无线 : Cisco Wireless LAN Controller Software

局部重要的证书(LSC)与WLC和Windows服务器2012配置示例

2016 年 10 月 24 日 - 机器翻译
其他版本: PDFpdf | 英语 (2015 年 8 月 22 日) | 反馈

简介

本文描述如何配置局部重要的证书(LSC)与无线局域网控制器(WLC)和一新安装的MS Windows服务器2012个R2。

注意:实时部署在许多点也许有所不同,并且您应该有设置的完全控制和知识在MS Windows服务器2012的。此配置示例为Cisco用户只提供,参考模板实现和适用他们的MS Windows服务器配置为了做LSC工作。

贡献用罗马Manchur和尼古拉斯Darchis, Cisco TAC工程师。

先决条件

要求

若需要您应该了解做的每个变化在MS Windows服务器上和检查相关Microsoft文档。

使用的组件

本文档中的信息基于以下软件和硬件版本:

  • WLC版本7.6
  • MS Windows服务器2012个R2

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您使用的是真实网络,请确保您已经了解所有命令的潜在影响。

配置

MS Windows服务器配置

此配置在一新安装的MS Windows服务器2012显示如执行。您必须适应步骤您的域和您的配置。

  1. 安装活动目录角色的域服务并且以向导为特色。



    1. 在安装以后,您必须促进服务器到域控制器。



    2. 因为这是一个新的设置,您配置一个新的森林;但是典型地在现有部署,您配置在现有的域控制器的这些点。这里,您选择LSC2012.com域。这激活域名服务器(DNS)功能。


  2. 在重新启动,安装Certificate Authority (CA)服务后以及Web登记。



    1. 配置他们。



    2. 选择企业CA并且留下一切作为默认。



  3. 点击Microsoft Windows/开始菜单

    1. 点击管理工具
    2. 点击激活目录用户和计算机
    3. 展开域,用鼠标右键单击用户文件夹,并且选择新的对象>用户



    4. 在本例中,它被命名APUSER。一旦创建,您必须编辑用户和点击MemberOf选项卡,并且做它成员IIS_IUSRS组。


  4. 安装网络设备登记服务(NDES)。



    • 选择IIS_USRS组的帐户成员,在本例中的APUSER,作为NDES的服务帐户。


  5. 导航到管理工具。

    1. 点击互联网信息服务(IIS)
    2. 展开Server>站点>默认网站> Cert Srv
    3. 对于mscepmscep_admin,请点击验证。确保匿名验证启用。
    4. 用鼠标右键单击windows验证并且选择供应商。确保NT LAN Manager (NTLM)是第一在列表。


  6. 禁用在注册表设置的身份验证质询,否则简单认证登记协议(SCEP)期待私钥保护密码验证, WLC不支持。

    1. 打开regedit应用程序
    2. HKEY_LOCAL_MACHINE \软件\ MICROSOFT \加密算法\ MSCEP \
    3. 设置EnforcePassword到0



  7. 点击Microsoft Windows/开始菜单

    1. 键入MMC
    2. 在文件菜单,请选择添加/删除管理单元。选择证书颁发机构
    3. 用鼠标右键单击认证模板文件夹并且单击管理
    4. 用鼠标右键单击一个现有的模板,例如用户,并且选择重复的模板

    5. 选择CA是Microsoft Windows 2012个R2。
    6. 在常规选项卡,请添加一显示名称例如WLC和一个有效性周期。
    7. 在主题名称选项卡,请确认在请求的供应选择。

    8. 点击出版物需求选项卡。思科建议您留下出版物在一个典型的分层的CA环境的策略空白:

    9. 点击扩展选项卡应用程序策略,然后编辑。单击添加,并且保证客户端验证被添加作为应用程序策略。单击 Ok

    10. 点击安全选项卡,然后添加….保证在NDES服务安装中定义的SCEP服务帐户有模板的完全控制,然后点击OK键。

    11. 返回到证书颁发机构GUI界面。用鼠标右键单击认证模板目录。导航对新>发出的认证模板。以前选择WLC模板配置,并且点击OK键

    12. 更换在注册表设置的默认SCEP模板在计算机> HKEY_LOCAL_MACHINE>SOFTWARE> Microsoft >加密算法> MSCEP下。更改从IPsec (脱机请求)的EncryptionTemplate、GeneralPurposeTemplate和SignatureTemplate密钥到以前创建的WLC模板。

    13. 重新启动系统。

WLC 配置

  1. 在WLC,请导航对Security菜单。点击证书> LSC

  2. 检查在控制器复选框。的Enable (event) LSC

  3. 输入您的MS Windows服务器2012 URL。默认情况下,它带有/certsrv/mscep/mscep.dll

  4. 输入您的在氰胍部分的详细信息。

  5. 应用更改。



  6. 点击在上面的CA线路的蓝色箭头并且选择添加。它应该更改从不现在的状态提交

  7. 点击AP Provisioning选项



  8. 检查设置Enable复选框下面的AP并且点击更新

  9. 重新启动您的接入点他们是否未重新启动。

验证

接入点,在重新启动以后,加入返回和与LSC的显示作为在无线菜单的证书类型。

故障排除

目前没有针对此配置的故障排除信息。



Document ID: 118838