Sécurité : Cisco Secure Access Control Server pour Windows

Installer un certificat sur le dispositif Cisco Secure ACS pour les clients PEAP

17 décembre 2015 - Traduction automatique
Autres versions: PDFpdf | Anglais (22 août 2015) | Commentaires


Contenu


Introduction

Ce guide décrit des Certificats créés avec Microsoft CA et contient également des étapes pour quand vous utilisez un certificat de auto-signature, qui est pris en charge en date du Cisco Secure Access Control Server (ACS) 3.3. L’utilisation d’un certificat auto-signé simplifie considérablement l’installation initiale du protocole PEAP (Protected Extensible Authentication Protocol) puisqu’aucun CA externe n’est exigé. Cependant, à l’heure actuelle, la période d’expiration par défaut du certificat auto-signé est seulement d’un an et ne peut pas être changée. Il s’agit d’une caractéristique standard des certificats de serveur. Cependant, parce que le certificat auto-signé agit également en tant que certificat de CA de racine, ceci peut signifier l'installation du nouveau certificat sur chaque client chaque année où vous utilisez le suppliant de Microsoft à moins que vous ne vérifiiez pas l'option de certificat de serveur de validation. Cisco recommande de n’utiliser les certificats auto-signés que provisoirement, jusqu’à ce que vous puissiez utiliser un CA traditionnel. Si vous souhaitez utiliser un certificat auto-signé, passez à la section s’y rapportant.

Conditions préalables

Conditions requises

Aucune spécification déterminée n'est requise pour ce document.

Composants utilisés

Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :

  • Point d'accès de Cisco IOSÝ (AP) 12.02T1

  • Cisco Secure ACS pour Windows 3.1 et plus tard

  • Engine de solution de Cisco Secure ACS (expert en logiciel).

  • Microsoft Windows 2000 (SP3 et SP4) ou XP avec la version 6 ACU (si vous utilisez le Cisco Secure ACS 3.2 que l'ACU n'est pas exigés)

Les informations contenues dans ce document ont été créées à partir des périphériques d'un environnement de laboratoire spécifique. Tous les périphériques utilisés dans ce document ont démarré avec une configuration effacée (par défaut). Si votre réseau est opérationnel, assurez-vous que vous comprenez l'effet potentiel de toute commande.

Conventions

Pour plus d'informations sur les conventions utilisées dans ce document, reportez-vous à Conventions relatives aux conseils techniques Cisco.

Installation de Microsoft Certificate Service

Procédez comme suit :

  1. Choisissez le début > les configurations > le panneau de configuration.

  2. À l'intérieur du panneau de configuration, ouvrez l'Add/Remove Programs.

  3. Dans l'Add/Remove Programs, choisissez l'Add/Remove Windows Components.

  4. Vérifiez les services de certificat et cliquez sur Next. Clic oui au message IIS.

  5. Choisissez une racine autonome (ou entreprise) CA et cliquez sur Next.

  6. Donnez au CA un nom et cliquez sur Next. Toutes les autres cases sont facultatives.

    Remarque: Ne donnez pas au CA le même nom qu'un serveur de Cisco Secure ACS. Ceci peut faire échouer des clients PEAP authentification parce qu'ils obtiennent confus quand un certificat de CA de racine est trouvé avec le même nom que le certificat de serveur. Ce problème n'est pas seul aux clients de Cisco.

  7. Cliquez sur Next (Suivant).

  8. Cliquez sur Finish (Terminer).

    Remarque: Vous devez installer IIS avant que vous installiez le CA.

Cisco Secure ACS pour l'installation de certificat de fenêtre

Étape 1 : Créez un certificat de serveur

Terminez-vous ces étapes afin de créer un certificat de serveur.

  1. De votre serveur de Cisco Secure ACS, parcourez au CA http://IP_of_CA_server/certsrv/.

  2. Choisissez la demande une option de certificat et cliquez sur Next.

  3. Choisissez la demande avancée et cliquez sur Next.

  4. Choisissez soumettent une demande de certificat à ce CA utilisant une forme et cliquent sur Next.

  5. Type quelque chose dans la case du nom (NC).

  6. Choisissez le certificat d'authentification de serveur pour le but visé.

    Remarque: Choisissez le serveur Web sur la première liste déroulante si vous utilisez l'entreprise CA.

    • CSP — Microsoft Base Cryptographic Provider v1.0

    • Taille de clé — 1024**

      Remarque:  L'entreprise CA de Windows 2003 permet des tailles de clé plus grandes que 1024. Cependant, l'utilisation d'un principal plus en grande partie que 1024 ne fonctionne pas avec le PEAP. L'authentification pourrait sembler passer dans l'ACS, mais le client s'arrête juste tandis qu'il tente l'authentification.

    • Clés de coche comme exportables.

    • Mémoire d'ordinateur local d'utilisation de contrôle (logiciel ACS seulement).

