安全与 VPN : 远程验证拨入用户服务 (RADIUS)

EAP版本1.01证书指南

2015 年 8 月 28 日 - 机器翻译
其他版本: PDFpdf | 英语 (2015 年 4 月 22 日) | 反馈


目录


简介

本文澄清随附于多种证书类型、格式和需求关联与各种各样可扩展的认证协议(EAP)的某些混乱。五种证书类型与EAP涉及本文讨论是服务器、根CA,中间CA、客户端和计算机。这些证书被找到以多种格式,并且可以有不同于的需求关于根据EAP实施的每一个介入。

先决条件

要求

本文档没有任何特定的要求。

使用的组件

本文档不限于特定的软件和硬件版本。

规则

有关文档规则的详细信息,请参阅 Cisco 技术提示规则

服务器证书

服务器证书在RADIUS服务器安装,并且其在EAP的主要目的将创建保护认证信息的已加密传输层安全(TLS)通道。当您使用EAP-MSCHAPv2时,服务器证书承担是识别RADIUS服务器作为验证的一个可信的实体的辅助角色。此辅助角色通过使用是实现的增强密钥用法(EKU)字段。EKU字段识别证书作为有效的服务器证书并且验证发出证书的根CA是可信的根CA。这要求根CA证书的出现。Cisco Secure ACS要求证书是Base64-encoded或DER编码的二进制X.509 v3格式。

您能创建与二者之一的此证书使用一证书签名请求(CSR)在ACS,提交对CA。或者,您能也剪切与使用的证书内部的CA (类似Microsoft证书服务)证书创建表。请注意,而您能创建与的密钥大小的服务器证书大于1024,其中任一锁上大于1024不与PEAP一起使用。客户端暂停,即使验证通过。

如果创建与使用的证书CSR,创建与.cer、.pem或者.txt格式。极少数情况下,它创建没有分机。保证您的证书是与您能更改作为需要的分机的一个纯文本文本文件(ACS设备使用.cer或.pem分机)。另外,如果使用CSR,证书的专用密钥在您指定作为分离文件可能或可能没有分机,并且有一个密码关联与它(密码为ACS的安装要求)的路径创建。不管分机,请保证它是与您能更改作为需要的分机的一个纯文本文本文件(ACS设备使用.pvk或.pem分机)。如果路径没有为专用密钥指定, ACS在此目录保存在C:\Program Files \CiscoSecure ACS vx.x \ CsAdmin的密钥\日志目录并且查找,如果路径没有为专用密钥文件指定,当您安装证书时。

如果证书创建与使用Microsoft证书服务证书Submittal表,请保证您标记密钥,可导出,以便您能安装在ACS的证书。证书的创建极大如此简化安装过程。您在从存储设备的ACS能直接地安装它到从证书服务Web接口的适当的Windows存储然后安装与使用CN作为参考。在本地计算机计算机专卖店安装的证书在另一台计算机可能从Windows存储设备也导出和容易地安装。当此种证书导出时,密钥需要被标记作为可导出和给密码。证书在包括专用密钥和服务器证书的.pfx格式然后出现。

当正确地安装在Windows证书存储,服务器证书在证书(本地计算机)需要出现>个人>证书文件夹如在此示例窗口中看到。

http://www.cisco.com/c/dam/en/us/support/docs/security-vpn/remote-authentication-dial-user-service-radius/64062-eap-v101-cert-guide-1.gif

自签名证书是您创建,不用根或CA的半成品介入的证书。他们有同一个值在两个主题和发布者字段类似根CA证书。多数自签名证书使用X.509 v1格式。所以,他们不与ACS一起使用。然而,自版本3.3, ACS有能力创建您能使用EAP-TLS和PEAP的其自己的自签名证书。请勿使用极大密钥大小比1024兼容性与PEAP和EAP-TLS。如果使用一自签名证书,证书在证书(本地计算机)也操作作为根CA证书,并且必须安装>客户端的可靠的根证书颁发机构>证书文件夹,当您使用Microsoft EAP请求方时。它在服务器的可信的根证书存储自动地安装。然而,在ACS证书设置的证书信任列表必须仍然委托。欲知更多信息,请参阅根CA Certificates部分

