ACS seguro para Windows v3.2 con autenticación de máquina EAP-TLS

Introducción

Este documento describe cómo configurar el protocolo extensible authentication – Transport Layer Security (EAP-TLS) con el Cisco Secure Access Control System (ACS) para la versión de Windows 3.2.

Nota: La autenticación de la máquina no se utiliza con el Certificate Authority (CA) de Novell. ACS puede utilizar el EAP-TLS para utilizar la autenticación de la máquina al Active Directory de Microsoft Windows. El cliente del usuario final pudo limitar el protocolo para la autenticación de usuario al mismo protocolo que se utiliza para la autenticación de la máquina. Es decir, el uso del EAP-TLS para la autenticación de la máquina pudo requerir el uso del EAP-TLS para la autenticación de usuario. Para más información sobre la autenticación de la máquina, refiera a la sección de la autenticación de la máquina de la guía de usuario para el Cisco Secure Access Control Server 4.1.

Nota: Al poner ACS para autenticar las máquinas vía el EAP-TLS y el ACS se ha puesto para la autenticación de la máquina, el cliente debe ser configurado para hacer la autenticación de la máquina solamente. Para más información, refiérase cómo activar la autenticación del ordenador-solamente para una red 802.1X-based en Windows Vista, en el Servidor Windows 2008, y en Windows XP Service Pack 3.

prerrequisitos

Requisitos

No hay requisitos previos específicos para este documento.

Componentes Utilizados

La información que contiene este documento se basa en las versiones de software y hardware indicadas a continuación.

• Cisco ACS seguro para la versión de Windows 3.2

• Servicios de certificado de Microsoft (instalados como Enterprise root certificate authority [CA])

  Nota: Para obtener más información, consulte la guía paso a paso para configurar una autoridad de certificación.

• El DNS mantiene con Windows 2000 Server con el Service Pack 3 y el hotfix 323172

  Nota: Si experimenta problemas en el Servidor CA, instale hotfix 323172. El cliente del Windows 2000 SP3 requiere el hotfix 313664 activar la autenticación del 802.1x de IEEE.

• Unto de acceso de red inalámbrica 12.01T del Cisco Aironet de la serie 1200

• IBM ThinkPad T30 que funciona con al profesional de Windows XP con el Service Pack 1

La Información presentada en este documento fue creada de los dispositivos en un entorno específico del laboratorio. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si la red está funcionando, asegúrese de haber comprendido el impacto que puede tener un comando antes de ejecutarlo.

Teoría previa

El EAP-TLS y la estructura protegida del protocolo extensible authentication (PEAP) y utilizan un túnel del Socket Layer TLS/Secure (SSL). El EAP-TLS utiliza la autenticación recíproca en la cual el servidor y los clientes ACS (autenticación, autorización, y [AAA] de las estadísticas) tienen Certificados y prueban sus identidades el uno al otro. El PEAP, sin embargo, utiliza solamente la autenticación del lado servidor; solamente el servidor tiene un certificado y prueba su identidad al cliente.

Convenciones

Para más información sobre los convenios del documento, vea los convenios de los consejos técnicos de Cisco.

Diagrama de la red

Este documento utiliza la instalación de red que se muestra en el siguiente diagrama.

Configuración de Cisco Secure ACS para Windows v3.2

Siga los pasos a continuación para configurar ACS 3.2.

1. Obtenga un certificado para el servidor ACS.

2. Configure el ACS para utilizar un certificado almacenado.

3. Especifique las autoridades de certificado adicionales en las que debería confiar el ACS (Servidor de control de acceso seguro).

4. Reinicie el servicio y configure los parámetros de PEAP en ACS.

5. Especificar y configurar el punto de acceso como un cliente AAA.

6. Configure las Bases de datos de usuarios externas.

7. Reiniciar el servicio.

Obtenga un certificado para el servidor ACS

Siga los siguientes pasos para obtener un certificado.

1. En el servidor ACS, abra a un buscador Web, y ingrese http:// CA-ip-address/certsrv para tener acceso al servidor CA.

2. Iniciar sesión en el dominio como Administrador.

   

3. Seleccione la petición un certificado, y después haga clic después.

   

4. Selecccione Advanced request (Petición avanzada) y luego haga clic en Next (Siguiente).

   

5. Seleccione Submit a certificate request to this CA using a form (Enviar una petición de certificado a esta CA mediante un formulario) y luego haga clic en Next (Siguiente).