    • Laissez tout d'autre comme par défaut et cliquez sur Submit.

    Un message est évident qu'énonce que votre demande de certificat a été reçue….

    Remarque: Les Certificats créés avec une taille de clé plus grande que 1024 ne fonctionnent pas.

Note 2

Remarque:  Microsoft a changé le modèle de serveur Web avec la release de l'entreprise CA de Windows 2003 de sorte que les clés ne soient plus exportables et l'option soit greyed. Il n'y a aucun autre modèle de certificat fourni avec des services de certificat qui sont pour l'authentification de serveur et donnent la capacité de marquer les clés car exportable qui sont disponibles dans le déroulant. Par conséquent, vous devez créer un nouveau modèle qui fait ainsi.

Procédez comme suit :

  1. Choisissez le Start > Run > le certtmpl.msc.

  2. Cliquez avec le bouton droit le modèle de serveur Web et choisissez le modèle en double.

  3. Nommez le modèle avec un nom il est facile l'identifier que.

  4. Allez à l'onglet de manipulation de demande et le contrôle permettent la clé privée à exporter.

  5. Cliquez sur en fonction le bouton de CSPs et vérifiez Microsoft Base Cryptographic Provider v1.0. Cliquez sur OK.

  6. Toutes autres options peuvent être laissées au par défaut.

  7. Cliquez sur Apply et APPROUVEZ.

  8. Ouvrez le CA MMC SNAP-dans.

  9. Cliquez avec le bouton droit les modèles de certificat et choisissez nouveau > modèle de certificat à émettre.

  10. Choisissez le nouveau modèle que vous avez créé et cliquez sur OK.

  11. Redémarrez le CA.

Les services de certificat peuvent également donner pour créer l'erreur d'objet « CertificateAuthority.Request » quand une tentative est faite pour créer un nouveau certificat. Terminez-vous ces étapes afin de corriger cette question :

  1. Choisissez le début > les outils d'administration > l'IIS.

  2. Développez les sites Web > le site Web de par défaut.

  3. Cliquez avec le bouton droit CertSrv et choisissez Properties.

  4. Cliquez sur le bouton configuration dans la section de configurations d'application de l'onglet de répertoire virtuel.

  5. Allez aux options onglet et à l'état de session d'enable de contrôle.

  6. Tout autrement peut être conservé.

  7. Cliquez deux fois sur OK.

  8. Reprise IIS.

    Si votre navigateur verrouille avec un ActiveX le téléchargeant de message de contrôle, exécutez la difficulté discutée dans les arrêts d'Internet Explorer de document de Microsoft répondant au message « de contrôle ActiveX de téléchargement » quand vous essayez d'utiliser un serveur de certificatleavingcisco.com . Si le champ CSP énonce seulement le chargement…., assurez-vous que vous n'exécutez pas un pare-feu logiciel sur l'ordinateur qui soumet la demande.

Étape 2 : Approuvez le certificat du CA

Procédez comme suit :

  1. Ouvrez le CA et le chooseStart > les programmes > les outils d'administration > l'autorité de certification.

  2. Du côté gauche, développez le certificat, puis cliquez sur en attendant des demandes.

  3. Cliquez avec le bouton droit sur le certificat, choisissez toutes les tâches, et choisissez la question.

Étape 3 : Téléchargez le certificat de serveur au serveur de Cisco Secure ACS

Procédez comme suit :

  1. De votre serveur de Cisco Secure ACS, parcourez au CA - répertoire de http://IP_of_CA_server/certsrv/.

  2. Choisissez le contrôle sur un certificat en attente et cliquez sur Next.

  3. Sélectionnez le certificat et cliquez sur Next.

  4. Cliquez sur Install.

Étape 4 : Installez le certificat de CA sur le serveur de Cisco Secure ACS

Procédez comme suit :

Remarque: Cette étape n'est pas exigée si le Cisco Secure ACS et le CA sont installés sur le même serveur.

  1. De votre serveur de Cisco Secure ACS, parcourez au CA - répertoire de http://IP_of_CA_server/certsrv/.

  2. Choisissez récupèrent le certificat de CA ou la liste des révocations de certificat et cliquent sur Next.

  3. Choisissez l'encodedand de la base 64 cliquent sur Download le certificat de CA.

  4. Cliquez sur ouvert et choisissez installent le certificat.

  5. Cliquez sur Next (Suivant).

  6. Choisissez l'endroit tous les Certificats dans la mémoire suivante et le clic parcourent.

  7. Cochez la case physique de mémoires d'exposition.

  8. Développez les Autorités de certification racine approuvée, choisissez l'ordinateur local, et cliquez sur OK.

  9. Cliquez sur Next, terminez, et cliquez sur OK pour l'importation était case réussie.

Étape 5 : Cisco Secure ACS d'installation pour utiliser le certificat de serveur

Procédez comme suit :

