Configuración de BYOD inalámbrico SSID único en Windows e ISE
Contenido
Introducción
En este documento se describe cómo configurar la opción "Traiga su propio dispositivo" en el equipo de Cisco Identity Services Engine para Windows mediante SSID único y SSID dual.
Prerequisites
Requirements
Cisco recomienda que tenga conocimiento sobre estos temas:
- Configuración de Cisco Identity Services Engine (ISE) versión 3.0
- Configuración de Cisco WLC
- Trabajo "Traiga su propio dispositivo" (BYOD)
Componentes Utilizados
La información que contiene este documento se basa en las siguientes versiones de software y hardware.
- Cisco ISE versión 3.0
- Windows 10
- WLC y AP
La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si tiene una red en vivo, asegúrese de entender el posible impacto de cualquier comando.
Teoría
En BYOD con un solo SSID, solo se utiliza un SSID para la incorporación de dispositivos y, posteriormente, para proporcionar acceso completo a los dispositivos registrados. En primer lugar, el usuario se conecta al SSID mediante el nombre de usuario y la contraseña (MSCHAPv2). Una vez autenticado correctamente en ISE, el usuario es redirigido al portal BYOD. Una vez realizado el registro del dispositivo, el cliente final descarga Native Supplicant Assistant (NSA) desde ISE . La NSA se instala en el cliente final y descarga el perfil y el certificado de ISE. La NSA configura el suplicante inalámbrico y el cliente instala el certificado. El terminal realiza otra autenticación con el mismo SSID utilizando el certificado descargado mediante EAP-TLS. ISE comprueba la nueva solicitud del cliente y verifica el método EAP y el registro de dispositivos, y proporciona acceso completo al dispositivo.
Pasos de BYOD Single SSID de Windows
- Autenticación EAP-MSCHAPv2 inicial
- Redirección al portal BYOD
- Registro de dispositivos
- descarga de NSA
- Descarga de perfiles
- Descarga de certificados
- Autenticación EAP-TLS
Configurar
Configuración de ISE
Paso 1. Agregue el dispositivo de red en ISE y configure RADIUS y la clave compartida.
Vaya a ISE > Administration > Network Devices > Add Network Device.
Paso 2. Crear una plantilla de certificado para usuarios BYOD. La plantilla debe tener Uso mejorado de clave de autenticación de cliente. Puede utilizar la plantilla EAP_Certificate_Template predeterminada.
Paso 3. Crear un perfil de suplicante nativo para un perfil inalámbrico.
Vaya a ISE > Centros de trabajo > BYOD > Aprovisionamiento de clientes. Haga clic en Agregar y seleccione Perfil de suplicante nativo (NSP) en el menú desplegable.
En este caso, el nombre de SSID debe ser el mismo que el de la conexión antes de utilizar un solo SSID BYOD. Seleccione el protocolo como TLS. Elija la plantilla de certificado como se creó en el paso anterior o puede utilizar la EAP_Certificate_Template predeterminada.
En Optional Settings, seleccione user o User and Machine authentication según sus requisitos. En este ejemplo, se configura como autenticación de usuario. Deje otros parámetros predeterminados.
Paso 4. Crear directiva de aprovisionamiento de cliente para el dispositivo Windows.
Vaya a ISE > Centros de trabajo > BYOD > Aprovisionamiento de clientes > Política de aprovisionamiento de clientes. Seleccione el sistema operativo como Windows ALL. Seleccione WinSPWizard 3.0.0.2 y NSP creados en el paso anterior.
Paso 5. Crear un perfil de autorización para dispositivos no registrados como dispositivos BYOD.
Vaya a ISE > Policy > Policy Elements > Results > Authorization > Authorization Profiles > Add.
En Tarea común, seleccione Aprovisionamiento del suplicante nativo. Defina un nombre de ACL de redirección que se cree en el WLC y seleccione el portal BYOD. Aquí se utiliza el portal predeterminado. Puede crear un portal BYOD personalizado. Navegue hasta ISE > Centros de trabajo > BYOD > Portales y componentes y haga clic en Agregar.
Paso 6. Crear un perfil de certificado.
Vaya a ISE > Administration > External Identity Sources > Certificate Profile. Aquí puede crear un nuevo perfil de certificado o utilizar el perfil de certificado predeterminado.
Paso 7. Cree una secuencia de origen de identidad y seleccione el perfil de certificado creado en el paso anterior o utilice el perfil de certificado predeterminado. Esto es necesario cuando los usuarios realizan EAP-TLS después del registro en BYOD para obtener acceso completo.
Paso 8. Cree un Policy Set, Authentication Policy y Authorization Policy.
Vaya a ISE > Policy > Policy Sets. Cree un conjunto de directivas y guárdelo.
Cree una política de autenticación y seleccione la secuencia de origen de identidad creada en el paso anterior.
Cree una directiva de autorización. Debe crear dos directivas.
1. En el caso de dispositivos que no estén registrados como BYOD, proporcione el perfil de redirección creado en el paso 5.
2. En el caso de dispositivos registrados en BYOD que estén utilizando EAP-TLS, proporcione acceso completo a estos dispositivos.
Configuración de WLC
Paso 1. Configure el servidor Radius en el WLC.