   

6. Configure las opciones del certificado:

   1. Seleccione al servidor Web como el Certificate Template plantilla de certificado, y ingrese el nombre del servidor ACS.

      

   2. Ingrese 1024 en el campo del tamaño de clave, y controle las claves de la marca como exportable y utilice las casillas de verificación del almacenamiento de máquina local.

   3. Configure las otras opciones que sean necesarias y luego haga clic en Submit (Enviar).

      

      Nota: Si aparece el posible cuadro de diálogo Scripting de la infracción, haga clic sí para continuar.

      

7. Haga clic en Install this certificate (Instalar este certificado).

   

   Nota: Si aparece el posible cuadro de diálogo Scripting de la infracción, haga clic sí para continuar.

   

8. Si la instalación es acertada, el mensaje instalado certificado aparece.

   

Configure ACS para usar un certificado del almacenamiento

Complete estos pasos para configurar ACS para utilizar el certificado en el almacenamiento.

1. Abra a un buscador Web, y ingrese http:// ACS-ip-address:2002/ para tener acceso al servidor ACS.

2. Haga clic en Configuración del sistema, y luego en Instalación de certificado ACS.

3. El tecleo instala el certificado ACS.

4. Haga clic el certificado del uso del botón de radio del almacenamiento.

5. En el campo NC del certificado, ingrese el nombre del certificado que usted asignó en el paso 5a de obtener un certificado del ACS Serversection de este documento.

6. Haga clic en Submit (Enviar).

   

   Una vez que la configuración es completa, un mensaje de confirmación aparece que indica que la configuración del servidor ACS se ha cambiado.

   Nota: No es necesario que reinicie el ACS ahora.

   

Especifique autoridades certificadoras adicionales en las que la ACS debe confiar

El ACS confía en automáticamente el CA que publicó su propio certificado. Si los certificados del cliente son publicados por el CAs adicional, usted debe completar estos pasos:

1. Haga clic en Configuración del sistema, y luego en Instalación de certificado ACS.

2. Haga clic la disposición de la autoridad de certificación ACS para agregar el CAs a la lista de certificados confiables.

3. En el campo para el archivo de certificado CA, ingrese la ubicación del archivo y luego haga clic en Submit (Enviar).

   

4. El tecleo corrige Certificate Trust List (Lista de confianza del certificado).

5. Controle todo el CAs que el ACS debe confiar en, y uncheck todo el CAs que el ACS no debe confiar en.

6. Haga clic en Submit (Enviar).

   

Reiniciar el servicio y configurar los parámetros de EAP-TLS en ACS

Complete estos pasos para recomenzar el servicio y configurar las configuraciones del EAP-TLS:

1. Haga clic en System Configuration (Configuración del sistema), y luego en Service Control (Control del servicio).

2. Haga clic el reinicio para recomenzar el servicio.

3. Para configurar las configuraciones del EAP-TLS, haga clic la configuración del sistema, y después haga clic la disposición global de la autenticación.

4. El control permite el EAP-TLS, y después controla uno o más de las comparaciones del certificado.

5. Haga clic en Submit (Enviar).

   

Especifique y configure el punto de acceso como un cliente AAA

Complete estos pasos para configurar el punto de acceso como cliente AAA:

1. Haga clic en la configuración de red.

2. En los clientes AAA, haga clic en Add Entry (Agregar entrada).

   

3. Ingrese el nombre de host del Punto de acceso en Nombre del host del cliente AAA el campo y el IP address en el campo del IP address del cliente AAA.

4. Ingrese una clave secreta compartida para el ACS y el Punto de acceso en el campo clave.

5. Elija RADIUS (Cisco Aironet) como el método de autenticación, y el tecleo somete.

   

Configuración de las bases de datos de los usuarios externos

Complete estos pasos para configurar las Bases de datos de usuarios externas.

1. Haga clic las Bases de datos de usuarios externas, y después haga clic la configuración de la base de datos.

2. Haga clic la base de datos de Windows.

   Nota: Si no hay base de datos de Windows definida ya, el tecleo crea la nueva configuración, y después hace clic somete.