  1. Sur le serveur de Cisco Secure ACS, configuration système de clic.

  2. Choisissez l'installation de certificat ACS et installez le certificat ACS.

  3. Choisissez le certificat d'utilisation de la mémoire.

  4. Introduisez dedans le nom NC et cliquez sur Submit.

  5. Sur le serveur de Cisco Secure ACS, configuration système de clic.

  6. Choisissez l'installation de certificat ACS et éditez la liste de confiance de certificat.

  7. Cochez la case pour le CA et cliquez sur Submit.

Installation de certificat d'appareils de Cisco Secure ACS

Étape 1 : Créez une demande de signature de certificat

Procédez comme suit :

  1. Choisissez la configuration système > le certificat ACS installés > génèrent la demande de signature de certificat.

  2. Écrivez un nom dans le domaine de certificat avec le format de cn=name.

  3. Écrivez un nom pour le fichier principal privé.

    Remarque: Le chemin à la clé privée est caché dans ce domaine. Si vous appuyez sur soumettez une deuxième fois après que le CSR soit créé, la clé privée est remplacé et n'apparie pas le CSR d'original. Ce résultat dans une clé privée n'apparie pas le message d'erreur quand vous tentez d'installer le certificat de serveur.

  4. Entrez le mot de passe de clé privée et confirmez-le.

  5. Choisissez une longueur principale de 1024.

    Remarque: Tandis que le Cisco Secure ACS peut générer des tailles de clé plus grandes que 1024, l'utilisation d'un principal plus en grande partie que 1024 ne fonctionne pas avec le PEAP. L'authentification pourrait sembler passer dans le Cisco Secure ACS, mais le client s'arrête tandis que l'authentification est tentée.

  6. Cliquez sur Submit

  7. Copiez le CSR sorti du côté droit pour la soumission sur le CA.

Étape 2 : Créez un certificat de serveur avec votre CSR

Procédez comme suit :

  1. De votre ftp server, parcourez au CA - répertoire de http://IP_of_CA_server/certsrv/.

  2. Choisissez la demande une option de certificat et cliquez sur Next.

  3. Choisissez la demande avancée et cliquez sur Next.

  4. Choisissez soumettent une demande de certificat utilisant un fichier PKCS encodé par base64 #10 ou une demande de renouvellement utilisant un fichier PKCS encodé par base64 #7.

  5. Collez la sortie de la demande de signature de certificat dans le champ encodé par Base64 de demande de certificat et cliquez sur Submit.

  6. Cliquez sur Download CA certificate.

  7. Cliquez sur la sauvegarde, nommez le certificat, et sauvegardez-le à votre répertoire de FTP.

Étape 3 : Certificat de CA de téléchargement à votre ftp server

Procédez comme suit :

Remarque: Si vous ignorez ces étapes, il a comme conséquence l'un ou l'autre qui ne peut pas activer le PEAP. Vous recevez également une erreur que le certificat de serveur n'est pas installé quoiqu'il soit ou vous recevez une panne non configurée de type d'EAP dans les essais ratés quoique le type d'EAP soit configuré.

Remarque: Notez également que si votre certificat de serveur est créé utilisant une intermédiaire CA, vous devez répéter ces étapes pour chaque CA dans la chaîne entre la racine CA et le certificat de serveur, qui inclut le certificat de CA de racine.

  1. De votre ftp server, parcourez au CA - répertoire de http://IP_of_CA_server/certsrv/.

  2. Choisissez récupèrent le certificat de CA ou la liste des révocations de certificat et cliquent sur Next.

  3. Choisissez la base 64 encodée et cliquez sur Download le certificat de CA.

  4. Cliquez sur la sauvegarde et nommez le certificat. Sauvegardez-le à votre répertoire de FTP.

Étape 4 : Installez le certificat de CA sur votre appliance

Procédez comme suit :

Remarque: Si vous ignorez ces étapes, il a comme conséquence l'un ou l'autre qui ne peut pas activer le PEAP. Vous recevez également une erreur que le certificat de serveur n'est pas installé quoiqu'il soit ou vous recevez une panne non configurée de type d'EAP dans les essais ratés quoique le type d'EAP soit configuré.

Remarque: Notez également que si votre certificat de serveur est créé utilisant une intermédiaire CA, vous devez répéter ces étapes pour chaque CA dans la chaîne entre la racine CA et le certificat de serveur, qui inclut le certificat de CA de racine.

  1. Choisissez la configuration système > le certificat ACS installés > installation d'autorité de certification ACS.

  2. Cliquez sur Download le fichier de certificat de CA.

  3. Tapez l'adresse IP ou l'adresse Internet du ftp server dans le domaine serveur ftp.

  4. Tapez un nom d'utilisateur valide que le Cisco Secure ACS peut employer afin d'accéder au ftp server dans le domaine de procédure de connexion.

  5. Tapez le mot de passe de l'utilisateur dans le domaine de mot de passe.

  6. Tapez le chemin relatif à partir du répertoire racine serveur ftp au répertoire qui contient le fichier de certificat de CA dans le domaine distant de répertoire de FTP.