Vaya a Seguridad > AAA > Radio > Autenticación.
Vaya a Seguridad > AAA > Radio > Contabilidad.
Paso 2. Configure un SSID Dot1x.
Paso 3. Configure la ACL de redirección para proporcionar acceso limitado para el aprovisionamiento del dispositivo.
- Permitir tráfico UDP a DHCP y DNS (DHCP está permitido de forma predeterminada).
- Comunicación a ISE.
- Denegar otro tráfico.
Nombre: BYOD inicial (O lo que sea que haya denominado manualmente la ACL en el perfil de autorización)
Verificación
Verificación de flujo de autenticación
1. En el primer inicio de sesión, el usuario realiza la autenticación PEAP utilizando un nombre de usuario y una contraseña. En ISE, el usuario accede a la regla de redirección BYOD-Redirect.
2. Después del registro de BYOD, el usuario se agrega al dispositivo registrado y ahora realiza EAP-TLS y obtiene acceso completo.
Consulte el portal Mis dispositivos
Navegue hasta Portal Mis dispositivos e inicie sesión con las credenciales. Puede ver el nombre del dispositivo y el estado de registro.
Puede crear una URL para el portal Mis dispositivos.
Navegue hasta ISE > Centros de trabajo > BYOD > Portal y componentes > Portal Mis dispositivos > Configuración de inicio de sesión y luego ingrese la URL completamente calificada.
Troubleshoot
Información general
Para el proceso BYOD, estos componentes de ISE deben habilitarse en la depuración en los nodos PSN.
scep: mensajes de registro de scep. Archivos de registro de destino guest.log e ise-psc.log.
client-webapp - el componente responsable de los mensajes de infraestructura. Archivo de registro de destino: ise-psc.log
portal-web-action: el componente responsable del procesamiento de políticas de aprovisionamiento de clientes. Archivo de registro de destino: guest.log.
portal: todos los eventos relacionados con el portal. Archivo de registro de destino: guest.log
portal-session-manager -Archivos de registro de destino - Mensajes de depuración relacionados con la sesión del portal - gues.log
ca-service- mensajes de ca-service -Archivos de registro de destino -caservice.log y caservice-misc.log
ca-service-cert - mensajes de certificado de ca-service - Archivos de registro de destino - caservice.log y caservice-misc.log
admin-ca- ca-service admin messages -Target log files ise-psc.log, caservice.log y caservice-misc.log
certprovisioningportal - mensajes del portal de aprovisionamiento de certificados - Archivos de registro de destino ise-psc.log
nsf- mensajes relacionados con NSF -Archivos de registro de destino ise-psc.log
nsf-session - Mensajes relacionados con la memoria caché de la sesión -Archivos de registro de destino ise-psc.log
runtime-AAA - Todos los eventos de Runtime. Archivo de registro de destino: prrt-server.log .
Para los registros del lado del cliente:
Busque %temp%\spwProfileLog.txt (por ejemplo: C:\Users\<username>\AppData\Local\Temp\spwProfileLog.txt)
Análisis de registros en funcionamiento
Registros de ISE
Aceptación de acceso inicial con ACL de redirección y URL de redirección para el portal BYOD.
Port-server.log
Radius,2020-12-02 05:43:52,395,DEBUG,0x7f433e6b8700,cntx=0008590803,sesn=isee30-primary/392215758/699,CPMSessionID=0a6a21b20000009f5fc770c7,user=dot1xuser,CallingStationID=50-3e-aa-e4-81-b6,RADIUS PACKET:: Code=2(AccessAccept) Identifier=254 Length=459
[1] User-Name - value: [dot1xuser]
[25] Class - value: [****]
[79] EAP-Message - value: [ñ
[80] Message-Authenticator - value: [.2{wëbÙ¨ÅþO5‹Z]
[26] cisco-av-pair - value: [url-redirect-acl=BYOD-Initial]
[26] cisco-av-pair - value: [url-redirect=https://10.106.32.119:8443/portal/gateway?sessionId=0a6a21b20000009f5fc770c7&portal=7f8ac563-3304-4f25-845d-be9faac3c44f&action=nsp&token=53a2119de6893df6c6fca25c8d6bd061]
[26] MS-MPPE-Send-Key - value: [****]
[26] MS-MPPE-Recv-Key - value: [****] ,RADIUSHandler.cpp:2216Cuando un usuario final intenta navegar a un sitio web y fue redirigido por el WLC a la URL de redirección de ISE.
Guest.log
2020-12-02 05:43:58,339 DEBUG [https-jsse-nio-10.106.32.119-8443-exec-5][] com.cisco.ise.portal.Gateway -::- Gateway Params (after update):
redirect=www.msftconnecttest.com/redirect
client_mac=null
daysToExpiry=null
ap_mac=null
switch_url=null
wlan=null
action=nsp
sessionId=0a6a21b20000009f5fc770c7
portal=7f8ac563-3304-4f25-845d-be9faac3c44f
isExpired=null
token=53a2119de6893df6c6fca25c8d6bd061
2020-12-02 05:43:58,339 DEBUG [https-jsse-nio-10.106.32.119-8443-exec-5][] cisco.ise.portalwebaction.utils.RadiusSessionUtil -::- sessionId=0a6a21b20000009f5fc770c7 : token=53a2119de6893df6c6fca25c8d6bd061
2020-12-02 05:43:58,339 DEBUG [https-jsse-nio-10.106.32.119-8443-exec-5][] cisco.ise.portalwebaction.utils.RadiusSessionUtil -::- Session token successfully validated.
