Беспроводные сети : Cisco Wireless LAN Controller Software

Логически значимые сертификаты (LSC) с WLC и Примером конфигурации Windows Server 2012 года

5 апреля 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Отзыв

Введение

Этот документ описывает, как настроить логически значимые сертификаты (LSC) с Контроллером беспроводной локальной сети (WLC) и недавно установленным Microsoft Windows server 2012 R2.

Примечание: Реальные развертывания могли бы отличаться по многим точкам, и необходимо иметь полный контроль и знание параметров настройки на Microsoft Windows server 2012. Этот пример конфигурации только предоставлен как ссылочный шаблон для Клиентов Cisco, чтобы внедрить и адаптировать их конфигурацию Microsoft Windows server, чтобы заставить LSC работать.

Внесенный Романом Манчуром и Николасом Дарчисом, специалистами службы технической поддержки Cisco.

Предварительные условия

Требования

Необходимо понять каждое изменение, внесенное в Microsoft Windows server, и проверить соответствующую документацию microsoft в случае необходимости.

Используемые компоненты

Сведения, содержащиеся в данном документе, касаются следующих версий программного и аппаратного обеспечения:

  • Версия 7.6 WLC
  • Microsoft Windows server 2012 R2

Сведения, представленные в этом документе, были получены от устройств, работающих в специальной лабораторной среде. Все устройства, описанные в этом документе, были запущены с чистой (стандартной) конфигурацией. В рабочей сети необходимо изучить потенциальное воздействие всех команд до их использования.

Настройка

Конфигурация Microsoft Windows server

Эту конфигурацию показывают, как выполнено на недавно установленном Microsoft Windows server 2012. Необходимо адаптировать шаги в доменную и конфигурацию.

  1. Доменные сервисы Active Directory установки для мастера ролей и функций.



    1. После установки необходимо продвинуть сервер контроллер домена.



    2. Так как это - новая настройка, вы настраиваете новый лес; но, как правило, в существующих развертываниях, вы просто настраиваете эти точки на контроллере существующего домена. Здесь, вы выбираете домен LSC2012.com. Это активирует опцию Сервера доменных имен (DNS) также.


  2. После перезагрузки установите сервис Центра сертификации (CA), а также веб-регистрацию.



    1. Настройте их.



    2. Выберите Enterprise CA и оставьте все как по умолчанию.



  3. Нажмите Microsoft Windows / Меню Пуск.

    1. Нажмите Средства администрирования.
    2. Нажмите Active Directory Users and Computers.
    3. Разверните домен, щелкните правой кнопкой мыши по Папке Пользователи и выберите New Object> User.



    4. В данном примере это называют APUSER. После того, как созданный, необходимо отредактировать пользователя и нажать вкладку MemberOf и сделать ее участником группы IIS_IUSRS.


  4. Установите службу Network Device Enrollment Service (NDES).



    • Выберите участника учетной записи группы IIS_USRS, APUSER в данном примере, как учетная запись сервиса для NDES.


  5. Перейдите к средствам администрирования.

    1. Нажмите Internet Information Services (IIS).
    2. Разверните Сайты Server>> Веб-сайт по умолчанию> Свидетельство Srv.
    3. И для mscep и для mscep_admin, нажмите аутентификацию. Удостоверьтесь, что включена анонимная аутентификация.
    4. Щелкните правой кнопкой мыши проверку подлинности Windows и выберите Providers. Удостоверьтесь, что LAN Manager NT (NTLM) является первым в списке.


  6. Отключите аутентификационное препятствие в настройках реестра, в противном случае Протокол SCEP (SCEP) ожидает аутентификацию пароля вызова, которая не поддерживается WLC.

    1. Откройте приложение regedit.
    2. Перейдите к HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\Cryptography\MSCEP\.
    3. Установите EnforcePassword в 0.



  7. Нажмите Microsoft Windows / Меню Пуск.

    1. Введите MMC.
    2. На Меню Файл выберите Add/Remove Snap - в. Выберите Certification Authority.
    3. Щелкните правой кнопкой мыши папку Certificate Template и нажмите Manage.
    4. Щелкните правой кнопкой мыши существующий шаблон, такой как Пользователь, и выберите Duplicate Template.

    5. Выберите CA, чтобы быть Microsoft Windows 2012 R2.
    6. На Вкладке Общие добавьте название показа, такое как WLC и период достоверности.
    7. Во вкладке Subject Name подтвердите, что выбрано Предоставление в запросе.

    8. Нажмите вкладку Issuance Requirements. Cisco рекомендует оставить политику Выпуска, незаполненную в типичной иерархической среде CA:

    9. Нажмите вкладку Extensions, Правила приложений, и затем Отредактируйте. Нажмите Add и гарантируйте, что Аутентификация клиента добавлена как правило приложений. Нажмите кнопку ОК.

    10. Нажмите Вкладку Безопасность, и затем Добавьте.... Гарантируйте, что учетная запись сервиса SCEP, определенная в сервисной установке NDES, имеет полный контроль над шаблоном, и затем нажмите OK.

    11. Возвратитесь к графическому интерфейсу пользователя (GUI) Центра сертификации. Щелкните правой кнопкой мыши каталог Certificate Templates. Перейдите к Новому> Шаблон сертификата для Запуска. Выберите шаблон WLC, настроенный ранее, и нажмите OK

    12. Измените шаблон SCEP по умолчанию в настройках реестра под Компьютером> HKEY_LOCAL_MACHINE> ПРОГРАММНОЕ ОБЕСПЕЧЕНИЕ> Microsoft> Криптография> MSCEP. Измените EncryptionTemplate, GeneralPurposeTemplate и ключи SignatureTemplate от IPSec (Офлайновый Запрос) к созданному на предыдущем этапе шаблону WLC.

    13. Перезагрузите систему.

Настройка WLC

  1. На WLC перейдите к Меню системы безопасности. Нажмите Certificates> LSC.

  2. Проверьте Разрешать LSC на флажке Controller.

  3. Введите URL Microsoft Windows server 2012 года. По умолчанию это добавлено с/certsrv/mscep/mscep.dll.

  4. Введите подробные данные в раздел Params.

  5. Примените изменение.



  6. Нажмите синяя стрелка на верхнем CA выравнивают и выбирают Add. Это должно изменить статус от Не подарок для представления.

  7. Нажмите вкладку инициализации AP.



  8. Проверьте флажок Enable при Инициализации AP и нажмите Update.

  9. Точки доступа перезагрузки, если они не перезагрузили себя.

Проверка.

Точка доступа, после перезагрузки, присоединяется назад и показы с LSC как Тип сертификата в меню Wireless.

Устранение неполадок

Для этой конфигурации в настоящее время нет сведений об устранении проблем.


Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.