  7. Introduisez le nom du fichier de certificat de CA dans le domaine distant de nom du fichier de FTP.

  8. Cliquez sur Submit.

  9. Vérifiez le nom du fichier dans le domaine et cliquez sur Submit.

  10. Redémarrez les services ACS dans la configuration système > le contrôle des services.

Étape 5 : Installez le certificat de serveur sur votre appliance

Procédez comme suit :

  1. Choisissez l'installation de configuration système > de certificat ACS.

  2. Le clic installent le certificat ACS.

  3. Choisissez le certificat lu de l'option de fichier et puis cliquez sur le lien de fichier du certificat de téléchargement.

  4. Tapez l'adresse IP ou l'adresse Internet du ftp server dans le domaine serveur ftp.

  5. Tapez un nom d'utilisateur valide que le Cisco Secure ACS peut employer afin d'accéder au ftp server dans le domaine de procédure de connexion.

  6. Tapez le mot de passe de l'utilisateur dans le domaine de mot de passe.

  7. Tapez le chemin relatif à partir du répertoire racine serveur ftp au répertoire qui contient le fichier du certificat de serveur dans le domaine distant de répertoire de FTP.

  8. Introduisez le nom du fichier du certificat de serveur dans le domaine distant de nom du fichier de FTP.

  9. Cliquez sur Submit.

  10. Entrez dans le chemin à la clé privée.

  11. Entrez le mot de passe pour la clé privée.

  12. Cliquez sur Submit.

certificat Auto-signé installé (seulement si vous n'utilisez pas un CA externe)

Remarque: Quand vous testez dans le laboratoire avec les Certificats auto-signés, il a comme conséquence un plus long temps d'authentification la première fois qu'un client authentifie avec le suppliant de Microsoft. Toutes les authentifications ultérieures sont bien.

Procédez comme suit :

  1. Sur le serveur de Cisco Secure ACS, configuration système de clic.

  2. Installation de certificat du clic ACS.

  3. Certificat Auto-signé Generate de clic.

  4. Tapez quelque chose dans le domaine de certificat précédé par le cn=, par exemple, cn=ACS33.

  5. Introduisez le chemin d'accès complet et le nom du certificat que vous voulez pour créer, par exemple, c:\acscert \acs33.cer.

  6. Introduisez le chemin d'accès complet et le nom du fichier principal privé que vous voulez pour créer, par exemple, c:\acscert \acs33.pvk.

  7. Entrez et confirmez le mot de passe de clé privée.

  8. Choisissez 1024 du menu déroulant de longueur principale.

    Remarque: Tandis que le Cisco Secure ACS peut générer des tailles de clé plus grandes que 1024, l'utilisation d'un principal plus en grande partie que 1024 ne fonctionne pas avec le PEAP. L'authentification pourrait sembler passer dans ACS, mais le client s'arrête tandis que l'authentification est tentée.

  9. Certificat généré Install de contrôle.

  10. Cliquez sur Submit.

Configurez les configurations globales d'authentification

Procédez comme suit :

  1. Sur le serveur de Cisco Secure ACS, configuration système de clic.

  2. Installation globale d'authentification de clic.

      Pour la version 3.2 et ultérieures de Cisco Secure ACS

    1. Le contrôle permettent EAP-MSCHAPv2 si vous utilisez Microsoft PEAP.

    2. Le contrôle permettent EAP-GTC si vous utilisez Cisco PEAP.

    3. Le contrôle permettent l'authentification de version 1 MS-CHAP.

    4. Le contrôle permettent l'authentification de version 2 MS-CHAP.

    5. Cliquez sur Submit et redémarrez.

      Pour la version 3.1 de Cisco Secure ACS

    1. Le contrôle permettent le PEAP.

    2. Le contrôle permettent l'authentification de version 1 MS-CHAP.

    3. Le contrôle permettent l'authentification de version 2 MS-CHAP.

    4. Cliquez sur Submit et redémarrez.

Installez AP sur le Cisco Secure ACS

Procédez comme suit :

  1. Sur le serveur de Cisco Secure ACS, cliquez sur Network Configuration.

  2. Cliquez sur Add l'entrée afin d'ajouter un client d'AAA.

  3. Complétez ces cases :

    • Adresse IP de client d'AAA — IP_of_your_AP

    • Clé — Composez une clé, et assurez-vous que ceci s'assortit sur le secret partagé par AP.

    • Authentifiez utilisant — RAYON (Cisco Aironet)

  4. Cliquez sur Submit et redémarrez.

    Remarque: Aucun des par défaut sur l'installation de client d'AAA n'a été changé.

Configurez AP

Avec VxWorks

Procédez comme suit :

  1. Ouvrez AP et choisissez l'installation > la Sécurité > le serveur d'authentification.

    1. Écrivez l'adresse IP de Cisco Secure ACS.