3. Haga clic en Configure (Configurar).

4. Desde Configurar lista de dominio, mueva el dominio SEC-SYD de los dominios disponibles a la lista de dominio.

   

5. En el área de las configuraciones de Windows EAP, haga clic la casilla de verificación de la autenticación de la máquina del EAP-TLS del permiso para activar la autenticación de la máquina.

   Nota:  No cambie el prefijo de nombre de la autenticación de la máquina. Microsoft actualmente utiliza "/host" (el valor predeterminado) para hacer la distinción entre la autenticación del usuario y de la máquina.

6. Opcionalmente, usted puede controlar la casilla de verificación del Domain Name de la tira del EAP-TLS para activar el desmontaje del dominio.

7. Haga clic en Submit (Enviar).

   

8. Las Bases de datos de usuarios externas del tecleo, y entonces hacen clic la Política de usuario desconocido.

9. Haga clic el control el botón de radio siguiente de las Bases de datos de usuarios externas.

10. Mueva la base de datos de Windows desde las bases de datos externas enumeran a las bases de datos seleccionadas la lista.

11. Haga clic en Submit (Enviar).

    

Reiniciar el servicio

Cuando usted ha acabado de configurar el ACS, complete estos pasos para recomenzar el servicio:

1. Haga clic en System Configuration (Configuración del sistema), y luego en Service Control (Control del servicio).

2. Haga clic el reinicio.

Configuración de la inscripción automática del certificado de la máquina MS

Complete estos pasos para configurar el dominio para la inscripción automática del certificado de la máquina:

1. Van al panel de control > las herramientas administrativas > los usuarios de directorio activo y computadora abiertos.

2. Haga clic derecho el sec-syd del dominio, y elija las propiedades.

3. Haga clic la directiva cuadro del grupo.

4. Haga clic la política de dominio del valor por defecto, y después haga clic corrigen.

5. Vaya al Computer Configuration (Configuración de computadora) > Windows Settings (Configuración de Windows) > Security Settings (Configuración de seguridad) > Public Key Policies (Políticas de clave pública) > Automatic Certificate Request Settings (Configuración automática de petición de certificados).

   

6. En la barra de menú, va a la acción > la nueva > automática solicitud de certificado, y hace clic después.

7. Elija el ordenador, y haga clic después.

8. Controle la autoridad de certificación, “nuestro TAC CA,” en este ejemplo.

9. Haga clic después, y entonces clic en Finalizar.

Configuración del punto de acceso Cisco

Complete estos pasos para configurar el AP para utilizar el ACS como el servidor de la autenticación:

1. Abra a un buscador Web, y ingrese http:// AP-ip-address/certsrv para tener acceso al AP.

2. En la barra de herramientas, haga clic en Setup (Configuración).

3. Bajo servicios, haga clic la Seguridad, y después haga clic el servidor de la autenticación.

   Nota: Si usted configuró las cuentas en el AP, usted debe abrirse una sesión.

4. Ingrese las configuraciones de la configuración del authenticator:

   • Elija 802.1x-2001 para la Versión del protocolo del 802.1x (para la autenticación EAP).

   • Ingrese el IP address del servidor ACS en el campo del servidor Name/IP.

   • Elija el RADIUS como el tipo de servidor.

   • Ingrese 1645 o 1812 en el campo de puerto.

   • Ingrese la clave secreta compartida que usted especificó adentro especifica y configura el Punto de acceso como cliente AAA.

   • Controle la opción para saber si hay autenticación EAP para especificar cómo el servidor debe ser utilizado.

5. Cuando haya finalizado, haga clic en OK (Aceptar).

   

6. Haga clic en Radio Data Encryption (WEP) (Cifrado de datos de Radio (WEP)).

7. Ingrese las configuraciones de encripción de los datos internos.

   • Elija la encripción completa del uso de la encripción de datos por las estaciones es lista desplegable para fijar el nivel de encripción de datos.

   • Para el tipo de la autenticación Accept, controle la casilla de verificación abierta para fijar el tipo de autenticación validado, y controle la red-EAP para activar el SALTO.

   • Para Require EAP, controle la casilla de verificación abierta para requerir EAP.

