Configurar el v3.2 del Cisco Secure ACS for Windows con la autenticación de la máquina PEAP-MS-CHAPv2

Introducción

Este documento demuestra cómo configurar el Protocolo de autenticación extensible protegido (PEAP) con la versión 3.2 de Cisco Secure ACS para Windows.

Para más información sobre cómo configurar el acceso de red inalámbrica seguro usando los reguladores del Wireless LAN, el software de Microsoft Windows 2003, y el Cisco Secure Access Control Server (ACS) 4.0, refieren al PEAP bajo redes inalámbricas unificadas con ACS 4.0 y Windows 2003.

prerrequisitos

Requisitos

No hay requisitos previos específicos para este documento.

Componentes Utilizados

La información que contiene este documento se basa en las versiones de software y hardware indicadas a continuación.

• Cisco Secure ACS para la versión 3.2 de Windows

• Servicios de certificado de Microsoft (instalados como Enterprise root certificate authority [CA])

  Nota: Para obtener más información, consulte la guía paso a paso para configurar una autoridad de certificación.

• Servicio DNS con Windows 2000 Server con service pack 3

  Nota: Si experimenta problemas en el Servidor CA, instale hotfix 323172. El cliente del Windows 2000 SP3 requiere el hotfix 313664 habilitar la autenticación del IEEE 802.1X.

• Punto de acceso inalámbrico 12.01T de Cisco Aironet de la serie 1200

• Una IBM ThinkPad T30 que ejecuta Windows XP Professional con Service Pack 1

La información que se presenta en este documento se originó a partir de dispositivos dentro de un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si la red está funcionando, asegúrese de haber comprendido el impacto que puede tener un comando antes de ejecutarlo.

Teoría Precedente

PEAP y EAP-TLS crean y usan un túnel de TLS/Secure Socket Layer (SSL) El PEAP utiliza solamente la autenticación del lado del servidor; solamente el servidor tiene un certificado y prueba su identidad al cliente. El EAP-TLS, sin embargo, utiliza la autenticación recíproca en la cual el servidor y los clientes ACS ([AAA] del autenticación, autorización y contabilidad) tienen Certificados y prueban sus identidades el uno al otro.

PEAP es conveniente dado que los clientes no requieren certificados. El EAP-TLS es útil para autenticar los dispositivos sin encabezado, porque los Certificados no requieren ninguna interacción del usuario.

Convenciones

Para obtener más información sobre las convenciones del documento, consulte Convenciones de Consejos Técnicos de Cisco.

Diagrama de la red

Este documento utiliza la instalación de red que se muestra en el siguiente diagrama.

V3.2 del Cisco Secure ACS for Windows de la configuración

Siga los siguientes pasos para configurar ACS 3.2.

1. Obtenga un certificado para el servidor ACS.

2. Configure el ACS para utilizar un certificado almacenado.

3. Especifique las autoridades de certificado adicionales en las que debería confiar el ACS (Servidor de control de acceso seguro).

4. Reinicie el servicio y configure los parámetros de PEAP en ACS.

5. Especificar y configurar el punto de acceso como un cliente AAA.

6. Configure las bases de datos de los usuarios externos

7. Reiniciar el servicio.

Obtenga un certificado para el servidor ACS

Siga los pasos a continuación para obtener un certificado.

1. En el servidor ACS, abra un explorador de Internet y busque el servidor CA; para ello, introduzca http://CA-ip-address/certsrv en la barra de direcciones. Iniciar sesión en el dominio como Administrador.

   

2. Seleccione la petición un certificado, y después haga clic después.

   

3. Selecccione Advanced request (Petición avanzada) y luego haga clic en Next (Siguiente).

   

4. Seleccione Submit a certificate request to this CA using a form (Enviar una petición de certificado a esta CA mediante un formulario) y luego haga clic en Next (Siguiente).

