Comprensión y configuración de EAP-TLS con un WLC e ISE

Opciones de descarga

  • PDF     (3.9 MB)
    Visualice con Adobe Reader en una variedad de dispositivos
  • ePub     (3.9 MB)
    Visualice en diferentes aplicaciones en iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (2.7 MB)
    Visualice en dispositivo Kindle o aplicación Kindle en múltiples dispositivos
Actualizado:17 de agosto de 2022
ID del documento:213543

Lenguaje no discriminatorio

El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.

Acerca de esta traducción

Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).

    Introducción

    Este documento describe cómo configurar una red de área local inalámbrica (WLAN) con 802.1X y protocolo de autenticación extensible EAP-TLS

      

    Prerequisites

    Requirements

    Cisco recomienda que tenga conocimiento sobre estos temas:

    • Proceso de autenticación 802.1X
    • Certificados

    Componentes Utilizados

    La información que contiene este documento se basa en las siguientes versiones de software y hardware.

    • WLC 3504 versión 8.10
    • Identity Services Engine (ISE) versión 2.7

    The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Si tiene una red en vivo, asegúrese de entender el posible impacto de cualquier comando.

    Antecedentes

    Flujo EAP-TLS

    Topology

    Pasos del flujo EAP-TLS

    1. El cliente inalámbrico se asocia al punto de acceso (AP). El AP no permite que el cliente envíe ningún dato en este punto y envía una solicitud de autenticación.El solicitante responde entonces con una identidad de respuesta EAP. El WLC luego comunica la información de la ID de usuario al servidor de autenticación. El servidor RADIUS responde al cliente con un paquete de inicio EAP-TLS. La conversación EAP-TLS comienza en este punto.
    2. El par envía una respuesta EAP al servidor de autenticación que contiene un mensaje de intercambio de señales "client_hello", un cifrado que se establece en NULL
    3. El servidor de autenticación responde con un paquete de desafío de acceso que contiene:
    TLS server_hello
handshake message
certificate
server_key_exchange
certificate request
server_hello_done.

    4. El cliente responde con un mensaje EAP-Response que contiene:

    Certificate ¬ Server can validate to verify that it is trusted.

client_key_exchange

certificate_verify ¬ Verifies the server is trusted

change_cipher_spec

TLS finished

    5.Después de que el cliente se autentique con éxito, el servidor RADIUS responde con un desafío de acceso, que contiene el mensaje "change_cipher_spec" y entrada en contacto finalizado.

    6. Cuando recibe esto, el cliente verifica el hash para autenticar el servidor RADIUS.

    7.Una nueva clave de cifrado se deriva dinámicamente del secreto durante el intercambio de señales TLS

    8/9.EAP-El éxito finalmente se envía del servidor al autenticador que luego se pasa al solicitante.

    En este momento, el cliente inalámbrico con EAP-TLS activado puede acceder a la red inalámbrica.

    Configurar

    Controlador de LAN inalámbrica de Cisco

    Paso 1. El primer paso es configurar el servidor RADIUS en el WLC de Cisco. Para agregar un servidor RADIUS, navegue hasta Seguridad > RADIUS > Autenticación. Haga clic en Nuevo como se muestra en la imagen.

    WLC1-

    Paso 2. Aquí, debe ingresar la dirección IP y el secreto compartido <contraseña> que se utiliza para validar el WLC en ISE. Haga clic en Aplicar para continuar como se muestra en la imagen.

    WLC2-

    Paso 3. Crear WLAN para la autenticación RADIUS.

    Ahora puede crear una nueva WLAN y configurarla para utilizar el modo WPA-Enterprise, de modo que pueda utilizar RADIUS para la autenticación.

    Paso 4. Seleccione WLANs en el menú principal, elija Create New y haga clic en Go como se muestra en la imagen.

    WLC3

    Paso 5. Asigne el nombre EAP-TLS a la nueva WLAN. Haga clic en Aplicar para continuar como se muestra en la imagen.

    WLC4

    Paso 6. Haga clic en General y asegúrese de que el estado es Activado. Las políticas de seguridad predeterminadas son autenticación 802.1X y WPA2, como se muestra en la imagen.

    WLC-5

    Paso 7. Ahora, navegue hasta Seguridad > Servidores AAA, seleccione el servidor RADIUS que acaba de configurar y como se muestra en la imagen.

    WLC6

    Nota: Es una buena idea verificar que puede alcanzar el servidor RADIUS del WLC antes de continuar. RADIUS utiliza el puerto UDP 1812 (para la autenticación), por lo que debe asegurarse de que este tráfico no se bloquea en ninguna parte de la red.

    ISE con Cisco WLC

    Configuración de EAP-TLS

      

    Para crear la política, debe crear la lista de protocolos permitidos para utilizar en nuestra política. Dado que se escribe una política dot1x, especifique el tipo de EAP permitido en función de la configuración de la política.

