Seguridad : Cisco Secure Access Control Server para Windows

Secure ACS para el v3.2 de Windows con la autenticación de la máquina del EAP-TLS

16 Enero 2016 - Traducción Automática
Otras Versiones: PDFpdf | Inglés (20 Diciembre 2015) | Comentarios


Contenido


Introducción

Este documento describe cómo configurar el protocolo extensible authentication – Transport Layer Security (EAP-TLS) con el Cisco Secure Access Control System (ACS) para la versión de Windows 3.2.

Nota: La autenticación de la máquina no se soporta con el Certificate Authority (CA) del Novell. El ACS puede utilizar el EAP-TLS para soportar la autenticación de la máquina al Active Directory de Microsoft Windows. El cliente del usuario final pudo limitar el protocolo para la autenticación de usuario al mismo protocolo que se utiliza para la autenticación de la máquina. Es decir, el uso del EAP-TLS para la autenticación de la máquina pudo requerir el uso del EAP-TLS para la autenticación de usuario. Para más información sobre la autenticación de la máquina, refiera a la sección de la autenticación de la máquina del guía del usuario para el Cisco Secure Access Control Server 4.1.

Nota: Cuando configurar el ACS para autenticar las máquinas vía el EAP-TLS y el ACS se ha configurado para la autenticación de la máquina, el cliente se debe configurar para hacer la autenticación de la máquina solamente. Para más información, refiérase cómo habilitar la autenticación de la Computadora-solamente para una red 802.1X-based en Windows Vista, en el Servidor Windows 2008, y en Windows XP Service Pack 3.

prerrequisitos

Requisitos

No hay requisitos previos específicos para este documento.

Componentes Utilizados

La información que contiene este documento se basa en las versiones de software y hardware indicadas a continuación.

La información que se presenta en este documento se originó a partir de dispositivos dentro de un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si la red está funcionando, asegúrese de haber comprendido el impacto que puede tener un comando antes de ejecutarlo.

Teoría Precedente

Tanto EAP-TLS como el Protected Extensible Authentication Protocol (PEAP) crean y utilizan un túnel de TLS/Secure Socket Layer (SSL). EAP-TLS usa autenticación mutua en la cual tanto el servidor y los clientes ACS (autenticador, autorizador y contabilizador [AAA]) tienen certificados y confirman sus identidades unos con otros. El PEAP, sin embargo, utiliza solamente la autenticación del lado del servidor; solamente el servidor tiene un certificado y prueba su identidad al cliente.

Convenciones

Para obtener más información sobre las convenciones del documento, consulte Convenciones de Consejos Técnicos de Cisco.

Diagrama de la red

Este documento utiliza la instalación de red que se muestra en el siguiente diagrama.

/image/gif/paws/43722/acs-eap-01.gif

Configuración de Cisco Secure ACS para Windows v3.2

Siga los pasos a continuación para configurar ACS 3.2.

  1. Obtenga un certificado para el servidor ACS.

  2. Configure el ACS para utilizar un certificado almacenado.

  3. Especifique las autoridades de certificado adicionales en las que debería confiar el ACS (Servidor de control de acceso seguro).

  4. Reinicie el servicio y configure los parámetros de PEAP en ACS.

  5. Especificar y configurar el punto de acceso como un cliente AAA.

  6. Configure las bases de datos de los usuarios externos

  7. Reiniciar el servicio.

Obtenga un certificado para el servidor ACS

Siga los pasos a continuación para obtener un certificado.

  1. En el servidor ACS, abra a un buscador Web, y ingrese http:// CA-ip-address/certsrv para acceder el servidor CA.

  2. Iniciar sesión en el dominio como Administrador.

    /image/gif/paws/43722/acs-eap-02.gif

  3. Seleccione la petición un certificado, y después haga clic después.

    /image/gif/paws/43722/acs-eap-03.gif

  4. Selecccione Advanced request (Petición avanzada) y luego haga clic en Next (Siguiente).

    /image/gif/paws/43722/acs-eap-04.gif

  5. Seleccione Submit a certificate request to this CA using a form (Enviar una petición de certificado a esta CA mediante un formulario) y luego haga clic en Next (Siguiente).