   

5. Configure las opciones de certificado.

   1. Seleccione Servidor Web como plantilla de certificado. Ingrese el nombre del servidor ACS.

      

   2. Establezca el tamaño de clave en 1024. Seleccione las opciones para las claves de marca como exportables y Usar almacenamiento de máquina local. Configure las otras opciones que sean necesarias y luego haga clic en Submit (Enviar).

      

      Nota: Si se abre una ventana de advertencia acerca de la falta de cumplimiento de una secuencia de comandos (depende de la configuración de privacidad/seguridad de su navegador), haga clic en Yes (Sí) para continuar.

      

6. Haga clic en Install this certificate (Instalar este certificado).

   

   Nota: Si se abre una ventana de advertencia acerca de la falta de cumplimiento de una secuencia de comandos (depende de la configuración de privacidad/seguridad de su navegador), haga clic en Yes (Sí) para continuar.

   

7. Si la instalación se ha realizado con éxito, verá un mensaje de confirmación

   

Configure ACS para usar un certificado del almacenamiento

Siga estos pasos para configurar ACS a fin de utilizar el certificado en almacenamiento.

1. Abra un explorador de Web e ingrese http://ACS-ip-address:2002/ en la barra de direcciones para buscar el servidor ACS. Haga clic en Configuración del sistema, y luego en Instalación de certificado ACS.

2. Haga clic en Install ACS Certificate (Instalar certificado ACS).

3. Seleccione Use Certificate from storage (Usar certificado desde almacenamiento). En el campo del certificado CN, ingrese el nombre del certificado que usted asignó en el paso 5a de la sección obtiene un certificado para el servidor ACS. Haga clic en Submit (Enviar).

   Esta entrada debe coincidir con el nombre que usted escribió en el campo Name (Nombre) durante la solicitud avanzada de certificado. Es el nombre CN en el campo Subject del certificado de servidor; usted puede editar el certificado de servidor para marcar para saber si hay este nombre. En este ejemplo, el nombre es “OurACS”. No ingrese el nombre CN del emisor.

   

4. Cuando la configuración haya finalizado, verá un mensaje de confirmación indicando que la configuración del servidor ACS ha sido modificada.

   Nota: No es necesario que reinicie el ACS ahora.

   

Especifique autoridades certificadoras adicionales en las que la ACS debe confiar

El ACS confiará automáticamente en la Autoridad de certificación que emitió su propio certificado. Si los certificados del cliente están emitidos por Autoridades de certificación, deberá realizar los siguiente pasos:

1. Haga clic en Configuración del sistema, y luego en Instalación de certificado ACS.

2. Haga clic en ACS Certificate Authority Setup (Configuración de ACS Certificate Authority) para agregar CA a la lista de certificados confiables. En el campo para el archivo de certificado CA, ingrese la ubicación del archivo y luego haga clic en Submit (Enviar).

   

3. Haga clic en Edit Certificate Trust List (Editar lista de confianza del certificado). Marque todos los CA que el ACS debe confiar, y desmarque todos los CA que el ACS no debería confiar. Haga clic en Submit (Enviar).

   

Reinicie el servicio y configure PEAP en el ACS

Siga los siguientes pasos para recomenzar las configuraciones del servicio y de la configuración PEAP.

1. Haga clic en System Configuration (Configuración del sistema), y luego en Service Control (Control del servicio).

2. Haga clic en Restart (Reiniciar) para reiniciar el servicio.

3. Para configurar los valores de PEAP, haga clic en Configuración del sistema, y luego en Configuración de autenticación global.

4. Verifique las dos configuraciones que aparecen a continuación y deje las demás en el modo predeterminado. Si lo desea, puede especificar otras configuraciones adicionales como Enable Fast Reconnect (permitir reconexión rápida). Cuando haya finalizado, haga clic en Submit (Enviar).

   • Permitir EAP-MSCHAPv2

   • Permite la autenticación de la versión 2 de MS-CHAP

   Nota: Para obtener más información acerca de Fast Connect, consulte "Authentication Configuration Options" (Opciones de configuración de la autenticación) en System Configuration (Configuración del sistema): Autenticación y certificados.