    Si utiliza el valor predeterminado, permite la mayoría de los tipos de EAP para autenticación que no son preferibles si necesita bloquear el acceso a un tipo de EAP específico.

    Paso 1. Navegue hasta Política > Elementos de Política > Resultados > Autenticación > Protocolos Permitidos y haga clic en Agregar como se muestra en la imagen.

    Define allowed protocols lists on ISE

      

    Paso 2. En esta lista de protocolos permitidos, puede introducir el nombre de la lista. En este caso, la casilla Allow EAP-TLS está marcada y las demás casillas están desmarcadas como se muestra en la imagen. 

    Define allowed protocols on ISE

    Configuración de WLC en ISE

    Paso 1. Abra la consola de ISE y navegue hasta Administration > Network Resources > Network Devices > Add, como se muestra en la imagen.

    ISE network devices page

    Paso 2. Introduzca los valores como se muestra en la imagen.

    ISE1

      

    Creación de un usuario nuevo en ISE

    Paso 1. Navegue hasta Administration > Identity Management > Identities > Users > Add como se muestra en la imagen.

    Network access users

    Paso 2. Ingrese la información como se muestra en la imagen.

    Create a new network user

    Certificado de confianza en ISE

    Paso 1. Navegue hasta Administración > Sistema > Certificados > Administración de certificados > Certificados de confianza.

    Haga clic en Importar para importar un certificado a ISE. Una vez que agrega un WLC y crea un usuario en ISE, necesita hacer la parte más importante de EAP-TLS que es confiar en el certificado en ISE. Para eso necesitamos generar RSE.

    Paso 2. Vaya a Administration > Certificates > Certificate Signing Requests > Generate Certificate Signing Requests (CSR) como se muestra en la imagen.

    ISE2

    Paso 3. Para generar CSR, navegue hasta Uso y desde Se utilizan los certificados para las opciones desplegables seleccione Autenticación EAP como se muestra en la imagen.

    ISE3

    Paso 4. Se puede ver la CSR generada en ISE. Haga clic en View como se muestra en la imagen.

    ISE4

    Paso 5. Una vez generado CSR, busque el servidor de la CA y haga clic en Solicitar un certificado, como se muestra en la imagen:

    Windows server CA homepage

    Paso 6. Una vez que solicite un certificado, obtendrá las opciones Certificado de usuario y solicitud de certificado avanzado, haga clic en Solicitud de certificado avanzado como se muestra en la imagen.

    Submit a CSR request in Windows Server

    Paso 7. Pegue el CSR generado en la solicitud de certificado codificado en Base-64. En la plantilla de certificado: seleccione Web Server y haga clic en Submit como se muestra en la imagen.

    Chose the CSR details on Windows Server

    Paso 8. Una vez que haga clic en Submit, tendrá la opción de seleccionar el tipo de certificado, seleccione Base-64 codificado y haga clic en Download certificate chain como se muestra en la imagen.

    Windows Server listing certificates issued

    Paso 9. La descarga del certificado se completa para el servidor ISE. Puede extraer el certificado, el certificado contiene dos certificados, un certificado raíz y otro intermedio. El certificado raíz se puede importar en Administration > Certificates > Trusted certificates > Import como se muestra en las imágenes.

    Import Trusted certificates on ISE

    Import a new certificate on ISE

    Paso 10. Una vez que haga clic en Enviar, el certificado se agrega a la lista de certificados de confianza. Además, el certificado intermedio es necesario para enlazar con CSR como se muestra en la imagen.

    Bind certificate on ISE

    Paso 11. Una vez que haga clic en Bind certificate, hay una opción para elegir el archivo de certificado guardado en su escritorio. Busque el certificado intermedio y haga clic en Submit como se muestra en la imagen.

    bind CA signed certificate on ISE

    Paso 12. Para ver el certificado, navegue hasta Administration > Certificates > System Certificates como se muestra en la imagen.

    System certificates on ISE

    Cliente para EAP-TLS

    Descargar certificado de usuario en el equipo cliente (escritorio de Windows)

    Paso 1. Para autenticar un usuario inalámbrico a través de EAP-TLS, debe generar un certificado de cliente. Conecte el ordenador Windows a la red para poder acceder al servidor. Abra un navegador web e introduzca esta dirección: https://sever ip addr/certsrv—

    Paso 2. Tenga en cuenta que la CA debe ser la misma con la que se descargó el certificado para ISE.

    Para ello, debe buscar el mismo servidor de CA que utilizó para descargar el certificado para el servidor. En la misma CA, haga clic en Solicitar un certificado como se hizo anteriormente; sin embargo, esta vez debe seleccionar Usuario como Plantilla de certificado, como se muestra en la imagen.

    Submit the CSR

    Paso 3. Luego, haga clic en descargar cadena de certificados como se hizo anteriormente para el servidor.