2020-12-02 05:43:58,344 DEBUG [https-jsse-nio-10.106.32.119-8443-exec-5][] cisco.ise.portal.util.PortalUtils -::- UserAgent : Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:83.0) Gecko/20100101 Firefox/83.0
2020-12-02 05:43:58,344 DEBUG [https-jsse-nio-10.106.32.119-8443-exec-5][] cisco.ise.portal.util.PortalUtils -::- isMozilla: true
2020-12-02 05:43:58,344 DEBUG [https-jsse-nio-10.106.32.119-8443-exec-5][] com.cisco.ise.portal.Gateway -::- url: /portal/PortalSetup.action?portal=7f8ac563-3304-4f25-845d-be9faac3c44f&sessionId=0a6a21b20000009f5fc770c7&action=nsp&redirect=www.msftconnecttest.com%2Fredirect
2020-12-02 05:43:58,355 DEBUG [https-jsse-nio-10.106.32.119-8443-exec-7][] cisco.ise.portalwebaction.controller.PortalFlowInterceptor -::- start guest flow interceptor...
2020-12-02 05:43:58,356 DEBUG [https-jsse-nio-10.106.32.119-8443-exec-7][] cisco.ise.portalwebaction.actions.BasePortalAction -::- Executing action PortalSetup via request /portal/PortalSetup.action
2020-12-02 05:43:58,356 DEBUG [https-jsse-nio-10.106.32.119-8443-exec-7][] cisco.ise.portalwebaction.actions.PortalSetupAction -::- executeAction...
2020-12-02 05:43:58,360 DEBUG [https-jsse-nio-10.106.32.119-8443-exec-7][] cisco.ise.portalwebaction.actions.BasePortalAction -::- Result from action, PortalSetup: success
2020-12-02 05:43:58,360 DEBUG [https-jsse-nio-10.106.32.119-8443-exec-7][] cisco.ise.portalwebaction.actions.BasePortalAction -::- Action PortalSetup Complete for request /portal/PortalSetup.action
2020-12-02 05:43:58,360 DEBUG [https-jsse-nio-10.106.32.119-8443-exec-7][] cpm.guestaccess.flowmanager.processor.PortalFlowProcessor -::- Current flow step: INIT, otherInfo=id: 226ea25b-5e45-43f5-b79d-fb59cab96def
2020-12-02 05:43:58,361 DEBUG [https-jsse-nio-10.106.32.119-8443-exec-7][] cpm.guestaccess.flowmanager.step.StepExecutor -::- Getting next flow step for INIT with TranEnum=PROCEED
2020-12-02 05:43:58,361 DEBUG [https-jsse-nio-10.106.32.119-8443-exec-7][] cpm.guestaccess.flowmanager.step.StepExecutor -::- StepTran for Step=INIT=> tranEnum=PROCEED, toStep=BYOD_WELCOME
2020-12-02 05:43:58,361 DEBUG [https-jsse-nio-10.106.32.119-8443-exec-7][] cpm.guestaccess.flowmanager.step.StepExecutor -::- Find Next Step=BYOD_WELCOME
2020-12-02 05:43:58,361 DEBUG [https-jsse-nio-10.106.32.119-8443-exec-7][] cpm.guestaccess.flowmanager.step.StepExecutor -::- Step : BYOD_WELCOME will be visible!
2020-12-02 05:43:58,361 DEBUG [https-jsse-nio-10.106.32.119-8443-exec-7][] cpm.guestaccess.flowmanager.step.StepExecutor -::- Returning next step =BYOD_WELCOME
2020-12-02 05:43:58,362 DEBUG [https-jsse-nio-10.106.32.119-8443-exec-7][] cpm.guestaccess.flowmanager.adaptor.PortalUserAdaptorFactory -::- Looking up Guest user with uniqueSubjectId=5f5592a4f67552b855ecc56160112db42cf7074e
2020-12-02 05:43:58,365 DEBUG [https-jsse-nio-10.106.32.119-8443-exec-7][] cpm.guestaccess.flowmanager.adaptor.PortalUserAdaptorFactory -::- Found Guest user 'dot1xuserin DB using uniqueSubjectID '5f5592a4f67552b855ecc56160112db42cf7074e'. authStoreName in DB=Internal Users, authStoreGUID in DB=9273fe30-8c01-11e6-996c-525400b48521. DB ID=bab8f27d-c44a-48f5-9fe4-5187047bffc0
2020-12-02 05:43:58,366 DEBUG [https-jsse-nio-10.106.32.119-8443-exec-7][] cisco.ise.portalwebaction.controller.PortalStepController -::- ++++ updatePortalState: PortalSession (e0d457d9-a346-4b6e-bcca-5cf29e12dacc) current state is INITIATED and current step is BYOD_WELCOME
2020-12-02 05:40:35,611 DEBUG [https-jsse-nio-10.106.32.119-8443-exec-6][] com.cisco.ise.portalSessionManager.PortalSession -::- Setting the portal session state to ACTIVE
2020-12-02 05:40:35,611 DEBUG [https-jsse-nio-10.106.32.119-8443-exec-6][] cisco.ise.portalwebaction.controller.PortalStepController -::- nextStep: BYOD_WELCOME
Haga clic en Start en la página de bienvenida de BYOD.