   

Especifique y configure el punto de acceso como un cliente AAA

Siga estos pasos para configurar el punto de acceso (AP) como un cliente AAA.

1. Haga clic en la configuración de red. En los clientes AAA, haga clic en Add Entry (Agregar entrada).

   

2. Ingrese el nombre de host de AP en el campo AAA Client Hostname (Nombre de host del cliente de AAA) y su dirección IP en el campo AAA Client IP Address (Dirección IP del cliente de AAA). Ingrese una clave de secreto compartido para el ACS y el AP en el campo Key (Clave). Seleccione RADIUS (Cisco Aironet) como el método de autenticación. Cuando haya finalizado, haga clic en Submit (Enviar).

   

Configuración de las bases de datos de los usuarios externos

Siga estos pasos para configurar las bases de datos de usuarios externos.

Nota: Solamente ACS 3.2 admite PEAP-MS-CHAPv2 con autenticación automática a una base de datos de Windows.

1. Haga clic en Bases de datos de usuarios externos y luego en Configuración de la base de datos. Haga clic en base de datos de Windows.

   Nota: Si no hay una base de datos de Windows definida, haga clic en Create New Configuration (Crear nueva configuración) y a continuación haga clic en Submit (Enviar).

2. Haga clic en Configure (Configurar). Desde Configurar lista de dominio, mueva el dominio SEC-SYD de los dominios disponibles a la lista de dominio.

   

3. Para habilitar la autenticación de máquina, en configuración de Windows EAP, seleccione la opción Permit PEAP machine authentication. No cambie el prefijo de nombre de autenticación de la máquina. Microsoft actualmente utiliza "/host" (el valor predeterminado) para hacer la distinción entre la autenticación del usuario y de la máquina. Si lo desea, consulte la opción Permit password change (Permitir cambio de contraseña) dentro de PEAP. Cuando haya finalizado, haga clic en Submit (Enviar).

   

4. Haga clic en External User Databases (Bases de datos de usuarios externas), y luego haga clic en Unknown User Policy (Política de usuario desconocida). Seleccione la opción para el control las Bases de datos de usuarios externas siguientes, después utilice el botón de la flecha correcta (- >) para mover la base de datos de Windows desde las bases de datos externas a las bases de datos seleccionadas. Cuando haya finalizado, haga clic en Submit (Enviar).

   

Reiniciar el servicio

Cuando haya terminado de configurar ACS, siga los siguientes pasos para reiniciar el servicio.

1. Haga clic en System Configuration (Configuración del sistema), y luego en Service Control (Control del servicio).

2. Haga clic en Restart (Reiniciar)

Configure el punto de acceso de Cisco

Siga los siguientes pasos para configurar AP de modo que utilice ACS como servidor de autenticación.

1. Abrir un explorador de Web y navegar hacia AP ingresando a http://AP-ip-address/certsrv en la barra de direcciones. En la barra de herramientas, haga clic en Setup (Configuración).

2. En Services (Servicios), haga clic en Security (Seguridad).

3. Haga clic en Authentication Server (Servidor de autenticación)

   Nota: Si ha configurado cuentas en AP, deberá iniciar sesión.

4. Ingrese los valores de configuración del autenticador.

   • Seleccione 802.1x-2001 para la versión de protocolo 802.1x (para autenticación EAP).

   • Ingrese la dirección IP del servidor ACS en el campo Server Name/IP (Nombre/IP del servidor).

   • Seleccione RADIUS como el tipo de servidor.

   • Ingrese 1645 ó 1812 en el campo Port (Puerto).

   • Ingrese la clave secreta compartida que especificó en el paso 2 de Especificación y configuración de un punto de acceso como cliente AAA.

   • Verifique la opción para la autenticación EAP para especificar cómo se debe usar el servidor.

   Cuando haya finalizado, haga clic en OK (Aceptar).

   

5. Haga clic en Radio Data Encryption (WEP) (Cifrado de datos de Radio (WEP)).

6. Ingrese la configuración para el encripción de datos internos.

   • Seleccione Full Encryption (Cifrado completo) para establecer el nivel de encripción de datos.