    Una vez que obtenga los certificados, siga estos pasos para importar el certificado en el equipo portátil con Windows:

    Paso 4. Para importar el certificado, debe tener acceso a él desde Microsoft Management Console (MMC).

    1. Para abrir MMC navegue hasta Inicio > Ejecutar > MMC.
    2. Vaya a Archivo > Agregar o quitar complemento
    3. Haga doble clic en Certificates.
    4. Seleccione Cuenta de equipo.
    5. Seleccione Equipo local > Finalizar
    6. Haga clic en Aceptar para salir de la ventana Snap-In.
    7. Haga clic en [+] junto a Certificados > Personal > Certificados.
    8. Haga clic con el botón derecho en Certificados y seleccione Todas las tareas > Importar.
    9. Haga clic en Next (Siguiente).
    10. Haga clic en Browse.
    11. Seleccione el archivo .cer, .crt o .pfx que desee importar. 
    12. Haga clic en Abrir.
    13. Haga clic en Next (Siguiente).
    14. Seleccione Seleccionar automáticamente el almacén de certificados según el tipo de certificado.
    15. Haga clic en Finalizar y aceptar

    Una vez que haya terminado la importación del certificado, debe configurar el cliente inalámbrico (escritorio de Windows en este ejemplo) para EAP-TLS.

    Perfil inalámbrico para EAP-TLS

    Paso 1. Cambie el perfil inalámbrico que se creó anteriormente para el protocolo de autenticación extensible protegido (PEAP) para utilizar el EAP-TLS en su lugar. Haga clic en Perfil inalámbrico EAP.

      

    Paso 2. Seleccione Microsoft: Tarjeta inteligente u otro certificado y haga clic en OK que se muestra en la imagen.

    Chose EAP-TLS type of authentication

    Paso 3. Haga clic en configuración y seleccione el certificado raíz emitido desde el servidor de la CA como se muestra en la imagen.

    Enable trusted CAs

    Paso 4. Haga clic en Advanced Settings y seleccione User or computer authentication en la pestaña 802.1x settings (Configuración 802.1x), como se muestra en la imagen.

    Chose User or computer authentication

    Paso 5. Ahora, intente conectarse de nuevo a la red inalámbrica, seleccione el perfil correcto (EAP en este ejemplo) y Connect. Está conectado a la red inalámbrica como se muestra en la imagen.

    List of SSIDs

    Verificación

    Utilize esta sección para confirmar que su configuración funcione correctamente.

    Paso 1. El estado del administrador de políticas de cliente debe mostrarse como RUN. Esto significa que el cliente ha completado la autenticación, obtenido la dirección IP y está listo para pasar el tráfico que se muestra en la imagen.

    Client details : policy manager

    Paso 2. Verifique también el método EAP correcto en el WLC en la página de detalles del cliente como se muestra en la imagen.

    EAP type mentioned in the client details

    Paso 3. Aquí están los detalles del cliente de CLI del controlador (salida recortada):

    (Cisco Controller-Standby) >show client detail 34:02:86:96:2f:b7
Client MAC Address............................... 34:02:86:96:2f:b7
Client Username ................................. Administrator
AP MAC Address................................... 00:d7:8f:52:db:a0
AP Name.......................................... Alpha2802_3rdfloor 
AP radio slot Id................................. 0 
Client State..................................... Associated 
Wireless LAN Id.................................. 5 
Wireless LAN Network Name (SSID)................. EAP
Wireless LAN Profile Name........................ EAP
Hotspot (802.11u)................................ Not Supported
BSSID............................................ 00:d7:8f:52:db:a4 
Connected For ................................... 48 secs
Channel.......................................... 1 
IP Address....................................... 10.106.32.239
Gateway Address.................................. 10.106.32.1
Netmask.......................................... 255.255.255.0
Policy Manager State............................. RUN
Policy Type...................................... WPA2
Authentication Key Management.................... 802.1x
Encryption Cipher................................ CCMP-128 (AES)
Protected Management Frame ...................... No
Management Frame Protection...................... No
EAP Type......................................... EAP-TLS

    Paso 4. En ISE, navegue hasta Visibilidad del contexto > Terminales > Atributos como se muestra en las imágenes.

    Rule matchedCertificate issuer details

    Identity store is displayed in the live logs details

    Troubleshoot

    Actualmente no hay información específica disponible para resolver problemas de esta configuración.

      

    Historial de revisiones

    Revisión Fecha de publicación Comentarios
    1.0
    01-Aug-2018
    Versión inicial
    TAC Authored

    Con la colaboración de ingenieros de Cisco

    • Bharti Khatri
      Cisco TAC Engineer

    ¿Resultó útil este documento?

    FeedbackComentarios

    Contacte a Cisco

    Este documento se aplica a estos productos