020-12-02 05:44:01,926 DEBUG [https-jsse-nio-10.106.32.119-8443-exec-3][] cisco.ise.portalwebaction.actions.BasePortalAction -:dot1xuser:- Executing action ByodStart via request /portal/ByodStart.action
2020-12-02 05:44:01,926 DEBUG [https-jsse-nio-10.106.32.119-8443-exec-3][] cisco.ise.portalwebaction.controller.PortalPreResultListener -:dot1xuser:- currentStep: BYOD_WELCOMELlegados a este punto, ISE evalúa si los archivos/recursos necesarios para BYOD están presentes o no, y se establece en el estado INIT de BYOD.
2020-12-02 05:44:01,936 DEBUG [https-jsse-nio-10.106.32.119-8443-exec-3][] guestaccess.flowmanager.step.guest.ByodWelcomeStepExecutor -:dot1xuser:- userAgent=Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:83.0) Gecko/20100101 Firefox/83.0, os=Windows 10 (All), nspStatus=SUCCESS
2020-12-02 05:44:01,936 DEBUG [https-jsse-nio-10.106.32.119-8443-exec-3][] guestaccess.flowmanager.step.guest.ByodWelcomeStepExecutor -:dot1xuser:- NSP Downloadalble Resource data=>, resource=DownloadableResourceInfo :WINDOWS_10_ALL https://10.106.32.119:8443/auth/provisioning/download/a2b317ee-df5a-4bda-abc3-e4ec38ee188c/WirelessNSP.xml?sessionId=0a6a21b20000009f5fc770c7&os=WINDOWS_10_ALL null null https://10.106.32.119:8443/auth/provisioning/download/90a6dc9c-4aae-4431-a453-81141ec42d2d/ null null https://10.106.32.119:8443/auth/provisioning/download/90a6dc9c-4aae-4431-a453-81141ec42d2d/NetworkSetupAssistant.exe, coaType=NoCoa
2020-12-02 05:44:01,936 DEBUG [https-jsse-nio-10.106.32.119-8443-exec-3][] cpm.guestaccess.flowmanager.utils.NSPProvAccess -:dot1xuser:- It is a WIN/MAC!
2020-12-02 05:44:01,936 DEBUG [https-jsse-nio-10.106.32.119-8443-exec-3][] cpm.guestaccess.flowmanager.step.StepExecutor -:dot1xuser:- Returning next step =BYOD_REGISTRATION
2020-12-02 05:44:01,950 DEBUG [https-jsse-nio-10.106.32.119-8443-exec-3][] cisco.ise.portalwebaction.controller.PortalStepController -:dot1xuser:- ++++ updatePortalState: PortalSession (e0d457d9-a346-4b6e-bcca-5cf29e12dacc) current state is ACTIVE and current step is BYOD_REGISTRATION
2020-12-02 05:44:01,950 DEBUG [https-jsse-nio-10.106.32.119-8443-exec-3][] cisco.ise.portalwebaction.controller.PortalStepController -:dot1xuser:- nextStep: BYOD_REGISTRATION
Introduzca el nombre del dispositivo y haga clic en Register.
2020-12-02 05:44:14,682 DEBUG [https-jsse-nio-10.106.32.119-8443-exec-1][] cisco.ise.portalwebaction.actions.BasePortalAction -:dot1xuser:- Executing action ByodRegister via request /portal/ByodRegister.action
Request Parameters:
from=BYOD_REGISTRATION
token=PZBMFBHX3FBPXT8QF98U717ILNOTD68D
device.name=My-Device
device.description=
2020-12-02 05:44:14,682 DEBUG [https-jsse-nio-10.106.32.119-8443-exec-1][] cisco.ise.portal.actions.ByodRegisterAction -:dot1xuser:- executeAction...