   • Ingrese una clave de encripción y configure el tamaño de la clave en 128 bits para que pueda utilizarse como clave de transmisión.

   Cuando haya finalizado, haga clic en OK (Aceptar).

   

7. Confirme que usted está utilizando el Service Set Identifier (SSID) correcto yendo al Network (Red) > Service Sets (Conjuntos de servicios) > Select the SSID Idx (Seleccionar el SSID Idx), y haga clic la AUTORIZACIÓN cuando le acaban.

   El ejemplo que aparece abajo muestra el "tsunami" de SSID predeterminado.

   

Configuran al cliente de red inalámbrica

Siga los siguientes pasos para configurar ACS 3.2.

1. Configure la inscripción automática del certificado de la máquina MS.

2. Únase al dominio.

3. Instale manualmente el certificado raíz en el cliente de Windows.

4. Configure la red inalámbrica.

Configure la inscripción automática de la máquina del certificado MS

Siga los siguientes pasos para configurar el dominio para la inscripción automática del certificado de la máquina en el controlador de dominio Kant.

1. Van al panel de control > Administrative Tools > los usuarios de directorio activo y computadora abiertos.

2. Haga clic con el botón secundario del mouse en el dominio sec-syd y seleccione Properties (Propiedades) en el submenú.

3. Seleccione la directiva del Default Domain del tecleo de cuadro de la directiva del grupo, y después haga clic editan.

4. Vaya al Computer Configuration (Configuración de computadora) > Windows Settings (Configuración de Windows) > Security Settings (Configuración de seguridad) > Public Key Policies (Políticas de clave pública) > Automatic Certificate Request Settings (Configuración automática de petición de certificados).

   

5. En la barra de menú, vaya al Action (Acción) > New (Nuevo) > Automatic Certificate Request (Petición automática de certificado) y haga clic en Next (Siguiente).

6. Seleccione Computadora y haga clic en Siguiente.

7. Inspeccione el CA

   En este ejemplo, CA se nombra “nuestro TAC CA”

8. Haga clic en Next (Siguiente) y luego en Finish (Finalizar).

Unirse al dominio

Siga estos pasos para agregar un cliente inalámbrico al dominio.

Nota: Para realizar estos pasos, el cliente inalámbrico debe tener conectividad al CA, a través de una conexión cableada o de la conexión inalámbrica con la seguridad 802.1x desactivada.

1. Inicie sesión en Windows XP como administrador local.

2. Vaya al Control Panel (Panel de control) > Performance and Maintenance (Rendimiento y mantenimiento) > System (Sistema).

3. Seleccione la ficha Computer Name (Nombre de la computadora) y luego haga clic en Change (Cambiar). Ingrese el nombre de host en el campo para el nombre del equipo. Seleccione el dominio y luego ingrese el nombre del dominio (SEC-SYD en este ejemplo). Click OK.

   

4. Cuando aparece un cuadro de diálogo de acceso al sistema, únase al dominio conectándose con una cuenta que tenga permiso para unirse al dominio.

5. Una vez que la computadora se haya unido correctamente al dominio, reiníciela. La máquina será un miembro del dominio; puesto que hemos configurado la inscripción automática de la máquina, la máquina tendrá un certificado para CA instalado así como un certificado para la autenticación de la máquina.

Instalación manual del certificado raíz en Windows cliente

Siga estos pasos para instalar manualmente el certificado raíz.

Nota:  Si ya tiene iniciada la inscripción automática de la máquina, no necesita seguir este paso. Salte por favor para configurar la red inalámbrica.

1. En la máquina de cliente de Windows, abra a un buscador Web y hojee al Microsoft CA server ingresando http:// root-CA-ip-address/certsrv en la barra de dirección. Inicie sesión al sitio de CA.

   En este ejemplo, la dirección del IP del servidor CA es 10.66.79.241.