    /image/gif/paws/43722/acs-eap-05.gif

  6. Configure las opciones del certificado:

    1. Seleccione al servidor Web como el Certificate Template plantilla de certificado, y ingrese el nombre del servidor ACS.

      /image/gif/paws/43722/acs-eap-06a.gif

    2. Ingrese 1024 en el campo del tamaño de clave, y marque las claves de la marca como exportable y utilice las casillas de verificación del almacenamiento de máquina local.

    3. Configure las otras opciones que sean necesarias y luego haga clic en Submit (Enviar).

      /image/gif/paws/43722/acs-eap-06b.gif

      Nota: Si aparece el posible cuadro de diálogo de la infracción del scripting, haga clic para continuar.

      acs-eap-07.gif

  7. Haga clic en Install this certificate (Instalar este certificado).

    /image/gif/paws/43722/acs-eap-08.gif

    Nota: Si aparece el posible cuadro de diálogo de la infracción del scripting, haga clic para continuar.

    acs-eap-09.gif

  8. Si la instalación es acertada, el mensaje instalado certificado aparece.

    acs-eap-10.gif

Configure ACS para usar un certificado del almacenamiento

Complete estos pasos para configurar el ACS para utilizar el certificado en el almacenamiento.

  1. Abra a un buscador Web, y ingrese http:// ACS-ip-address:2002/ para acceder al servidor ACS.

  2. Haga clic en Configuración del sistema, y luego en Instalación de certificado ACS.

  3. Haga clic en Install ACS Certificate (Instalar certificado ACS).

  4. Haga clic el certificado del uso del botón de radio del almacenamiento.

  5. En el campo del certificado CN, ingrese el nombre del certificado que usted asignó en el paso 5a de obtener un certificado del ACS Serversection de este documento.

  6. Haga clic en Submit (Enviar).

    /image/gif/paws/43722/acs-eap-11.gif

    Una vez que la configuración es completa, un mensaje de confirmación aparece que indica que la configuración del servidor ACS se ha cambiado.

    Nota: No es necesario que reinicie el ACS ahora.

    /image/gif/paws/43722/acs-eap-12.gif

Especifique autoridades certificadoras adicionales en las que la ACS debe confiar

El ACS confía en automáticamente CA que publicó su propio certificado. Si los certificados del cliente son publicados por los CA adicionales, usted debe completar estos pasos:

  1. Haga clic en Configuración del sistema, y luego en Instalación de certificado ACS.

  2. Haga clic en ACS Certificate Authority Setup (Configuración de ACS Certificate Authority) para agregar CA a la lista de certificados confiables.

  3. En el campo para el archivo de certificado CA, ingrese la ubicación del archivo y luego haga clic en Submit (Enviar).

    /image/gif/paws/43722/acs-eap-13.gif

  4. Haga clic en Edit Certificate Trust List (Editar lista de confianza del certificado).

  5. Marque todos los CA que el ACS debe confiar, y desmarque todos los CA que el ACS no debería confiar.

  6. Haga clic en Submit (Enviar).

    /image/gif/paws/43722/acs-eap-14.gif

Reiniciar el servicio y configurar los parámetros de EAP-TLS en ACS

Complete estos pasos para recomenzar las configuraciones del EAP-TLS del servicio y de la configuración:

  1. Haga clic en System Configuration (Configuración del sistema), y luego en Service Control (Control del servicio).

  2. Haga clic el reinicio para recomenzar el servicio.

  3. Para configurar las configuraciones del EAP-TLS, haga clic la configuración del sistema, y después haga clic la configuración de la autenticación global.