由于自签名证书使用作为根CA证书服务器证书验证,当您使用Microsoft EAP请求方,并且,因为有效性周期不可能从一年默认增加,思科建议您只使用他们EAP作为临时测量,直到您能使用传统CA。

主题字段

主题字段识别证书。CN值用于确定发出对证书的常规选项卡的字段和带有您进入到证书主题字段ACS的" CSR对话或有从Name字段的信息的在Microsoft证书服务中的信息。CN值用于告诉ACS什么证书需要从本地设备证书存储使用,如果用于选项安装从存储设备的证书。

http://www.cisco.com/c/dam/en/us/support/docs/security-vpn/remote-authentication-dial-user-service-radius/64062-eap-v101-cert-guide-2.gif

发布者字段

发布者字段识别剪切证书的CA。请使用此值为了确定证书的常规选项卡的字段发出的值。它带有CA的名称。

http://www.cisco.com/c/dam/en/us/support/docs/security-vpn/remote-authentication-dial-user-service-radius/64062-eap-v101-cert-guide-3.gif

Enhanced Key Usage字段

Enhanced Key Usage字段识别证书的打算的目的并且需要列出作为“服务器验证”。当您使用Microsoft请求方PEAP和EAP-TLS时,此字段是必须。当您使用Microsoft证书服务时,这配置在与服务器验证证书的选择的独立CA从下拉式打算的目的和在与Web服务器的选择的企业CA从下拉式的认证模板。如果请求与使用的一证书CSR与Microsoft证书服务,您没有选项指定与独立CA的打算的目的。所以, EKU字段是缺少的。使用企业CA,您有下拉式打算的目的。一些CA不创建与EKU字段的证书,因此他们是无用的,当您使用Microsoft EAP请求方时。

eap-v101-cert-guide-4.gif

根CA证书

根CA证书的一个目的将识别服务器证书(和半成品CA证书如果适用)作为信任证书对ACS和对Windows EAP-MSCHAPv2请求方。在Windows的可靠的根证书颁发机构存储必须查找它在ACS服务器,并且,一旦EAP-MSCHAPv2,在客户端计算机。多数第三方根CA证书安装与Windows,并且有一点努力涉及与此。如果使用Microsoft证书服务,并且证书服务器在计算机和ACS一样,则根CA证书自动地安装。如果根CA证书没有在Windows的可靠的根证书颁发机构存储被找到,则必须从您的CA获取和安装。当正确地安装在Windows证书存储,根CA证书需要出现在证书(本地计算机) >可靠的根证书颁发机构>证书文件夹如在此示例窗口中看到。

http://www.cisco.com/c/dam/en/us/support/docs/security-vpn/remote-authentication-dial-user-service-radius/64062-eap-v101-cert-guide-5.gif

主题和发布者菲尔茨

主题和发布者字段识别CA并且需要正确地是相同的。请使用这些字段填充证书的常规选项卡的字段发出对和发出的。他们带有根CA的名称。

http://www.cisco.com/c/dam/en/us/support/docs/security-vpn/remote-authentication-dial-user-service-radius/64062-eap-v101-cert-guide-6.gif

半成品CA证书

半成品CA证书是您使用识别CA是辅助对根CA的证书。一些服务器证书(Verisign的无线证书)创建与使用中间CA。如果由中间CA剪切使用的服务器证书,在本地机器存储的半成品证书颁发机构地区ACS服务器的必须安装半成品CA证书。并且,如果Microsoft EAP请求方在客户端使用,根CA的根CA证书创建半成品CA证书必须也在ACS服务器和客户端的适当的存储,以便信任一系列可以设立。必须标记根CA证书和半成品CA证书作为委托在ACS和在客户端。多数中间CA证书没有安装与Windows,因此您很可能需要从供应商获取他们。当正确地安装在Windows证书存储,半成品CA证书在证书(本地计算机)出现>半成品证书颁发机构>证书文件夹如在此示例窗口中看到。

http://www.cisco.com/c/dam/en/us/support/docs/security-vpn/remote-authentication-dial-user-service-radius/64062-eap-v101-cert-guide-7.gif

主题字段

主题字段识别中间CA。此值用于确定发出对证书的常规选项卡的字段。

http://www.cisco.com/c/dam/en/us/support/docs/security-vpn/remote-authentication-dial-user-service-radius/64062-eap-v101-cert-guide-8.gif