    2. Écrivez le secret partagé, qui doit apparier la CLÉ dans le Cisco Secure ACS.

    3. Authentification EAP de contrôle.

    4. Cliquez sur OK.

  2. Choisissez l'installation > la Sécurité > le chiffrement de données de radio.

    1. Le contrôle ouvert et le Network-EAP pour reçoivent le type d'authentification.

    2. Le contrôle ouvert pour exigent l'EAP.

    3. Placez la clé WEP 1 et choisissez le bit 128 si vous n'utilisez pas la rotation de clé d'émission.

    4. Changez l'utilisation du chiffrement de données par des stations au chiffrement complet. Si vous ne pouvez pas changer l'utilisation du chiffrement de données, cliquez sur Apply d'abord.

    5. Cliquez sur OK.

Avec l'interface web du Cisco IOS AP

Procédez comme suit :

  1. Ouvrez AP et choisissez le Security > Server Manager.

    1. Choisissez le RAYON du déroulant en cours de liste de serveur.

    2. Écrivez l'adresse IP de Cisco Secure ACS.

    3. Écrivez le secret partagé, qui doit apparier la « CLÉ » dans le Cisco Secure ACS.

    4. Authentification EAP de contrôle.

    5. Cliquez sur OK sur le dialogue d'avertissement et puis cliquez sur Apply.

  2. Choisissez le Security > SSID Manager.

    Remarque: La configuration diffère si vous utilisez le WPA. Voyez l'annexe de Gestion de clé WPA à la fin de ce document pour des détails.

    1. Choisissez le SSID de la liste du courant SSID ou écrivez un nouveau SSID dans le champ SSID.

    2. Vérifiez l'authentification ouverte et choisissez avec l'EAP du menu déroulant.

    3. EAP de réseau de contrôle.

    4. Laissez toutes autres valeurs à leurs par défaut et cliquez sur Apply.

  3. Choisissez Security > Encryption Manager.

    Remarque: La configuration diffère si vous utilisez le WPA. Voyez l'annexe de Gestion de clé WPA à la fin de ce document pour des détails.

    1. Cliquez sur la case d'option de cryptage WEP et choisissez obligatoire du déroulant.

    2. Cliquez sur la case d'option de la clé de chiffrement 1 et introduisez la clé dans le domaine.

    3. Choisissez le bit 128 du déroulant de taille de clé.

    4. Cliquez sur Apply.

Remarque: L'EAP de réseau est exigé si vous installez l'ACU.

Remarque: Si vous utilisez la rotation principale d'émission, vous n'avez pas besoin de placer une clé puisque la clé devrait déjà être placée. Si la clé n'est pas placée, choisissez l'avance d'installation > de radio et placez une valeur pour la rotation de clé d'émission. Il n'y a aucun besoin de placer ceci puis des cinq minutes inférieures (300 secondes). Une fois que la valeur est placée, cliquez sur OK et allez de nouveau dans la page par radio de chiffrement de données.

Installez la version 6 ACU (seulement si vous utilisez le Cisco Secure ACS 3.1 ou si vous avez besoin d'EAP-GTC)

Vous devez sélectionner la COUTUME installez parce que le suppliant de Cisco PEAP n'est pas installé par l'installation exprès. Vous pouvez dire si le suppliant de Cisco est installé quand vous regardez l'EAP saisissez l'onglet d'authentification de vos propriétés de connexion réseau. S'il apparaît comme PEAP, c'est le suppliant de Microsoft PEAP. S'il apparaît en tant que juste PEAP, alors vous utilisation le suppliant de Cisco PEAP.

Installez le certificat de CA de racine pour le client (seulement pour EAP-MSCHAP-V2)

Si vous utilisez le certificat de Microsoft CA

Procédez comme suit :

  1. Du PC client, parcourez au CA - http://IP_of_CA_server/certsrv/.

  2. Choisissez récupèrent un certificat de CA et cliquent sur Next.

  3. Choisissez le codage Base64 et téléchargez le certificat de CA.

  4. Le clic ouvert et choisi installent le certificat.

  5. Cliquez sur Next (Suivant).

  6. Choisissez l'endroit tous les Certificats dans la mémoire suivante et puis cliquez sur parcourent.

  7. Cochez la case physique de mémoires d'exposition.

  8. Développez les Autorités de certification racine approuvée, choisissez l'ordinateur local, et cliquez sur OK.

  9. Cliquez sur Next, cliquez sur Finish, et cliquez sur OK pour l'importation était case réussie.

Si vous utilisez un certificat Auto-signé de Cisco Secure ACS

Procédez comme suit :

  1. Copiez le certificat de son emplacement sur le client.

  2. Cliquez avec le bouton droit le fichier de .cer et le clic installent le certificat.

  3. Cliquez sur Next (Suivant).

  4. Choisissez l'endroit tous les Certificats dans la mémoire suivante et le clic parcourent.

  5. Mémoires d'examen médical d'exposition de contrôle.

  6. Développez les Autorités de certification racine approuvée, sélectionnez l'ordinateur local, et cliquez sur OK.

  7. Cliquez sur Next, cliquez sur Finish, et cliquez sur OK.

    Remarque:  Installez AP pour le Cisco Secure ACS est exigé pour chaque client si vous utilisez EAP-MSCHAP-V et avez les propriétés PEAP de Windows dedans coché par case de certificat de serveur de validation.