  4. Seleccione Permitir EAP-TLS y luego verifique una o más de las comparaciones de certificado.

  5. Haga clic en Submit (Enviar).

    /image/gif/paws/43722/acs-eap-15.gif

Especifique y configure el punto de acceso como un cliente AAA

Complete estos pasos para configurar el punto de acceso como cliente AAA:

  1. Haga clic en la configuración de red.

  2. En los clientes AAA, haga clic en Add Entry (Agregar entrada).

    /image/gif/paws/43722/acs-eap-16.gif

  3. Ingrese el nombre del host del Punto de acceso en Nombre del host del cliente AAA el campo y el IP Address en el campo del IP Address del cliente AAA.

  4. Ingrese una clave secreta compartida para el ACS y el Punto de acceso en el campo clave.

  5. Elija RADIUS (Cisco Aironet) como el método de autentificación, y el tecleo somete.

    /image/gif/paws/43722/acs-eap-17.gif

Configuración de las bases de datos de los usuarios externos

Complete estos pasos para configurar las Bases de datos de usuarios externas.

  1. Haga clic en Bases de datos de usuarios externos y luego en Configuración de la base de datos.

  2. Haga clic en base de datos de Windows.

    Nota: Si no hay una base de datos de Windows definida, haga clic en Create New Configuration (Crear nueva configuración) y a continuación haga clic en Submit (Enviar).

  3. Haga clic en Configure (Configurar).

  4. Desde Configurar lista de dominio, mueva el dominio SEC-SYD de los dominios disponibles a la lista de dominio.

    /image/gif/paws/43722/acs-eap-18.gif

  5. En el área de las configuraciones de Windows EAP, haga clic la casilla de verificación de la autenticación de la máquina del EAP-TLS del permiso para habilitar la autenticación de la máquina.

    Nota:  No cambie el prefijo de nombre de autenticación de la máquina. Microsoft actualmente utiliza "/host" (el valor predeterminado) para hacer la distinción entre la autenticación del usuario y de la máquina.

  6. Opcionalmente, usted puede marcar la casilla de verificación del Domain Name de la tira del EAP-TLS para habilitar el desmontaje del dominio.

  7. Haga clic en Submit (Enviar).

    /image/gif/paws/43722/acs-eap-19.gif

  8. Haga clic en External User Databases (Bases de datos de usuarios externas), y luego haga clic en Unknown User Policy (Política de usuario desconocida).

  9. Haga clic el control el botón de radio siguiente de las Bases de datos de usuarios externas.

  10. Mueva la base de datos de Windows desde las bases de datos externas enumeran a las bases de datos seleccionadas la lista.

  11. Haga clic en Submit (Enviar).

    /image/gif/paws/43722/acs-eap-19a.gif

Reiniciar el servicio

Cuando usted ha acabado de configurar el ACS, complete estos pasos para recomenzar el servicio:

  1. Haga clic en System Configuration (Configuración del sistema), y luego en Service Control (Control del servicio).

  2. Haga clic en Restart (Reiniciar)

Configuración de la inscripción automática del certificado de la máquina MS

Complete estos pasos para configurar el dominio para la inscripción automática del certificado de la máquina:

  1. Van al panel de control > Administrative Tools > los usuarios de directorio activo y computadora abiertos.

  2. Haga clic con el botón derecho del ratón el dominio SEC-syd, y elija las propiedades.

  3. Haga clic la lengueta de la directiva del grupo.

  4. Haga clic en Default Domain Policy (Directiva de dominio predeterminada) y luego haga clic en Edit (Editar).

  5. Vaya al Computer Configuration (Configuración de computadora) > Windows Settings (Configuración de Windows) > Security Settings (Configuración de seguridad) > Public Key Policies (Políticas de clave pública) > Automatic Certificate Request Settings (Configuración automática de petición de certificados).