发布者字段

发布者字段识别剪切证书的CA。请使用此值为了确定证书的常规选项卡的字段发出的值。它带有CA的名称。

http://www.cisco.com/c/dam/en/us/support/docs/security-vpn/remote-authentication-dial-user-service-radius/64062-eap-v101-cert-guide-9.gif

客户端证书

客户端证书用于确实地识别EAP-TLS的用户。他们没有在构建TLS通道的作用和没有使用加密。确认由之一三完成含义:

  • CN (或名称)比较—在证书的CN与在数据库的用户名比较。关于此比较类型的更多信息在证书的主题字段的说明包括。

  • SAN比较—在证书的SAN与在数据库的用户名比较。这自ACS 3.2只支持。关于此比较类型的更多信息在证书的附属的代替Name字段的说明包括。

  • 二进制比较—证书与在数据库存储的证书比较的二进制复制(仅AD和LDAP能执行此)。如果使用身份验证二进制比较,您必须存储在二进制格式的用户证书。并且,为通用的LDAP和活动目录,存储的属性证书必须是标准LDAP属性名为“用户证书”。

使用任何比较方法,信息在适当的域(CN或SAN)必须匹配您的数据库使用验证的名称。AD使用NetBIOS名称验证在混合模式和UPN在本地模式。

此部分与使用Microsoft证书服务讨论客户端证书生成。EAP-TLS要求一个唯一客户端证书为了每个用户能将验证。在每个用户的每台计算机必须安装证书。当适当地安装,证书在证书查找-当前用户>个人>证书文件夹如在此示例窗口中看到。

eap-v101-cert-guide-10.gif

发布者字段

剪切证书的发布者字段识别CA。请使用此值为了确定证书的常规选项卡的字段发出的值。这带有CA的名称。

http://www.cisco.com/c/dam/en/us/support/docs/security-vpn/remote-authentication-dial-user-service-radius/64062-eap-v101-cert-guide-11.gif

Enhanced Key Usage字段

Enhanced Key Usage字段识别证书的打算的目的并且需要包含客户端验证。当您使用Microsoft请求方PEAP和EAP-TLS时,此字段是必须。当您使用Microsoft证书服务时,这在独立CA配置,当您选择客户端身份验证证书从下拉式打算的目的和在企业CA时,当您选择从下拉式时的认证模板的用户。如果请求与使用的一证书CSR与Microsoft证书服务,您没有选项指定与独立CA的打算的目的。所以, EKU字段是缺少的。使用企业CA,您有下拉式打算的目的。一些CA不创建与EKU字段的证书。当您使用Microsoft EAP请求方时,他们是无用的。

http://www.cisco.com/c/dam/en/us/support/docs/security-vpn/remote-authentication-dial-user-service-radius/64062-eap-v101-cert-guide-12.gif

主题字段

此字段用于CN比较。列出的第一个CN对数据库比较查找匹配。如果找到匹配,验证成功。如果使用独立CA, CN带有什么您在Name字段放置以证书Submittal形式。如果使用企业CA, CN自动地带有帐户的名称如在激活目录用户和计算机控制台列出(这不一定匹配UPN或NetBIOS名称)。

http://www.cisco.com/c/dam/en/us/support/docs/security-vpn/remote-authentication-dial-user-service-radius/64062-eap-v101-cert-guide-13.gif

附属的代替Name字段

附属的代替Name字段用于SAN比较。列出的SAN对数据库比较查找匹配。如果找到匹配,验证成功。如果使用企业CA, SAN自动地带有活动目录登录名字@domain (UPN)。独立CA不包括SAN字段,因此您不能使用SAN比较。

http://www.cisco.com/c/dam/en/us/support/docs/security-vpn/remote-authentication-dial-user-service-radius/64062-eap-v101-cert-guide-14.gif