Installez le client pour le PEAP

Windows XP SP1 ou fournisseur de services d'installation pour le PEAP

Procédez comme suit :

Remarque: Cette configuration diffère si vous utilisez le WPA. Voyez la section Gestion de clé WPA de ce document pour des détails.

Remarque: Les Windows XP SP2 ont actuellement des problèmes avec l'authentification PEAP aux serveurs de RAYON autres qu'IAS. Ceci est documenté à KB885453 et à Microsoftleavingcisco.com a un correctif disponible sur demande.

  1. Les connexions de réseau ouvert sur le panneau de configuration et choisissent le début > le panneau de configuration).

  2. Cliquez avec le bouton droit le réseau Sans fil et choisissez Properties.

  3. Sur l'onglet de réseau Sans fil, assurez-vous que des fenêtres d'utilisation à configurer… est vérifiée.

  4. Si vous voyez le SSID dans la liste, cliquez sur Configure. Sinon, cliquez sur Add.

  5. Mettez dans le SSID et vérifiez le WEP et la clé est donné pour moi automatiquement.

  6. Choisissez l'onglet d'authentification et assurez-vous que contrôle d'accès au réseau d'enable utilisant… est vérifié.

  7. Choisissez l'EAP protégé et cliquez sur Properties pour le type d'EAP.

  8. Cochez la case pour le CA sous le certificat racine de confiance.

  9. Cliquez sur OK trois fois.

Installation Windows XP pour le certificat (sans SP1)

Procédez comme suit :

  1. Les connexions de réseau ouvert sur le panneau de configuration et choisissent le début > le panneau de configuration).

  2. Cliquez avec le bouton droit le réseau Sans fil et choisissez Properties.

  3. Sur l'onglet de réseau sans fil, assurez-vous que des fenêtres d'utilisation à configurer… est vérifiée.

  4. Choisissez l'onglet d'authentification et assurez-vous que contrôle d'accès au réseau d'enable utilisant… est vérifié.

  5. Choisissez le PEAP et cliquez sur Properties pour le type d'EAP.

  6. Cochez la case pour le CA sous le certificat racine de confiance.

  7. Cliquez sur OK trois fois.

Windows 2000 d'installation pour le PEAP

Procédez comme suit :

  1. Si vous exécutez SP3, téléchargez et installez le correctif de 802.1xleavingcisco.com de Microsoft. Ceci n'est pas exigé pour le SP4.

  2. Choisissez les connexions de début > de panneau de configuration > de réseau et de connexion à distance.

  3. Cliquez avec le bouton droit votre connexion Sans fil et choisissez Properties.

  4. Cliquez sur en fonction l'onglet d'authentification.

    Remarque: S'il n'y a aucun onglet d'authentification le service de 802.1X est installé dans un handicapé énoncent. Afin de résoudre ceci, vous devez activer le service de configuration Sans fil dans la liste des services :

    1. Cliquez avec le bouton droit mon ordinateur et le clic gèrent.

    2. Choisissez les services > les applications et cliquez sur les services.

    3. Placez la valeur de démarrage pour le service à automatique, et puis commencez le service.

    Remarque: Si l'onglet d'authentification est présent mais est indisponible, ceci indique que le gestionnaire d'adaptateur réseau ne prend en charge pas le 802.1x correctement. Vérifiez la liste en bas de la page de correctifleavingcisco.com de 802.1x ou le site Web de constructeur pour les gestionnaires pris en charge.

  5. Contrôle d'accès au réseau d'enable de contrôle utilisant le 802.1x d'IEEE.

  6. Choisissez le PEAP du menu déroulant de type d'EAP et cliquez sur OK.

Si vous utilisez l'ACU

Procédez comme suit :

  1. Ouvrez l'ACU.

  2. Choisissez gèrent le profil et créent un profil ou éditent un.

  3. Mettez dans le nom de client et le SSID d'AP.

  4. Choisissez l'onglet Sécurité réseau.

  5. Choisissez l'EAP géré par le système central pour le type de sécurité des réseaux.

  6. Choisissez les clés WEP dynamiques d'utilisation pour le WEP.

  7. Cliquez deux fois sur OK.

  8. Choisissez le profil que vous avez créé.

    Remarque: Si vous utilisez le suppliant de Cisco, sur l'onglet d'authentification vous avez seulement le PEAP. Si vous utilisez le suppliant de Microsoft, il énonce l'EAP protégé (PEAP).