2020-12-02 05:44:14,682 DEBUG [https-jsse-nio-10.106.32.119-8443-exec-1][] cisco.ise.portalwebaction.actions.BasePortalAction -:dot1xuser:- Result from action, ByodRegister: success
2020-12-02 05:44:14,682 DEBUG [https-jsse-nio-10.106.32.119-8443-exec-1][] cisco.ise.portalwebaction.actions.BasePortalAction -:dot1xuser:- Action ByodRegister Complete for request /portal/ByodRegister.action
2020-12-02 05:44:14,683 DEBUG [https-jsse-nio-10.106.32.119-8443-exec-1][] cpm.guestaccess.apiservices.mydevices.MyDevicesServiceImpl -:dot1xuser:- Register Device : 50:3E:AA:E4:81:B6
username= dot1xuser
idGroupID= aa13bb40-8bff-11e6-996c-525400b48521
authStoreGUID= 9273fe30-8c01-11e6-996c-525400b48521
nadAddress= 10.106.33.178
isSameDeviceRegistered = false
2020-12-02 05:44:14,900 DEBUG [https-jsse-nio-10.106.32.119-8443-exec-1][] cpm.guestaccess.flowmanager.step.StepExecutor -:dot1xuser:- Returning next step =BYOD_INSTALL
2020-12-02 05:44:14,902 DEBUG [https-jsse-nio-10.106.32.119-8443-exec-1][] cisco.ise.portalwebaction.controller.PortalStepController -:dot1xuser:- ++++ updatePortalState: PortalSession (e0d457d9-a346-4b6e-bcca-5cf29e12dacc) current state is ACTIVE and current step is BYOD_INSTALL
2020-12-02 05:44:01,954 DEBUG [https-jsse-nio-10.106.32.119-8443-exec-3][] cisco.ise.portalwebaction.controller.PortalFlowInterceptor -:dot1xuser:- result: success
2020-12-02 05:44:14,969 DEBUG [https-jsse-nio-10.106.32.119-8443-exec-10][] cisco.cpm.client.provisioning.StreamingServlet -::- StreamingServlet URI:/auth/provisioning/download/90a6dc9c-4aae-4431-a453-81141ec42d2d/NetworkSetupAssistant.exe
Ahora, cuando el usuario hace clic en Start en la NSA, se crea temporalmente un archivo llamado spwProfile.xml en el cliente que copia el contenido de Cisco-ISE-NSP.xml descargado en el puerto TCP 8905.
Guest.log
2020-12-02 05:45:03,275 DEBUG [portal-http-service15][] cisco.cpm.client.provisioning.StreamingServlet -::- StreamingServlet URI:/auth/provisioning/download/a2b317ee-df5a-4bda-abc3-e4ec38ee188c/WirelessNSP.xml
2020-12-02 05:45:03,275 DEBUG [portal-http-service15][] cisco.cpm.client.provisioning.StreamingServlet -::- Streaming to ip:10.106.33.167 file type: NativeSPProfile file name:WirelessNSP.xml
2020-12-02 05:45:03,308 DEBUG [portal-http-service15][] cisco.cpm.client.provisioning.StreamingServlet -::- SPW profile ::
2020-12-02 05:45:03,308 DEBUG [portal-http-service15][] cisco.cpm.client.provisioning.StreamingServlet -::-
WirelessNSP
2.0
ALL
wireless
BYOD-Dot1x
WPA2
TLS
false
e2c32ce0-313d-11eb-b19e-e60300a810d5
---output omitted---
2020-12-02 05:45:03,310 DEBUG [portal-http-service15][] cisco.cpm.client.provisioning.StreamingServlet -::- Done Streaming file to ip:10.106.33.167:WirelessNSP.xml Después de leer el contenido de spwProfile.xml, la NSA configura el perfil de red y genera una CSR, y la envía a ISE para obtener un certificado mediante el URL PKI Client
ise-psc.log
2020-12-02 05:45:11,298 DEBUG [https-jsse-nio-10.106.32.119-8443-exec-1][] cisco.cpm.provisioning.cert.CertProvisioningFactory -::::- Found incoming certifcate request for internal CA. Increasing Cert Request counter.
2020-12-02 05:45:11,331 DEBUG [https-jsse-nio-10.106.32.119-8443-exec-1][] cisco.cpm.provisioning.cert.CertProvisioningFactory -::::- Key type is RSA, retrieving ScepCertRequestProcessor for caProfileName=ISE Internal CA
2020-12-02 05:45:11,331 DEBUG [https-jsse-nio-10.106.32.119-8443-exec-1][] cisco.cpm.provisioning.cert.CertRequestValidator -::::- Session user has been set to = dot1xuser
2020-12-02 05:45:11,331 DEBUG [https-jsse-nio-10.106.32.119-8443-exec-1][] cisco.cpm.scep.util.ScepUtil -::::- Algorithm OID in CSR: 1.2.840.113549.1.1.1
2020-12-02 05:45:11,331 INFO [https-jsse-nio-10.106.32.119-8443-exec-1][] com.cisco.cpm.scep.ScepCertRequestProcessor -::::- About to forward certificate request C=IN,ST=Karnataka,L=bangalore,O=cisco,OU=tac,CN=dot1xuser with transaction id n@P~N6E to server http://127.0.0.1:9444/caservice/scep
2020-12-02 05:45:11,332 DEBUG [https-jsse-nio-10.106.32.119-8443-exec-1][] org.jscep.message.PkiMessageEncoder -::::- Encoding message: org.jscep.message.PkcsReq@5c1649c2[transId=4d22d2e256a247a302e900ffa71c35d75610de67,messageType=PKCS_REQ,senderNonce=Nonce [7d9092a9fab204bd7600357e38309ee8],messageData=org.bouncycastle.pkcs.PKCS10CertificationRequest@4662a5b0]
2020-12-02 05:45:11,332 DEBUG [https-jsse-nio-10.106.32.119-8443-exec-1][] org.jscep.message.PkcsPkiEnvelopeEncoder -::::- Encrypting session key using key belonging to [issuer=CN=Certificate Services Endpoint Sub CA - isee30-primary; serial=162233386180991315074159441535479499152]