    acs-eap-20.gif

  6. En la barra de menú, va a la acción > el nuevo > automático pedido de certificado, y hace clic después.

  7. Elija la Computadora, y haga clic después.

  8. Marque el Certificate Authority, “nuestro TAC CA,” en este ejemplo.

  9. Haga clic en Next (Siguiente) y luego en Finish (Finalizar).

Configuración del punto de acceso Cisco

Complete estos pasos para configurar el AP para utilizar el ACS como el servidor de autenticación:

  1. Abra a un buscador Web, y ingrese http:// AP-ip-address/certsrv para acceder el AP.

  2. En la barra de herramientas, haga clic en Setup (Configuración).

  3. Bajo servicios, haga clic la Seguridad, y después haga clic al servidor de autenticación.

    Nota: Si usted configuró las cuentas en el AP, usted debe iniciar sesión.

  4. Ingrese los ajustes de la configuración del authenticator:

    • Elija 802.1x-2001 para la Versión del protocolo del 802.1x (para la autenticación EAP).

    • Ingrese la dirección IP del servidor ACS en el campo Server Name/IP (Nombre/IP del servidor).

    • Elija el RADIUS como el tipo de servidor.

    • Ingrese 1645 ó 1812 en el campo Port (Puerto).

    • Ingrese la clave secreta compartida que usted especificó adentro especifica y configura el Punto de acceso como cliente AAA.

    • Marque la opción para la autenticación EAP para especificar cómo el servidor debe ser utilizado.

  5. Cuando haya finalizado, haga clic en OK (Aceptar).

    /image/gif/paws/43722/acs-eap-21.gif

  6. Haga clic en Radio Data Encryption (WEP) (Cifrado de datos de Radio (WEP)).

  7. Ingrese la configuración para el encripción de datos internos.

    • Elija la encripción completa del Use of Data Encryption por las estaciones es lista desplegable para fijar el nivel de encripción de datos.

    • Para el tipo de autenticación Accept, marque la casilla de verificación abierta para fijar el tipo de autenticación validado, y marque el Network EAP para habilitar el SALTO.

    • Para Require EAP, marque la casilla de verificación abierta para requerir el EAP.

    • Ingrese una clave de encripción en el campo clave de Encription, y elija el bit 128 de la lista desplegable del tamaño de clave.

  8. Cuando haya finalizado, haga clic en OK (Aceptar).

    acs-eap-22.gif

  9. Vaya al Network (Red) > Service Sets (Conjuntos de servicios) > Select the SSID Idx (Seleccionar el SSID Idx) para confirmar que el Service Set Identifier (SSID) correcto está utilizado.

  10. Haga clic en OK.

    /image/gif/paws/43722/acs-eap-22a.gif

Configuración del cliente inalámbrico

Complete estos pasos para configurar ACS 3.2:

  1. Únase al dominio.

  2. Obtener un certificado para el usuario.

  3. Configure la red inalámbrica.

Unirse al dominio

Complete estos pasos para agregar al cliente de red inalámbrica al dominio.

Nota: Para completar estos pasos, el cliente de red inalámbrica debe tener Conectividad a CA, a través de una conexión alámbrica o a través de la conexión de red inalámbrica con la Seguridad del 802.1x inhabilitada.

  1. Inicie sesión en Windows XP como administrador local.

  2. Vaya al Control Panel (Panel de control) > Performance and Maintenance (Rendimiento y mantenimiento) > System (Sistema).

  3. Haga clic la lengueta del nombre de computadora, y después haga clic el cambio.

  4. Ingrese el nombre del host en el campo de nombre de la computadora.

  5. Elija el dominio, y después ingrese el nombre del dominio (SEC-SYD en este ejemplo).

  6. Haga clic en OK.

    /image/gif/paws/43722/acs-eap-23.gif

  7. Cuando aparece el cuadro de diálogo del login, inicie sesión adentro con una cuenta con el permiso adecuado para unirse al dominio.

  8. Una vez que la computadora se haya unido correctamente al dominio, reiníciela.

    La máquina siente bien a un miembro del dominio. Puesto que se configura la inscripción automática de la máquina, la máquina tiene un certificado para CA instalado así como un certificado para la autenticación de la máquina.