   • Ingrese una clave de encripción en el campo clave de Encription, y elija el bit 128 de la lista del descenso-abajo del tamaño de clave.

8. Cuando haya finalizado, haga clic en OK (Aceptar).

   

9. Vaya al Network (Red) > Service Sets (Conjuntos de servicios) > Select the SSID Idx (Seleccionar el SSID Idx) para confirmar que el Service Set Identifier (SSID) correcto está utilizado.

10. Click OK.

    

Configuración del cliente inalámbrico

Complete estos pasos para configurar ACS 3.2:

1. Únase al dominio.

2. Obtenga un certificado para el usuario.

3. Configure la red inalámbrica.

Unirse al dominio

Complete estos pasos para agregar al cliente de red inalámbrica al dominio.

Nota: Para completar estos pasos, el cliente de red inalámbrica debe tener Conectividad al CA, a través de una conexión alámbrica o a través de la conexión de red inalámbrica con la Seguridad del 802.1x inhabilitada.

1. Clave a Windows XP como administrador local.

2. Vaya al Control Panel (Panel de control) > Performance and Maintenance (Rendimiento y mantenimiento) > System (Sistema).

3. Haga clic la tabulación del nombre de computadora, y después haga clic el cambio.

4. Ingrese el nombre de host en el campo de nombre de la computadora.

5. Elija el dominio, y después ingrese el nombre del dominio (SEC-SYD en este ejemplo).

6. Click OK.

   

7. Cuando aparece el cuadro de diálogo de la clave, ábrase una sesión adentro con una cuenta con el permiso adecuado para unirse al dominio.

8. Una vez que la computadora se haya unido correctamente al dominio, reiníciela.

   La máquina siente bien a un miembro del dominio. Puesto que se configura la inscripción automática de la máquina, la máquina tiene un certificado para el CA instalado así como un certificado para la autenticación de la máquina.

Obtener un certificado para el usuario

Complete estos pasos para obtener un certificado para el usuario.

1. Ábrase una sesión a Windows XP y al dominio (SEC-SYD) en el cliente de red inalámbrica (computadora portátil) como la cuenta que requiere un certificado.

2. Abra a un buscador Web, y ingrese http:// CA-ip-address/certsrv para tener acceso al servidor CA.

3. Ábrase una sesión al servidor CA bajo misma cuenta.

   Nota: El certificado se salva en el cliente de red inalámbrica bajo perfil de Usuario usuario actual; por lo tanto, usted debe utilizar la misma cuenta para abrirse una sesión a Windows y al CA.

   

4. Haga clic la petición un botón de radio del certificado, y después haga clic después.

   

5. Haga clic el botón de radio avanzado de la petición, y después haga clic después.

   

6. Haga clic el someter una solicitud de certificado a este CA usando un botón de radio de la forma, y después haga clic después.

   

7. Elija al usuario del Certificate Template plantilla de certificado, y ingrese 1024 en el campo del tamaño de clave.

8. Configure las otras opciones según las necesidades, y el tecleo somete.

   

   Nota: Si aparece el posible cuadro de diálogo Scripting de la infracción, haga clic sí para continuar.

   

9. Haga clic en Install this certificate (Instalar este certificado).

   

   Nota: Si aparece el posible cuadro de diálogo Scripting de la infracción, haga clic sí para continuar.

   

   Nota: El almacén del certificado raíz pudo aparecer si el propio certificado Ca no se guarda en el cliente de red inalámbrica ya. Haga clic sí para salvar el certificado al almacenamiento local.

   

   Si la instalación es acertada, un mensaje de confirmación aparece.

   

Configure la comunicación en la red inalámbrica

Complete estos pasos para fijar las opciones para la red inalámbrica:

1. Ábrase una sesión al dominio como Domain User.

2. Vaya al Control Panel (Panel de control) > Network and Internet Connections (Conexiones de red e Internet) > Network Connections (Conexiones de red).

3. Haga clic derecho la conexión de red inalámbrica, y elija las propiedades.

4. Haga clic las redes inalámbricas cuadro.

5. Elija la red inalámbrica de la lista de redes disponibles, y después haga clic configuran.

   

6. En la tabulación de la autenticación, controle la autenticación del 802.1x de IEEE del permiso para saber si hay esta casilla de verificación de la red.