2020-12-02 05:45:11,333 DEBUG [https-jsse-nio-10.106.32.119-8443-exec-1][] org.jscep.message.PkiMessageEncoder -::::- Signing message using key belonging to [issuer=CN=isee30-primary.anshsinh.local; serial=126990069826611188711089996345828696375]
2020-12-02 05:45:11,333 DEBUG [https-jsse-nio-10.106.32.119-8443-exec-1][] org.jscep.message.PkiMessageEncoder -::::- SignatureAlgorithm SHA1withRSA
2020-12-02 05:45:11,334 DEBUG [https-jsse-nio-10.106.32.119-8443-exec-1][] org.jscep.message.PkiMessageEncoder -::::- Signing org.bouncycastle.cms.CMSProcessableByteArray@5aa9dfcc contentca-service.log
2020-12-02 05:45:11,379 DEBUG [CAService-Scep][scep job 4d22d2e256a247a302e900ffa71c35d75610de67 0x67ee11d5 request] com.cisco.cpm.caservice.CrValidator -:::::- performing certificate request validation:
version [0]
subject [C=IN,ST=Karnataka,L=bangalore,O=cisco,OU=tac,CN=dot1xuser]
---output omitted---
2020-12-02 05:45:11,379 DEBUG [CAService-Scep][scep job 4d22d2e256a247a302e900ffa71c35d75610de67 0x67ee11d5 request validation] com.cisco.cpm.caservice.CrValidator -:::::- RDN value = dot1xuser
2020-12-02 05:45:11,379 DEBUG [CAService-Scep][scep job 4d22d2e256a247a302e900ffa71c35d75610de67 0x67ee11d5 request] com.cisco.cpm.caservice.CrValidator -:::::- request validation result CA_OKcaservice-misc.log
2020-12-02 05:45:11,380 DEBUG [CAService-Scep][scep job 4d22d2e256a247a302e900ffa71c35d75610de67 0x67ee11d5 request issuance] cisco.cpm.scep.util.ScepUtil -:::::- Algorithm OID in CSR: 1.2.840.113549.1.1.1
2020-12-02 05:45:11,380 DEBUG [CAService-Scep][scep job 4d22d2e256a247a302e900ffa71c35d75610de67 0x67ee11d5 request issuance] com.cisco.cpm.scep.CertRequestInfo -:::::- Found challenge password with cert template ID.caservice.log
2020-12-02 05:45:11,380 DEBUG [CAService-Scep][scep job 4d22d2e256a247a302e900ffa71c35d75610de67 0x67ee11d5 request issuance] cisco.cpm.caservice.util.CaServiceUtil -:::::- Checking cache for certificate template with ID: e2c32ce0-313d-11eb-b19e-e60300a810d5
2020-12-02 05:45:11,380 DEBUG [CAService-Scep][scep job 4d22d2e256a247a302e900ffa71c35d75610de67 0x67ee11d5 request issuance] com.cisco.cpm.caservice.CertificateAuthority -:::::- CA SAN Extensions = GeneralNames:
1: 50-3E-AA-E4-81-B6
2020-12-02 05:45:11,380 DEBUG [CAService-Scep][scep job 4d22d2e256a247a302e900ffa71c35d75610de67 0x67ee11d5 request issuance] com.cisco.cpm.caservice.CertificateAuthority -:::::- CA : add SAN extension...
2020-12-02 05:45:11,380 DEBUG [CAService-Scep][scep job 4d22d2e256a247a302e900ffa71c35d75610de67 0x67ee11d5 request issuance] com.cisco.cpm.caservice.CertificateAuthority -:::::- CA Cert Template name = BYOD_Certificate_template
2020-12-02 05:45:11,395 DEBUG [CAService-Scep][scep job 4d22d2e256a247a302e900ffa71c35d75610de67 0x67ee11d5 request issuance] cisco.cpm.caservice.util.CaServiceUtil -:::::- Storing certificate via REST for serial number: 518fa73a4c654df282ffdb026080de8d
2020-12-02 05:45:11,395 INFO [CAService-Scep][scep job 4d22d2e256a247a302e900ffa71c35d75610de67 0x67ee11d5 request issuance] com.cisco.cpm.caservice.CertificateAuthority -:::::- issuing Certificate Services Endpoint Certificate:
class [com.cisco.cpm.caservice.CaResultHolder] [1472377777]: result: [CA_OK]
subject [CN=dot1xuser, OU=tac, O=cisco, L=bangalore, ST=Karnataka, C=IN]
version [3]
serial [0x518fa73a-4c654df2-82ffdb02-6080de8d]
validity [after [2020-12-01T05:45:11+0000] before [2030-11-27T07:35:10+0000]]
keyUsages [ digitalSignature nonRepudiation keyEncipherment ]ise-psc.log
2020-12-02 05:45:11,407 DEBUG [AsyncHttpClient-15-9][] org.jscep.message.PkiMessageDecoder -::::- Verifying message using key belonging to 'CN=Certificate Services Endpoint RA - isee30-primary'caservice.log
2020-12-02 05:45:11,570 DEBUG [Infra-CAServiceUtil-Thread][] cisco.cpm.caservice.util.CaServiceUtil -:::::- Successfully stored endpoint certificate.ise-psc.log
2020-12-02 05:45:13,381 DEBUG [https-jsse-nio-10.106.32.119-8443-exec-10][] cisco.cpm.provisioning.cert.CertProvisioningFactory -::::- Performing doGetCertInitial found Scep certificate processor for txn id n@P~N6E
2020-12-02 05:45:13,381 DEBUG [https-jsse-nio-10.106.32.119-8443-exec-10][] com.cisco.cpm.scep.ScepCertRequestProcessor -::::- Polling C=IN,ST=Karnataka,L=bangalore,O=cisco,OU=tac,CN=dot1xuser for certificate request n@P~N6E with id {}
2020-12-02 05:45:13,385 INFO [https-jsse-nio-10.106.32.119-8443-exec-10][] com.cisco.cpm.scep.ScepCertRequestProcessor -::::- Certificate request Complete for C=IN,ST=Karnataka,L=bangalore,O=cisco,OU=tac,CN=dot1xuser Trx Idn@P~N6E
2020-12-02 05:45:13,596 DEBUG [https-jsse-nio-10.106.32.119-8443-exec-10][] cisco.cpm.provisioning.cert.CertProvisioningFactory -::::- BYODStatus:COMPLETE_OTA_NSPDespués de la instalación del certificado, los clientes inician otra autenticación mediante EAP-TLS y obtienen acceso completo.