Obtener un certificado para el usuario

Complete estos pasos para obtener un certificado para el usuario.

  1. Inicie sesión a Windows XP y al dominio (SEC-SYD) en el cliente de red inalámbrica (laptop) como la cuenta que requiere un certificado.

  2. Abra a un buscador Web, y ingrese http:// CA-ip-address/certsrv para acceder el servidor CA.

  3. Inicie sesión al servidor de CA bajo misma cuenta.

    Nota: El certificado se salva en el cliente de red inalámbrica bajo perfil de Usuario usuario actual; por lo tanto, usted debe utilizar la misma cuenta para iniciar sesión a Windows y a CA.

    /image/gif/paws/43722/acs-eap-24.gif

  4. Haga clic la petición un botón de radio del certificado, y después haga clic después.

    /image/gif/paws/43722/acs-eap-03.gif

  5. Haga clic el botón de radio del pedido avanzado, y después haga clic después.

    /image/gif/paws/43722/acs-eap-04.gif

  6. Haga clic el someter un pedido de certificado a este CA usando un botón de radio de la forma, y después haga clic después.

    /image/gif/paws/43722/acs-eap-05.gif

  7. Elija al usuario del Certificate Template plantilla de certificado, y ingrese 1024 en el campo del tamaño de clave.

  8. Configure las otras opciones según las necesidades, y el tecleo somete.

    /image/gif/paws/43722/acs-eap-25.gif

    Nota: Si aparece el posible cuadro de diálogo de la infracción del scripting, haga clic para continuar.

    acs-eap-07.gif

  9. Haga clic en Install this certificate (Instalar este certificado).

    /image/gif/paws/43722/acs-eap-08.gif

    Nota: Si aparece el posible cuadro de diálogo de la infracción del scripting, haga clic para continuar.

    acs-eap-09.gif

    Nota: El almacén del certificado raíz pudo aparecer si el propio certificado de CA no se guarda en el cliente de red inalámbrica ya. Haga clic para salvar el certificado al almacenamiento local.

    acs-eap-26.gif

    Si la instalación es acertada, un mensaje de confirmación aparece.

    acs-eap-10.gif

Configure la comunicación en la red inalámbrica

Complete estos pasos para fijar las opciones para la red inalámbrica:

  1. Iniciar sesión en el dominio como usuario de dominio.

  2. Vaya al Control Panel (Panel de control) > Network and Internet Connections (Conexiones de red e Internet) > Network Connections (Conexiones de red).

  3. Haga clic con el botón derecho del ratón la conexión de red inalámbrica, y elija las propiedades.

  4. Haga clic la lengueta de las redes inalámbricas.

  5. Elija la red inalámbrica de la lista de redes disponibles, y después haga clic la configuración.

    /image/gif/paws/43722/acs-eap-23.gif

  6. En la lengueta de la autenticación, marque la autenticación del IEEE 802.1X del permiso para esta casilla de verificación de la red.

  7. Elija la placa inteligente o el otro certificado de la lista desplegable del tipo EAP, y después haga clic las propiedades.

    Nota: Para habilitar la autenticación de la máquina, marque la autenticidad como ordenador cuando información acerca de la computadora está la casilla de verificación disponible.

    /image/gif/paws/43722/acs-eap-27.gif

  8. Haga clic el uso un certificado en este botón de radio del ordenador, y después marque la casilla de verificación del simple certificate selection (Usar selección de certificado simple) del uso.

  9. Marque el cuadro del certificatecheck del servidor del validar, y haga clic la AUTORIZACIÓN.

    Nota: Cuando el cliente se une al dominio, el certificado de CA está instalado automáticamente como Trusted Root Certification Authority. El cliente confía en automáticamente implícito CA que firmó el certificado de cliente. Se puede confiar en las CA adicionales si las verifica en la lista Autoridades de certificación raíz confiables.