   

2. Seleccione Retrieve the CA certificate or certification revocation list (Recuperar certificado de CA o lista de revocación de certificación) y haga clic en Next (Siguiente).

   

3. Haga clic en Download CA certificate (Descargar certificado CA) para guardar el certificado en la máquina local.

   

4. Abra el certificado y el tecleo instala el certificado.

   Nota: En el ejemplo a continuación, el icono en la parte superior izquierda indica que el certificado aún no es confiable (instalado).

   

5. Instalar el certificado en Current User/ Trusted Root Certificate Authorities.

   1. Haga clic en Next (Siguiente).

   2. Seleccione Automatically select the certificate store (Seleccione automáticamente el almacenamiento del certificado) según el tipo de certificado y haga clic en Next (Siguiente).

   3. Clic en Finalizar para colocar el certificado raíz automáticamente bajo autoridades de certificación actuales de la Raíz confiable del usuario.

Configure la comunicación en la red inalámbrica

Siga estos pasos para establecer las opciones para la red inalámbrica.

1. Iniciar sesión en el dominio como usuario de dominio.

2. Vaya al Control Panel (Panel de control) > Network and Internet Connections (Conexiones de red e Internet) > Network Connections (Conexiones de red). Haga clic con el botón secundario del mouse en Wireless Connection (Conexión inalámbrica) y en el submenú que aparece, seleccione Properties (Propiedades).

3. Seleccione las redes inalámbricas que cuadro selecciona la red inalámbrica (visualizada usando el nombre SSID del AP) de la lista de redes disponibles, y después haga clic la configuración.

   

4. En la ficha Authentication (Autenticación) de la ventana de propiedades de la red, seleccione la opción para activar la autenticación IEEE 802.1x en esta red. Para el tipo EAP, el EAP protegido selecto (PEAP) para el tipo EAP, y entonces hace clic las propiedades.

   Nota: Para habilitar la autenticación mediante la máquina, verifique la opción Autentícate as computer (Autenticar como computadora) cuando la información de computadora esté disponible.

   

5. Verifique Validar certificado del servidor y, luego, verifique la raíz CA para empresas utilizada por los clientes de PEAP y los dispositivos ACS. Seleccione Contraseña segura (EA—MSCHAP v2) para el método de autentificación y luego haga clic en Configurar.

   En este ejemplo, la CA raíz es denominada “Nuestra CA TAC”.

   

6. Para activar el inicio de sesión único, active la opción para utilizar automáticamente el nombre de usuario de sesión y la contraseña de Windows (y cualquier dominio, si lo hubiera). Haga Click en OK para validar esta configuración, y después para hacer clic la AUTORIZACIÓN otra vez para volver a la ventana de las propiedades Propiedades de la red.

   Con la conexión simple a PEAP, el cliente utiliza su nombre de usuario de ingreso Windows para la autenticación de PEAP, por lo que no necesita escribir la contraseña por segunda vez.

   

7. En la ficha Association (Asociación) de la ventana de propiedades de la red, marque las opciones para Data encryption (WEP enabled) (Cifrado de datos [habilitación WEP] y The key is provided for me automatically (La clave se proporciona automáticamente para mí). Haga clic en OK (Aceptar) y, a continuación, en OK (Aceptar) otra vez para cerrar la ventana de configuración de red.

   

Verificación

En esta sección encontrará información que puede utilizar para confirmar que su configuración esté funcionando correctamente.

• Para verificar que hayan autenticado al cliente de red inalámbrica, en el cliente de red inalámbrica vaya al Control Panel (Panel de control) > Network and Internet Connections (Conexiones de red e Internet) > Network Connections (Conexiones de red). En la barra de menú, vaya al View (Ver) > Titles (Títulos). La conexión inalámbrica debería mostrar el mensaje “Autenticación exitosa”

• Para verificar que hayan autenticado a los clientes de red inalámbrica, en la interfaz Web ACS vaya al Reports and Activity (Informes y actividad) > Passed Authentications (Autenticaciones aprobadas) > Passed Authentications active.csv (Autenticaciones aprobadas active.csv).