prrt-server.log
Eap,2020-12-02 05:46:57,175,INFO ,0x7f433e6b8700,cntx=0008591342,sesn=isee30-primary/392215758/701,CPMSessionID=0a6a21b20000009f5fc770c7,CallingStationID=50-3e-aa-e4-81-b6,EAP: Recv EAP packet, code=Response, identifier=64, type=EAP-TLS, length=166
,EapParser.cpp:150
Radius,2020-12-02 05:46:57,435,DEBUG,0x7f433e3b5700,cntx=0008591362,sesn=isee30-primary/392215758/701,CPMSessionID=0a6a21b20000009f5fc770c7,user=dot1xuser,CallingStationID=50-3e-aa-e4-81-b6,RADIUS PACKET:: Code=2(AccessAccept) Identifier=5 Length=231
[1] User-Name - value: [dot1xuser]
[25] Class - value: [****]
[79] EAP-Message - value: [E
[80] Message-Authenticator - value: [Ù(ØyËöžö|kÔ‚¸}]
[26] MS-MPPE-Send-Key - value: [****]
[26] MS-MPPE-Recv-Key - value: [****] ,RADIUSHandler.cpp:2216Registros del cliente (registros spw)
El cliente inicia para descargar el perfil.
[Mon Nov 30 03:34:27 2020] Downloading profile configuration...
[Mon Nov 30 03:34:27 2020] Discovering ISE using default gateway
[Mon Nov 30 03:34:27 2020] Identifying wired and wireless network interfaces, total active interfaces: 1
[Mon Nov 30 03:34:27 2020] Network interface - mac:50-3E-AA-E4-81-B6, name: Wi-Fi 2, type: unknown
[Mon Nov 30 03:34:27 2020] Identified default gateway: 10.106.33.1
[Mon Nov 30 03:34:27 2020] Identified default gateway: 10.106.33.1, mac address: 50-3E-AA-E4-81-B6
[Mon Nov 30 03:34:27 2020] DiscoverISE - start
[Mon Nov 30 03:34:27 2020] DiscoverISE input parameter : strUrl [http://10.106.33.1/auth/discovery]
[Mon Nov 30 03:34:27 2020] [HTTPConnection] CrackUrl: host = 10.106.33.1, path = /auth/discovery, user = , port = 80, scheme = 3, flags = 0
[Mon Nov 30 03:34:27 2020] [HTTPConnection] HttpSendRequest: header = Accept: */*
headerLength = 12 data = dataLength = 0
[Mon Nov 30 03:34:27 2020] HTTP Response header: [HTTP/1.1 200 OK
Location: https://10.106.32.119:8443/portal/gateway?sessionId=0a6a21b20000009c5fc4fb5e&portal=7f8ac563-3304-4f25-845d-be9faac3c44f&action=nsp&token=29354d43962243bcb72193cbf9dc3260&redirect=10.106.33.1/auth/discovery
[Mon Nov 30 03:34:36 2020] [HTTPConnection] CrackUrl: host = 10.106.32.119, path = /auth/provisioning/download/a2b317ee-df5a-4bda-abc3-e4ec38ee188c/WirelessNSP.xml?sessionId=0a6a21b20000009c5fc4fb5e&os=WINDOWS_10_ALL, user = , port = 8443, scheme = 4, flags = 8388608
Mon Nov 30 03:34:36 2020] parsing wireless connection setting
[Mon Nov 30 03:34:36 2020] Certificate template: [keytype:RSA, keysize:2048, subject:OU=tac;O=cisco;L=bangalore;ST=Karnataka;C=IN, SAN:MAC]
[Mon Nov 30 03:34:36 2020] set ChallengePwd
El cliente comprueba si el servicio WLAN se está ejecutando.
[Mon Nov 30 03:34:36 2020] WirelessProfile::StartWLanSvc - Start
[Mon Nov 30 03:34:36 2020] Wlansvc service is in Auto mode ...
[Mon Nov 30 03:34:36 2020] Wlansvc is running in auto mode...
[Mon Nov 30 03:34:36 2020] WirelessProfile::StartWLanSvc - End
[Mon Nov 30 03:34:36 2020] Wireless interface 1 - Desc: [TP-Link Wireless USB Adapter], Guid: [{65E78DDE-E3F1-4640-906B-15215F986CAA}]...