    /image/gif/paws/43722/acs-eap-28.gif

  10. En la lengueta de la asociación de la ventana de las propiedades Propiedades de la red, marque la encripción de datos (WEP habilitado) y la clave se proporciona para mí automáticamente las casillas de verificación.

  11. El Haga Click en OK, y entonces hace clic la AUTORIZACIÓN otra vez para cerrar la ventana de la configuración de red.

    /image/gif/paws/43722/acs-eap-29.gif

Verificación

Esta sección proporciona la información que usted puede utilizar para confirmar su configuración está trabajando correctamente.

  • Para verificar que hayan autenticado al cliente de red inalámbrica, complete estos pasos:

    1. En el cliente de red inalámbrica, vaya al Control Panel (Panel de control) > Network and Internet Connections (Conexiones de red e Internet) > Network Connections (Conexiones de red).

    2. En la barra de menú, vaya al View (Ver) > Titles (Títulos).

    La conexión de red inalámbrica debe visualizar el mensaje tenido éxito “autenticación”.

  • Para verificar que hayan autenticado a los clientes de red inalámbrica, vaya al Reports and Activity (Informes y actividad) > Passed Authentications (Autenticaciones aprobadas) > Passed Authentications active.csv (Autenticaciones aprobadas active.csv) en la interfaz Web ACS.

Troubleshooting

En esta sección encontrará información que puede utilizar para solucionar problemas de configuración.

  • Verifique que los servicios de certificados MS hayan estado instalados como empresa raíz CA en Windows 2000 Advanced Server con el Service Pack 3.

  • Verifique que esté usando Cisco Secure ACS para Windows versión 3.2 con Windows 2000 y Service Pack 3.

  • Si falla la autenticación del equipo en el cliente inalámbrico, no habrá conectividad de red en la conexión inalámbrica. Sólo las cuentas que tengan sus perfiles almacenados en la memoria caché del cliente inalámbrico podrán cargarse en el dominio. La máquina se debe enchufar a una red alámbrica o a un conjunto para la conexión de red inalámbrica sin la Seguridad del 802.1x.

  • Si el enlistamiento automático con CA falla cuando se une al dominio, marque el visor de eventos por las razones posibles.

  • Si el perfil de usuario del cliente inalámbrico no posee un certificado válido pero la contraseña es correcta aún puede iniciar sesión en la máquina y en el dominio, pero observe que la conexión inalámbrica no tendrá conectividad.

  • Si el certificado ACS en el cliente de red inalámbrica es inválido (de quien depende del certificado válido “” y “” a las fechas, a las configuraciones de la fecha y hora del cliente, y a la confianza de CA), después el cliente la rechazará y la autenticación fallará. El ACS registrará la autenticación fallida en la interfaz Web bajo los informes y la actividad > los intentos fallidos > el XXX.csv de los intentos fallidos con el Código de Falla de la autenticación similar al “EAP-TLS o la autenticación PEAP fallada durante el contacto SSL.” El mensaje de error previsto en el archivo de CSAuth.log es similar a este mensaje:

    AUTH 06/04/2003 14:56:41 E 0345 1644 EAP: buildEAPRequestMsg: 
    other side probably didn't accept our certificate
  • Si el certificado del cliente en el ACS es inválido (esto depende de las fechas de validez "desde" y "hasta" (del certificado), de la configuración de fecha y hora del servidor, y de la confianza de la CA), el servidor lo rechazará y fracasará la autenticación. El ACS registrará la autenticación fallida en la interfaz Web bajo los informes y la actividad > los intentos fallidos > el XXX.csv de los intentos fallidos con el Código de Falla de la autenticación similar al “EAP-TLS o la autenticación PEAP fallada durante el contacto SSL.” Si el ACS rechaza el certificado de cliente porque el ACS no confía en CA, el mensaje de error previsto en el archivo de CSAuth.log es similar a este mensaje:

