez à la racine de console > aux Certificats (ordinateur local) > personnel > des Certificats. Vérifiez qu'il y a un certificat pour l'ordinateur ; le nom sera dans le format <host-name>.<domain>. Ouvrez le certificat et vérifiez les articles suivants.

      • Il n'y a aucun avertissement au sujet du certificat n'étant pas vérifié pour assurer tous ses buts visés.

      • Il n'y a aucun avertissement au sujet du certificat n'étant de confiance pas.

      • « Ce certificat est destiné - Prouve votre identité à un ordinateur distant. »

      • Le certificat n'a pas expiré et est devenu valide (vérifiez valide «  » et «  » derrière des dates).

      • « Vous avez une clé privée qui correspond à ce certificat. »

  • Sur les détails tabulez, vérifiez que le champ de version a la valeur V3 et que le champ amélioré d'utilisation principale contient au moins l'authentification client de valeur (1.3.6.1.5.5.7.3.2) ; des buts supplémentaires peuvent être répertoriés. Assurez-vous que le champ Subject contient la valeur NC = <host-nom >.<domain> ; des valeurs supplémentaires peuvent être répertoriées. Vérifiez que la correspondance de nom d'hôte et de domaine ce qui est spécifié dans le certificat.

  • Pour vérifier que le profil du client fait confiance au serveur CA, allez à la racine de console > aux Certificats (utilisateur courant) > des Autorités de certification racine approuvée > des Certificats. Vérifiez qu'il y a un certificat pour le serveur CA (nommé notre TAC CA dans cet exemple). Ouvrez le certificat et vérifiez les articles suivants.

    • Il n'y a aucun avertissement au sujet du certificat n'étant pas vérifié pour assurer tous ses buts visés.

    • Il n'y a aucun avertissement au sujet du certificat n'étant de confiance pas.

    • Le but visé du certificat est correct.

    • Le certificat n'a pas expiré et est devenu valide (vérifiez valide «  » et «  » derrière des dates).

    Si l'ACS et le client n'utilisaient pas la même racine CA, alors vérifiez que la chaîne entière des Certificats de serveurs CA ont été installées. Le même s'applique si le certificat était obtenu d'une autorité de subcertificate.

  • Vérifiez les configurations ACS comme décrit en configurant le Cisco Secure ACS pour Windows v3.2.

  • Vérifiez les configurations CA comme décrit en configurant des services de certificat de MS.

  • Vérifiez les configurations AP comme décrit en configurant le point d'accès Cisco.

  • Vérifiez les configurations de client sans fil comme décrit en configurant le client sans fil.

  • Vérifiez que le compte utilisateur existe dans la base de données interne du serveur d'AAA ou sur une des bases de données externes configurées, et assurez-vous que le compte n'a pas été désactivé.

  • Les Certificats délivrés par le CA construit sur le Secure Hash Algorithm 2 (SHA-2) ne sont pas compatibles avec le Cisco Secure ACS puisqu'ils sont développés avec Java qui ne prend en charge pas SHA-2 dorénavant. Afin de résoudre ce problème, réinstallez le CA et configurez-le pour délivrer des Certificats avec SHA-1.

Conversations connexes de la communauté de soutien de Cisco

Le site Cisco Support Community est un forum où vous pouvez poser des questions, répondre à des questions, faire part de suggestions et collaborer avec vos pairs.


Informations connexes


Document ID: 43722