机器认证

当您使用计算机验证时,机器认证用于EAP-TLS确实地识别计算机。当您配置您的证书自动注册的Microsoft企业CA并且加入计算机对域时,您能只访问这些证书。当您在本地计算机计算机专卖店时,使用计算机的活动目录凭证并且安装他们证书自动地创建。已经是域的成员的计算机,在您下次前配置自动注册接收Windows重新启动的证书。机器认证在证书(本地计算机)安装>个人>证书(本地计算机) MMC管理单元的证书文件夹正如服务器证书。因为您不能导出专用密钥,您不能安装在任何其他计算机的这些证书。

主题和SAN菲尔茨

主题和SAN字段识别计算机。值由计算机的完全合格的名称填充和用于为了确定发出对证书的常规选项卡的字段并且是相同的为两个附属和SAN字段。

http://www.cisco.com/c/dam/en/us/support/docs/security-vpn/remote-authentication-dial-user-service-radius/64062-eap-v101-cert-guide-15.gif

发布者字段

发布者字段识别剪切证书的CA。请使用此值为了确定证书的常规选项卡的字段发出的值。它带有CA的名称。

http://www.cisco.com/c/dam/en/us/support/docs/security-vpn/remote-authentication-dial-user-service-radius/64062-eap-v101-cert-guide-16.gif

附录A -普通的证书扩展

.csr —这实际上不是证书,然而相当证书签名请求。它是与此格式的一个纯文本文本文件:

eap-v101-cert-guide-17.gif

.pvk —此分机表示专用密钥,虽然分机不保证内容实际上是专用密钥。内容需要是与此格式的纯文本:

eap-v101-cert-guide-18.gif

.cer —这是表示证书的一通用的分机。服务器、根CA和半成品CA证书可以在此格式。它通常是与您能更改的分机的一个纯文本文本文件,当您需要并且可以是DER或Base64格式。您能导入此格式到Windows证书存储。

.pem —此分机代表增强加密邮件。此分机是常用的与UNIX, Linux, BSD,等等。它通常使用服务器证书和专用密钥,并且通常是与您能更改的分机的一个纯文本文本文件,当您从.pem需要到.cer,以便您能导入它到Windows证书存储。

.cer和.pem文件的内部内容通常看起来象此输出:

eap-v101-cert-guide-19.gif

.pfx —此分机代表个人信息信息交换。此格式是您能使用捆绑证书到单个文件的方法。例如,您能捆绑服务器证书和其相关的专用密钥和根CA证书到一个文件和容易地导入文件到适当的Windows证书存储。它为服务器和客户端证书是最常用的。不幸地,如果根CA证书包括,根CA证书在当前用户存储总是安装而不是本地计算机计算机专卖店,即使本地计算机计算机专卖店为安装指定。

.p12 —此格式通常在客户端证书只看到。您能导入此格式到Windows证书存储。

.p7b —这是存储在一个文件的多份证书的另一个格式。您能导入此格式到Windows证书存储。

附录B -证书格式转换

在大多数情况下,证书转换发生,当您更改分机(例如,从.pem到.cer),因为证书通常在纯文本格式。有时,证书不在明文格式,并且您必须转换它与使用一个工具例如Opensslleavingcisco.com例如, ACS解决方案引擎不能安装在.pfx格式的证书。所以,您必须转换证书和专用密钥到一个可用的格式。这是Openssl的基本命令命令语法:

openssl pkcs12 -in c:\certs \test.pfx -out c:\certs \test.pem

提示对于导入密码和PEM通行证惯用语。这些密码需要是相同的并且是指定的专用密钥密码,当.pfx导出时。输出是在.pfx包括所有证书和专用密钥的单个.pem文件。此文件在ACS可以指证书,并且专用密钥文件和安装没有问题。

附录C -证书有效性期限

证书只是可用的在其有效性周期。根CA证书的有效性周期,当根CA设立并且能变化时,确定。确定一个半成品CA证书的有效性周期,当CA设立并且不可以超出它是辅助根CA的有效性周期时。服务器的有效性周期,客户端和机器认证自动地设置为有Microsoft证书服务的一年。这只更改,当您根据Microsoft知识库文章254632时删改Windows注册表leavingcisco.com 并且不可以超出根CA的有效性周期。ACS生成自签名证书的有效性周期总是一年,并且不可能更改在当前版本。

相关的思科支持社区讨论

思科支持社区是您提问、解答问题、分享建议以及与工作伙伴协作的论坛。


相关信息


Document ID: 64062