    AUTH 06/04/2003 15:47:43 E 0345 1696 EAP: ProcessResponse:
    SSL handshake failed, status = 3 (SSL alert fatal:unknown CA certificate)

    Si el ACS rechaza el certificado de cliente porque ha expirado el certificado, el mensaje de error previsto en el archivo de CSAuth.log es similar a este mensaje:

    AUTH 06/04/2005 15:02:08 E 0345 1692 EAP: ProcessResponse:
    SSL handshake failed, status = 3 (SSL alert fatal:certificate expired)
  • En abre una sesión la interfaz Web ACS, bajo ambos informes y la actividad > las autenticaciones pasajeras > XXX.csv de las autenticaciones y actividad de Reportsand > los intentos fallidos > XXX.csv pasajeros de los intentos fallidos, las autenticaciones del EAP-TLS se muestra en el <user-id>@<domain> del formato. Las autenticaciones PEAP se muestran en <DOMAIN> \ <user-id> del formato.

  • Puede verificar el certificado y la fiabilidad del servidor ACS con los pasos a continuación.

    1. Ingrese a Windows en el servidor ACS con una cuenta que tenga privilegios de administrador.

    2. Vaya al Start (Inicio) > Run (Ejecutar), teclee el mmc, y haga clic la AUTORIZACIÓN para abrir el Microsoft Management Console.

    3. En la barra de menú, vaya al Console (Consola) > Add/Remove Snap-in (Agregar/Remover complemento), y al haga click en Add

    4. Elija los Certificados, y el haga click en Add

    5. Elija la cuenta de la Computadora, haga clic después, y después elija la computadora local (el ordenador que esta consola está funcionando con encendido).

    6. Haga clic en Finish (Finalizar), luego en Close (Cerrar) y por último en OK (Aceptar).

    7. Para verificar que el servidor ACS tenga un certificado en el lado del servidor válido, van a la Raíz de la consola > a los Certificados (computadora local) > personal > los Certificados, y verifican que hay un certificado para el servidor ACS (OurACS Nombrado en este ejemplo).

    8. Abra el certificado, y verifique estos elementos:

      • No existe advertencia que indique que el certificado no ha sido verificado para todos los propósitos deseados

      • No existe advertencia que indique que el certificado no sea seguro

      • "Este certificado tiene como objetivo – Asegura la identidad de una computadora remota."

      • El certificado no ha caducado y ahora es válido (verifique las fechas de inicio y fin).

      • ”Usted posee una clave privada que corresponde a este certificado.”

    9. En la ficha Details (Detalles), verifique que el campo Version (Versión) tenga el valor V3 y que el campo Enhanced Key Usage (Uso mejorado de claves) tenga autenticación de servidor (1.3.6.1.5.5.7.3.1).

    10. Para verificar que el servidor ACS confíe en el servidor de CA, van a la Raíz de la consola > a los Certificados (computadora local) > los Trusted Root Certification Authority > los Certificados, y verifican que hay un certificado para el servidor de CA (nombrado nuestro TAC CA en este ejemplo).

    11. Abra el certificado, y verifique estos elementos:

      • No existe advertencia que indique que el certificado no ha sido verificado para todos los propósitos deseados

      • No existe advertencia que indique que el certificado no sea seguro

      • El objetivo deseado del certificado es correcto.

      • El certificado no ha caducado y ahora es válido (verifique las fechas de inicio y fin).

      Si ACS y el cliente no usaron la misma raíz CA, entonces verifique que se haya instalado la cadena completa de los certificados de los servidores CA. Se aplica lo mismo si el certificado se obtuvo de una autoridad certificada menor

  • Para verificar el certificado y la confianza del equipo del cliente inalámbrico, puede seguir los pasos que se describen a continuación.

    1. Ingrese a Windows en el servidor ACS con una cuenta que tenga privilegios de administrador. Abra el Microsoft Management Console yendo al Start (Inicio) > Run (Ejecutar), tecleando el mmc, y haciendo clic la AUTORIZACIÓN.