Troubleshooting

En esta sección encontrará información que puede utilizar para solucionar problemas de configuración.

• Verifique que los servicios de certificados MS hayan estado instalados como empresa raíz CA en Windows 2000 Advanced Server con el hotfixes 323172 y 313664 del Service Pack 3. deban ser instalados después de que los servicios de certificados MS estén instalados. Si están reinstalados los servicios de certificado MS, también debe reinstalarse el hotfix 323172.

• Verifique que esté usando Cisco Secure ACS para Windows versión 3.2 con Windows 2000 y Service Pack 3. Asegúrese de que hotfixes 323172 y 313664 hayan sido instalados.

• Si falla la autenticación del equipo en el cliente inalámbrico, no habrá conectividad de red en la conexión inalámbrica. Sólo las cuentas que tengan sus perfiles almacenados en la memoria caché del cliente inalámbrico podrán cargarse en el dominio. Será necesario conectar la máquina a una red cableada o configurar una conexión inalámbrica sin seguridad 802.1x.

• Si falla la inscripción automática con CA cuando se une al dominio, verifique el visor de eventos para ver las posibles razones. Intente marcar las configuraciones DNS en la laptop.

• Si el certificado ACS es rechazado por un cliente (que depende de la fecha de validez, “desde” y “hasta”, del certificado, las configuraciones de tiempo y hora del cliente y de la confianza en la Autoridad certificadora (CA)), luego el cliente será rechazado y la autenticación fracasará. El ACS registrará la autenticación fallida en la interfaz Web bajo los informes y la actividad > los intentos fallidos > el XXX.csv de los intentos fallidos con el Código de Falla de la autenticación similar al “EAP-TLS o la autenticación PEAP fallada durante el contacto SSL.” El mensaje de error esperado en el archivo CSAuth.log es similar al siguiente.

  AUTH 06/04/2003 14:56:41 E 0345 1644 EAP: buildEAPRequestMsg: 
  other side probably didn't accept our certificate

• En abre una sesión la interfaz Web ACS, bajo ambos informes y la actividad > las autenticaciones pasajeras > XXX.csv de las autenticaciones y actividad de Reportsand > los intentos fallidos > XXX.csv pasajeros de los intentos fallidos, las autenticaciones PEAP se muestra en <DOMAIN> \ <user-id> del formato. Las autenticaciones del EAP-TLS se muestran en el <user-id>@<domain> del formato.

• Para utilizar PEAP Fast Reconnect (reconexión rápida PEAP), debe habilitar esta función en el cliente y en el servidor ACS.

• Si el cambio de contraseña PEAP ha sido habilitado, puede cambiar la clave sólo cuando la contraseña de una cuenta se haya desactualizado o cuando la cuenta ha sido configurada para que se cambie la contraseña en el próximo inicio de sesión.

• Puede verificar el certificado y la fiabilidad del servidor ACS con los pasos a continuación.

  1. Ingrese a Windows en el servidor ACS con una cuenta que tenga privilegios de administrador. Abra el Microsoft Management Console yendo al Start (Inicio) > Run (Ejecutar), tecleando el mmc, y haciendo clic la AUTORIZACIÓN.

  2. En la barra de menú, vaya al Console (Consola) > Add/Remove Snap-in (Agregar/Remover complemento), y entonces al haga click en Add

  3. Seleccione Certificates (Certificados) y haga clic en Add (Agregar)

  4. Seleccione Computer account (Cuenta de computadora), haga clic en Next (Siguiente) y luego seleccione Local computer (Computadora local [la computadora en la cual se ejecuta esta consola]).

  5. Haga clic en Finish (Finalizar), luego en Close (Cerrar) y por último en OK (Aceptar).

  6. Para verificar que el servidor ACS tenga un certificado en el lado del servidor válido, van a la Raíz de la consola > a los Certificados (computadora local) > ACSCertStore > los Certificados. Verifique si existe un certificado para el servidor ACS (denominado OurACS en este ejemplo). Abra el certificado y verifique los siguientes elementos.