    Remarque: Il y a très un long délai d'attente avant que les essais de client à s'associer à AP (environ une minute), qui peut être partiellement allégé avec le module Sans fil de remontée pyramidale de mise à jour pour Windows XP soit correctifleavingcisco.com disponible de Microsoft. Ce correctif peut potentiellement réinstaller le suppliant EAP- MSCHAPv2 qui empêche les types de base de données compatibles EAP-GTC de fonctionner.

    Remarque: Si vous n'obtenez pas associé, essai pour désactiver et puis réactiver la carte.

Mobile de Windows 2003 d'installation pour le PEAP

Procédez comme suit :

  1. Installez la dernière release de l'ACU de Cisco pour le Windows CE et soyez sûr d'installer le suppliant PEAP pendant l'installer.

  2. Ouvrez l'ACU et choisissez le <External Settings> du menu déroulant actif de profil.

  3. Insérez votre carte réseau de Cisco, cliquez sur en fonction l'icône réseau sur la barre des tâches, et le sélectionnez Settings > a avancé > carte réseau.

  4. Cliquez sur en fonction votre SSID (si disponible) ou ajoutez les nouveaux paramètres.

  5. Vérifiez le SSID dans la zone d'identification de réseau et le réseau pour se connecter à.

  6. Cliquez sur en fonction l'onglet d'authentification.

  7. Le chiffrement de données de contrôle (WEP) et la clé est donné pour moi…."

  8. Signez le réseau access...802.1x d'enable et choisissez Cisco PEAP.

  9. Le clic Properties et le contrôle valident le certificat de serveur (facultatif).

    Remarque: Quand vous vérifiez cette option, elle exige que vous installez le certificat de CA de racine sur le PocketPC. Le Windows Mobile n'inclut pas une bonne méthode que vous pouvez employer pour importer/gérez des Certificats. Il y a un certain nombre d'utilitaires disponiblesleavingcisco.com . Ces utilitaires ne sont pas pris en charge par Cisco. Importer un certificat de CA de racine manuellement n'est pas exigé quand vous utilisez l'ACU, puisque le suppliant de Cisco PEAP l'importe pour vous. Aucune version des Certificats auto-signés par prises en charge de système d'exploitation de PocketPC à ce moment ainsi vous ne peut importer les Certificats auto-signés dans PocketPC pour la validation. Vous pouvez encore utiliser un certificat auto-signé si vous décochez l'option de certificat de serveur de validation.

  10. Cliquez sur OK jusqu'à ce que vous soyez de retour à l'écran de réseaux sans fil de configurer.

  11. Cliquez sur Connect.

Annexe d'authentification de machine

Le but de l'authentification de machine est de permettre l'authentification EAP et la connexion réseau à établir avant l'authentification de l'utilisateur de sorte que les scripts de connexion puissent fonctionner et un utilisateur puisse se connecter un domaine. L'adhésion de domaine est exigée pour que des qualifications d'ordinateur soient établies et authentification pour avoir lieu.

Installation ACS pour permettre l'authentification de machine

Procédez comme suit :

  1. Choisissez les bases de données d'utilisateur externe > la configuration de base de données.

  2. Cliquez sur la base de données de Windows et choisissez configurent.

  3. Authentification de machine de l'enable PEAP de contrôle.

  4. Cliquez sur Submit.

Installez le client pour l'authentification de machine

Joignez le domaine (sinon déjà un membre du domaine)

Procédez comme suit :

  1. Connectez-vous dans Windows avec un compte qui a des privilèges d'administrateur.

  2. Cliquez avec le bouton droit sur mon ordinateur et choisissez Properties.

  3. Choisissez l'onglet de nom de l'ordinateur et cliquez sur la modification.

  4. Entrez dans le nom d'hôte dans le domaine de nom de l'ordinateur.

  5. Choisissez le domaine, écrivez le nom du domaine, et cliquez sur OK.

  6. Afin de joindre le domaine, affichages d'une boîte de dialogue de connexion. Ouvrez une session avec un compte qui a l'autorisation de joindre le domaine.

  7. Une fois que l'ordinateur joint avec succès le domaine, redémarrez l'ordinateur. L'ordinateur est un membre du domaine, et a les qualifications d'authentification été en pourparlers avec le domaine qui sont seulement connues par le SYSTÈME D'EXPLOITATION. Dans le Cisco Secure ACS, le nom d'utilisateur apparaît comme hôte/adresse Internet.

Suppliant de l'installation PEAP pour l'authentification de machine

Procédez comme suit :

  1. Des connexions choisissez de début > de panneau de configuration réseau ouvert sur le panneau de configuration.

  2. Cliquez avec le bouton droit la connexion réseau et choisissez Properties.

  3. Choisissez l'onglet d'authentification et le contrôle authentifient comme ordinateur.

Annexe de Gestion de clé WPA

Écrit pour le Cisco IOS AP 12.02(13)JA1, le Cisco Secure ACS 3.2, et les Windows XP SP1 avec le correctif WPA.