    2. En la barra de menú, vaya al Console (Consola) > Add/Remove Snap-in (Agregar/Remover complemento), y entonces al haga click en Add

    3. Seleccione Certificates (Certificados) y haga clic en Add (Agregar)

    4. Seleccione Computer account (Cuenta de computadora), haga clic en Next (Siguiente) y luego seleccione Local computer (Computadora local [la computadora en la cual se ejecuta esta consola]).

    5. Haga clic en Finish (Finalizar), luego en Close (Cerrar) y por último en OK (Aceptar).

    6. Verifique que la máquina tenga un certificado válido del lado del cliente. La autenticación de la máquina fracasará si el certificado no es válido. Para verificar el certificado, vaya a la Raíz de la consola > a los Certificados (computadora local) > personal > los Certificados. Verifique que haya un certificado para la máquina; el nombre estará en el formato <host-name>.<domain>. Abra el certificado y verifique los siguientes elementos.

      • No existe advertencia que indique que el certificado no ha sido verificado para todos los propósitos deseados

      • No existe advertencia que indique que el certificado no sea seguro

      • Se piensa “este certificado - Prueba su identidad a una computadora remota.”

      • El certificado no ha caducado y ahora es válido (verifique las fechas de inicio y fin).

      • ”Usted posee una clave privada que corresponde a este certificado.”

  • Sobre los detalles tabule, verifique que el campo de la versión tiene el v3 del valor y que el campo del Enhanced Key Usage contiene por lo menos la autenticación de cliente del valor (1.3.6.1.5.5.7.3.2); los propósitos adicionales pueden ser mencionados. Asegúrese de que el campo Subject contenga el valor CN = el <host-nombre >.<domain>; los valores adicionales pueden ser mencionados. Verifique que el nombre del host y el dominio coincidan con lo que se especifica en el certificado.

  • Para verificar que el perfil del cliente confíe en el servidor de CA, van a la Raíz de la consola > a los Certificados (Usuario usuario actual) > los Trusted Root Certification Authority > los Certificados. Verifique que existe un certificado para el servidor CA (denominado Nuestro TAC CA en este ejemplo). Abra el certificado y verifique los siguientes elementos.

    • No existe advertencia que indique que el certificado no ha sido verificado para todos los propósitos deseados

    • No existe advertencia que indique que el certificado no sea seguro

    • El objetivo deseado del certificado es correcto.

    • El certificado no ha caducado y ahora es válido (verifique las fechas de inicio y fin).

    Si ACS y el cliente no usaron la misma raíz CA, entonces verifique que se haya instalado la cadena completa de los certificados de los servidores CA. Se aplica lo mismo si el certificado se obtuvo de una autoridad certificada menor

  • Verifique las configuraciones ACS según lo descrito en configurar el v3.2 del Cisco Secure ACS for Windows.

  • Verifique las configuraciones de CA según lo descrito en configurar los servicios de certificados MS.

  • Verifique las configuraciones AP según lo descrito en configurar el punto de acceso de Cisco.

  • Verifique las configuraciones del cliente de red inalámbrica según lo descrito en configurar al cliente de red inalámbrica.

  • Verifique que la cuenta de usuario exista en la base de datos interna del servidor de AAA o en una de las bases de datos externas configuradas, y asegúrese de que la cuenta no se haya inhabilitado.

  • Los Certificados publicados por el CA empleado el algoritmo de troceo seguro 2 (SHA-2) no son compatibles con el Cisco Secure ACS puesto que se desarrollan con la Java que no soporta SHA-2 a partir de ahora. Para resolver este problema, reinstale CA y configurelo para publicar los Certificados con el SHA-1.

Discusiones relacionadas de la comunidad de soporte de Cisco

La Comunidad de Soporte de Cisco es un foro donde usted puede preguntar y responder, ofrecer sugerencias y colaborar con colegas.


Información Relacionada


Document ID: 43722