     • No existe advertencia que indique que el certificado no ha sido verificado para todos los propósitos deseados

     • No existe advertencia que indique que el certificado no sea seguro

     • "Este certificado tiene como objetivo – Asegura la identidad de una computadora remota."

     • El certificado no ha caducado y ahora es válido (verifique las fechas de inicio y fin).

     • ”Usted posee una clave privada que corresponde a este certificado.”

  7. En la ficha Details (Detalles), verifique que el campo Version (Versión) tenga el valor V3 y que el campo Enhanced Key Usage (Uso mejorado de claves) tenga autenticación de servidor (1.3.6.1.5.5.7.3.1).

  8. Para verificar que el servidor ACS confíe en el servidor de CA, van a la Raíz de la consola > a los Certificados (computadora local) > los Trusted Root Certification Authority > los Certificados. Verifique que existe un certificado para el servidor CA (denominado Nuestro TAC CA en este ejemplo). Abra el certificado y verifique los siguientes elementos.

     • No existe advertencia que indique que el certificado no ha sido verificado para todos los propósitos deseados

     • No existe advertencia que indique que el certificado no sea seguro

     • El objetivo deseado del certificado es correcto.

     • El certificado no ha caducado y ahora es válido (verifique las fechas de inicio y fin).

     Si ACS y el cliente no usaron la misma raíz CA, entonces verifique que se haya instalado la cadena completa de los certificados de los servidores CA. Se aplica lo mismo si el certificado se obtuvo de una autoridad certificada menor

• Para verificar la confianza del cliente, puede seguir los pasos que figuran a continuación.

  1. Inicie sesión en el cliente inalámbrico en Windows con la cuenta del cliente. Abra el Microsoft Management Console yendo al Start (Inicio) > Run (Ejecutar), tecleando el mmc, y haciendo clic la AUTORIZACIÓN.

  2. En la barra de menú, vaya al Console (Consola) > Add/Remove Snap-in (Agregar/Remover complemento), y entonces al haga click en Add

  3. Seleccione Certificates (Certificados) y haga clic en Add (Agregar)

  4. Haga clic cerca, y después haga clic la AUTORIZACIÓN.

  5. Para verificar que el perfil del cliente confíe en el servidor de CA, vaya al Console Root (Raíz de consola) > Certificates - Current User (Certificados - Usuario actual) > Trusted Root Certification Authorities (Autoridades de certificación raíz confiables) > Certificates (Certificados). Verifique que existe un certificado para el servidor CA (denominado Nuestro TAC CA en este ejemplo). Abra el certificado y verifique los siguientes elementos.

     • No existe advertencia que indique que el certificado no ha sido verificado para todos los propósitos deseados

     • No existe advertencia que indique que el certificado no sea seguro

     • El objetivo deseado del certificado es correcto.

     • El certificado no ha caducado y ahora es válido (verifique las fechas de inicio y fin).

     Si ACS y el cliente no usaron la misma raíz CA, entonces verifique que se haya instalado la cadena completa de los certificados de los servidores CA. Se aplica lo mismo si el certificado se obtuvo de una autoridad certificada menor

• Verifique la configuración de ACS tal como se describió en la sección sobre Configuración de Cisco Secure ACS para Windows v3.2.

• Verifique la configuración AP según se describe en la sección sobre Configuración del punto de acceso de Cisco.

• Verifique las configuraciones del cliente inalámbrico tal como se describen en la sección Configuración del cliente inalámbrico.

• Verifique que la cuenta del usuario exista en la base de datos interna del servidor AAA o en una de las bases de datos externas configuradas. Asegurarse de que la cuenta no haya sido desactivada.

Información Relacionada

• Página de soporte de Cisco Secure ACS para Windows
• Guía de instrumentación de EAP-TLS para las redes inalámbricas LAN
• Obtención de la información de la depuración de AAA y de la versión para Secure ACS de Cisco para Windows
• Soporte Técnico - Cisco Systems