[Mon Nov 30 03:34:36 2020] Wireless interface - Mac address: 50-3E-AA-E4-81-B6
[Mon Nov 30 03:34:36 2020] Identifying wired and wireless interfaces...
[Mon Nov 30 03:34:36 2020] Found wireless interface - [ name:Wi-Fi 2, mac address:50-3E-AA-E4-81-B6]
[Mon Nov 30 03:34:36 2020] Wireless interface [Wi-Fi 2] will be configured...
[Mon Nov 30 03:34:37 2020] Host - [ name:DESKTOP-965F94U, mac addresses:50-3E-AA-E4-81-B6]
El cliente comienza a aplicar el perfil.
[Mon Nov 30 03:34:37 2020] ApplyProfile - Start...
[Mon Nov 30 03:34:37 2020] User Id: dot1xuser, sessionid: 0a6a21b20000009c5fc4fb5e, Mac: 50-3E-AA-E4-81-B6, profile: WirelessNSP
[Mon Nov 30 03:34:37 2020] number of wireless connections to configure: 1
[Mon Nov 30 03:34:37 2020] starting configuration for SSID : [BYOD-Dot1x]
[Mon Nov 30 03:34:37 2020] applying certificate for ssid [BYOD-Dot1x]Certificado de instalación del cliente.
[Mon Nov 30 03:34:37 2020] ApplyCert - Start...
[Mon Nov 30 03:34:37 2020] using ChallengePwd
[Mon Nov 30 03:34:37 2020] creating certificate with subject = dot1xuser and subjectSuffix = OU=tac;O=cisco;L=bangalore;ST=Karnataka;C=IN
[Mon Nov 30 03:34:38 2020] Self signed certificate
[Mon Nov 30 03:34:44 2020] Installed [isee30-primary.anshsinh.local, hash: 5b a2 08 1e 17 cb 73 5f ba 5b 9f a2 2d 3b fc d2 86 0d a5 9b
] as rootCA
[Mon Nov 30 03:34:44 2020] Installed CA cert for authMode machineOrUser - Success
Certificate is downloaded . Omitted for brevity -
[Mon Nov 30 03:34:50 2020] creating response file name C:\Users\admin\AppData\Local\Temp\response.cer
[Mon Nov 30 03:34:50 2020] Certificate issued - successfully
[Mon Nov 30 03:34:50 2020] ScepWrapper::InstallCert start
[Mon Nov 30 03:34:50 2020] ScepWrapper::InstallCert: Reading scep response file [C:\Users\admin\AppData\Local\Temp\response.cer].
[Mon Nov 30 03:34:51 2020] ScepWrapper::InstallCert GetCertHash -- return val 1
[Mon Nov 30 03:34:51 2020] ScepWrapper::InstallCert end
[Mon Nov 30 03:34:51 2020] ApplyCert - End...
[Mon Nov 30 03:34:51 2020] applied user certificate using template id e2c32ce0-313d-11eb-b19e-e60300a810d5
ISE configura el perfil inalámbrico
[Mon Nov 30 03:34:51 2020] Configuring wireless profiles...
[Mon Nov 30 03:34:51 2020] Configuring ssid [BYOD-Dot1x]
[Mon Nov 30 03:34:51 2020] WirelessProfile::SetWirelessProfile - Start
[Mon Nov 30 03:34:51 2020] TLS - TrustedRootCA Hash: [ 5b a2 08 1e 17 cb 73 5f ba 5b 9f a2 2d 3b fc d2 86 0d a5 9b]
Perfil
BYOD-Dot1x
BYOD-Dot1x
true
ESS
auto
false
WPA2
AES
true
true
user
13
0
13
true
false
5b a2 08 1e 17 cb 73 5f ba 5b 9f a2 2d 3b fc d2 86 0d a5 9b
false
Wireless interface succesfully initiated, continuing to configure SSID
[Mon Nov 30 03:34:51 2020] Currently connected to SSID: [BYOD-Dot1x]
[Mon Nov 30 03:34:51 2020] Wireless profile: [BYOD-Dot1x] configured successfully
[Mon Nov 30 03:34:51 2020] Connect to SSID
[Mon Nov 30 03:34:51 2020] Successfully connected profile: [BYOD-Dot1x]
[Mon Nov 30 03:34:51 2020] WirelessProfile::SetWirelessProfile. - End
[Mon Nov 30 03:35:21 2020] WirelessProfile::IsSingleSSID - Start
[Mon Nov 30 03:35:21 2020] Currently connected to SSID: [BYOD-Dot1x], profile ssid: [BYOD-Dot1x], Single SSID
[Mon Nov 30 03:35:21 2020] WirelessProfile::IsSingleSSID - End
[Mon Nov 30 03:36:07 2020] Device configured successfully.
Historial de revisiones
| Revisión | Fecha de publicación | Comentarios |
|---|---|---|
2.0 |
21-Apr-2025 |
Actualización de Introducción, Texto alternativo y Formato. |
1.0 |
15-Dec-2020 |
Versión inicial |
ComentariosContacte a Cisco
- Abrir un caso de soporte
- (Requiere un Cisco Service Contract)