7. Elija la placa inteligente o el otro certificado del tipo lista desplegable EAP, y después haga clic las propiedades.

   Nota: Para activar la autenticación de la máquina, controle la autenticidad como ordenador cuando información acerca de la computadora está la casilla de verificación disponible.

   

8. Haga clic el uso un certificado en este botón de radio del ordenador, y después controle la casilla de verificación del simple certificate selection (Usar selección de certificado simple) del uso.

9. Controle el cuadro del certificatecheck del servidor del validar, y haga clic la AUTORIZACIÓN.

   Nota: Cuando el cliente se une al dominio, el certificado Ca está instalado automáticamente como Trusted Root Certification Authority. El cliente confía en automáticamente implícito el CA que firmó el certificado de cliente. El CAs adicional puede ser confiado en controlándolos en la lista de Trusted Root Certification Authority.

   

10. En la tabulación de la asociación de la ventana de las propiedades Propiedades de la red, controle la encripción de datos (WEP activado) y la clave se proporciona para mí automáticamente las casillas de verificación.

11. Haga clic la AUTORIZACIÓN, y después haga clic la AUTORIZACIÓN otra vez para cerrar la ventana de la configuración de red.

    

Verificación

Esta sección proporciona a la información que usted puede utilizar para confirmar su configuración está trabajando correctamente.

• Para verificar que hayan autenticado al cliente de red inalámbrica, complete estos pasos:

  1. En el cliente de red inalámbrica, vaya al Control Panel (Panel de control) > Network and Internet Connections (Conexiones de red e Internet) > Network Connections (Conexiones de red).

  2. En la barra de menú, vaya al View (Ver) > Titles (Títulos).

  La conexión de red inalámbrica debe visualizar el mensaje tenido éxito “autenticación”.

• Para verificar que hayan autenticado a los clientes de red inalámbrica, vaya al Reports and Activity (Informes y actividad) > Passed Authentications (Autenticaciones aprobadas) > Passed Authentications active.csv (Autenticaciones aprobadas active.csv) en la interfaz Web ACS.

Troubleshooting

En esta sección encontrará información que puede utilizar para solucionar problemas de configuración.

• Verifique que los servicios del certificado ms hayan estado instalados como empresa raíz CA en Windows 2000 Advanced Server con el Service Pack 3.

• Verifique que esté usando Cisco Secure ACS para Windows versión 3.2 con Windows 2000 y Service Pack 3.

• Si la autenticación de la máquina falla en el cliente de red inalámbrica, no habrá conectividad de red en la conexión de red inalámbrica. Sólo las cuentas que tengan sus perfiles almacenados en la memoria caché del cliente inalámbrico podrán cargarse en el dominio. La máquina se debe enchufar a una red alámbrica o a un conjunto para la conexión de red inalámbrica sin la Seguridad del 802.1x.

• Si el enlistamiento automático con el CA falla cuando se une al dominio, controle el espectador del evento para saber si hay razones posibles.

• Si el perfil del usuario de cliente de red inalámbrica no tiene un certificado válido, usted puede todavía abrir una sesión a la máquina y al dominio si la contraseña está correcta, sino observar que la conexión de red inalámbrica no tendrá Conectividad.

• Si el certificado ACS en el cliente de red inalámbrica es inválido (de quien depende del certificado válido “” y “” a las fechas, a las configuraciones de la fecha y hora del cliente, y a la confianza CA), después el cliente la rechazará y la autenticación fallará. El ACS registrará la autenticación fallada en la interfaz Web bajo los informes y la actividad > los intentos fallidos > intentos fallidos XXX.csv con el código de falla de la autenticación similar al “EAP-TLS o la autenticación PEAP fallada durante el contacto SSL.” El mensaje de error previsto en el fichero de CSAuth.log es similar a este mensaje:

  AUTH 06/04/2003 14:56:41 E 0345 1644 EAP: buildEAPRequestMsg: 
  other side probably didn't accept our certificate