Remarque:  Les clients de Windows 2000 ne prennent en charge pas à la façon des indigènes la Gestion de clé WPAleavingcisco.com . Vous devez employer le logiciel client du constructeur afin d'obtenir ce support :

Remarque: L'ACU de Cisco ne prend en charge pas la Gestion de clé WPA pour l'EAP géré par le système central (EAP-TLS et PEAP) à ce moment. Vous devez installer un client de tiers tel que le client de client d'odyssée de trouille ou d'ÉGIDE de temple. Référez-vous au support WPA pour plus d'informations sur le soutien WPA des Produits Cisco.

Remarque: Notez également que les gestionnaires installés pour des cartes de Cisco par la version pocket pc de l'ACU ne prennent en charge pas le WPA à ce moment. Le WPA ne fonctionne pas pour des clients de Cisco sur un PocketPC même avec un suppliant de tiers.

Configurez AP

Procédez comme suit :

  1. Choisissez Security > Encryption Manager.

    1. Le chiffrement de ChooseWEP et choisissent le TKIP du déroulant.

    2. Cliquez sur Apply.

  2. Choisissez le Security > SSID Manager.

    1. Choisissez le SSID de la liste du courant SSID ou écrivez un nouveau SSID dans le champ SSID.

    2. Vérifiez l'authentification ouverte et choisissez avec l'EAP du menu déroulant.

    3. EAP de réseau de contrôle.

    4. Sous l'Authenticated Key Management, choisissez obligatoire du menu déroulant et cliquez sur le WPA.

    5. Cliquez sur Apply.

Installez les Windows XP SP1 (le KB826942 étant installé) ou le client SP2 pour le PEAP et le WPA

Procédez comme suit :

  1. Des connexions choisissez de début > de panneau de configuration réseau ouvert sur le panneau de configuration.

  2. Cliquez avec le bouton droit le réseau Sans fil et choisissez Properties.

  3. Sur l'onglet de réseau sans fil, assurez-vous que des fenêtres d'utilisation à configurer… est vérifiée.

  4. Si vous voyez le SSID dans la liste, cliquez sur Configure. Sinon, cliquez sur Add.

  5. Mettez dans le SSID et choisissez le WPA pour l'authentification de réseau et le TKIP pour le chiffrement de données.

  6. Choisissez l'onglet d'authentification et assurez-vous que le contrôle d'accès au réseau d'enable utilisant… est vérifié.

  7. Choisissez l'EAP protégé et cliquez sur Properties pour le type d'EAP.

  8. Cochez la case pour le CA sous le certificat racine de confiance.

  9. Cliquez sur OK trois fois.

Vérifiez

Aucune procédure de vérification n'est disponible pour cette configuration.

Dépannez

Problème 1

Cette erreur se produit pendant l'installation/authentification de certificat avec ACS.

Unsupported private key file format
Failed to initialize PEAP or EAP-TLS authentication protocol because ACS certificate is
not installed

Solution

L'erreur se produit parce que le certificat de PEAP n'est pas installé properally. Retirez le certificat et installez le nouveau certificat auto-signé afin de résoudre le problème.

Problème 2

Cette erreur se produit pendant l'installation/authentification de certificat avec ACS.

Failed to initialize PEAP or EAP-TLS authentication protocol because CA certificate is
 not installed.

Solution

Afin de résoudre l'erreur, installez le certificat de CA utilisant l'installation d'autorité de certification ACS. Cette erreur se produit en raison du certificat de CA incorrect si le certificat auto-signé n'est pas utilisé.

Problème 3

Cette erreur se produit quand la mise à jour ACS est faite.

A required certificate is not within its validity period when verifying 
against the current system clock or the timestamp in the signed file.
(800B0101)

Solution

Cette erreur se produit quand la mise à niveau de logiciel ACS est faite si vous n'améliorez pas le logiciel de gestion. Exécutez la mise à jour de logiciel de gestion et alors la mise à niveau de logiciel ACS afin de résoudre le problème. Référez-vous à améliorer la section d'appareils de gérer l'appliance de Cisco Secure ACS pour plus d'informations sur la façon améliorer ACS.

Problème 4

Cette erreur se produit pendant l'installation de certificat avec ACS.

Private key you've selected doesn't fit to this certificate

Solution

La plupart de cause classique de ceci remplace accidentellement la clé privée par génèrent un nouveau CSR.

Vérifiez ces informations :

  1. Vous chargez le certificat correct comme le certificat ACS.

  2. La longueur principale de bar RSA est 1024 bits pendant la création de la demande.

  3. Vous utilisez le CN=string complet quand vous générez le CSR.

Conversations connexes de la communauté de soutien de Cisco

Le site Cisco Support Community est un forum où vous pouvez poser des questions, répondre à des questions, faire part de suggestions et collaborer avec vos pairs.


Informations connexes


Document ID: 64067