• Si el certificado de cliente en el ACS es inválido (del cual depende del certificado válido “” y “” a las fechas, a las configuraciones de la fecha y hora del servidor, y a la confianza CA), después el servidor la rechazará y la autenticación fallará. El ACS registrará la autenticación fallada en la interfaz Web bajo los informes y la actividad > los intentos fallidos > intentos fallidos XXX.csv con el código de falla de la autenticación similar al “EAP-TLS o la autenticación PEAP fallada durante el contacto SSL.” Si el ACS rechaza el certificado de cliente porque el ACS no confía en el CA, el mensaje de error previsto en el fichero de CSAuth.log es similar a este mensaje:

  AUTH 06/04/2003 15:47:43 E 0345 1696 EAP: ProcessResponse:
  SSL handshake failed, status = 3 (SSL alert fatal:unknown CA certificate)

  Si el ACS rechaza el certificado de cliente porque ha expirado el certificado, el mensaje de error previsto en el fichero de CSAuth.log es similar a este mensaje:

  AUTH 06/04/2005 15:02:08 E 0345 1692 EAP: ProcessResponse:
  SSL handshake failed, status = 3 (SSL alert fatal:certificate expired)

• En abre una sesión la interfaz Web ACS, bajo ambos informes y la actividad > las autenticaciones pasajeras > las autenticaciones pasajeras XXX.csv y la actividad de Reportsand > los intentos fallidos > los intentos fallidos XXX.csv, las autenticaciones del EAP-TLS se muestran en el <user-id>@<domain> del formato. Las autenticaciones PEAP se muestran en el formato <DOMAIN> \ <user-id>.

• Puede verificar el certificado y la fiabilidad del servidor ACS con los pasos a continuación.

  1. Ingrese a Windows en el servidor ACS con una cuenta que tenga privilegios de administrador.

  2. Vaya al Start (Inicio) > Run (Ejecutar), pulse el mmc, y haga clic la AUTORIZACIÓN para abrir el Microsoft Management Console.

  3. En la barra de menú, vaya al Console (Consola) > Add/Remove Snap-in (Agregar/Remover complemento), y el tecleo agrega.

  4. Elija los Certificados, y el tecleo agrega.

  5. Elija la cuenta del ordenador, haga clic después, y después elija la computadora local (el ordenador que esta consola está funcionando con encendido).

  6. Haga clic en Finish (Finalizar), luego en Close (Cerrar) y por último en OK (Aceptar).

  7. Para verificar que el servidor ACS tenga un certificado en el lado del servidor válido, vaya a la Raíz de la consola > a los Certificados (computadora local) > personal > los Certificados, y verifique que hay un certificado para el servidor ACS (OurACS Nombrado en este ejemplo).

  8. Abra el certificado, y verifique estos items:

     • No existe advertencia que indique que el certificado no ha sido verificado para todos los propósitos deseados

     • No existe advertencia que indique que el certificado no sea seguro

     • "Este certificado tiene como objetivo – Asegura la identidad de una computadora remota."

     • El certificado no ha caducado y ahora es válido (verifique las fechas de inicio y fin).

     • ”Usted posee una clave privada que corresponde a este certificado.”

  9. En la ficha Details (Detalles), verifique que el campo Version (Versión) tenga el valor V3 y que el campo Enhanced Key Usage (Uso mejorado de claves) tenga autenticación de servidor (1.3.6.1.5.5.7.3.1).

  10. Para verificar que el servidor ACS confíe en el servidor CA, vaya a la Raíz de la consola > a los Certificados (computadora local) > los Trusted Root Certification Authority > los Certificados, y verifique que hay un certificado para el servidor CA (nombrado nuestro TAC CA en este ejemplo).

  11. Abra el certificado, y verifique estos items:

      • No existe advertencia que indique que el certificado no ha sido verificado para todos los propósitos deseados

      • No existe advertencia que indique que el certificado no sea seguro

      • El objetivo deseado del certificado es correcto.

      • El certificado no ha caducado y ahora es válido (verifique las fechas de inicio y fin).

      Si ACS y el cliente no usaron la misma raíz CA, entonces verifique que se haya instalado la cadena completa de los certificados de los servidores CA. Se aplica lo mismo si el certificado se obtuvo de una autoridad certificada menor

• Usted puede verificar el certificado de la máquina y la confianza del cliente de red inalámbrica siguiendo los pasos abajo.

  1. Ingrese a Windows en el servidor ACS con una cuenta que tenga privilegios de administrador. Abra Microsoft Management Console yendo al Start (Inicio) > Run (Ejecutar), al mmc que pulsa, y a la AUTORIZACIÓN que hace clic.

  2. En la barra de menú, vaya al Console (Consola) > Add/Remove Snap-in (Agregar/Remover complemento), y después haga clic agregan.

  3. Seleccione Certificates (Certificados) y haga clic en Add (Agregar)

  4. Seleccione Computer account (Cuenta de computadora), haga clic en Next (Siguiente) y luego seleccione Local computer (Computadora local [la computadora en la cual se ejecuta esta consola]).

  5. Haga clic en Finish (Finalizar), luego en Close (Cerrar) y por último en OK (Aceptar).

  6. Verifique que la máquina tenga un certificado de lado del cliente válido. Si el certificado es inválido, la autenticación de la máquina fallará. Para verificar el certificado, vaya a la Raíz de la consola > a los Certificados (computadora local) > personal > los Certificados. Verifique que haya un certificado para la máquina; el nombre estará en el formato <host-name>.<domain>. Abra el certificado y verifique los siguientes elementos.

     • No existe advertencia que indique que el certificado no ha sido verificado para todos los propósitos deseados

     • No existe advertencia que indique que el certificado no sea seguro

     • Se piensa “este certificado - Prueba su identidad a una computadora remota.”

     • El certificado no ha caducado y ahora es válido (verifique las fechas de inicio y fin).

     • ”Usted posee una clave privada que corresponde a este certificado.”

• Sobre los detalles tabule, verifique que el campo de la versión tiene el valor V3 y que el campo del uso de la clave mejorada contiene por lo menos la autenticación de cliente del valor (1.3.6.1.5.5.7.3.2); los propósitos adicionales pueden ser mencionados. Asegúrese de que el campo Subject contenga el valor NC = el <host-nombre >.<domain>; los valores adicionales pueden ser mencionados. Verifique que el hostname y la coincidencia del dominio qué se especifica en el certificado.

• Para verificar que el perfil del cliente confíe en el servidor CA, vaya a la Raíz de la consola > a los Certificados (Usuario usuario actual) > los Trusted Root Certification Authority > los Certificados. Verifique que existe un certificado para el servidor CA (denominado Nuestro TAC CA en este ejemplo). Abra el certificado y verifique los siguientes elementos.

  • No existe advertencia que indique que el certificado no ha sido verificado para todos los propósitos deseados

  • No existe advertencia que indique que el certificado no sea seguro

  • El objetivo deseado del certificado es correcto.

  • El certificado no ha caducado y ahora es válido (verifique las fechas de inicio y fin).

  Si ACS y el cliente no usaron la misma raíz CA, entonces verifique que se haya instalado la cadena completa de los certificados de los servidores CA. Se aplica lo mismo si el certificado se obtuvo de una autoridad certificada menor

• Verifique las configuraciones ACS según lo descrito en configurar Cisco ACS seguro para Windows v3.2.

• Verifique las configuraciones CA según lo descrito en configurar los servicios del certificado ms.

• Verifique las configuraciones AP según lo descrito en configurar el Punto de acceso de Cisco.

• Verifique las configuraciones del cliente de red inalámbrica según lo descrito en configurar al cliente de red inalámbrica.

• Verifique que la cuenta de usuario exista en la base de datos interna del servidor AAA o en una de las bases de datos externas configuradas, y asegúrese de que la cuenta no se haya inhabilitado.

• Los Certificados publicados por el CA empleado el algoritmo de troceo seguro 2 (SHA-2) no son compatibles con Cisco ACS seguro puesto que se desarrollan con la Java que no utiliza SHA-2 a partir de ahora. Para resolver este problema, reinstale el CA y configurelo para publicar los Certificados con el SHA-1.

Información Relacionada

• Página de soporte de Cisco Secure ACS para Windows
• Guía de instrumentación de EAP-TLS para las redes inalámbricas LAN
• Obtención de la información de la depuración de AAA y de la versión para Secure ACS de Cisco para Windows
• Soporte Técnico - Cisco Systems

Revision History