Introducción
Los dispositivos móviles son cada vez más potentes desde el punto de vista informático y populares entre los consumidores. Millones de estos dispositivos se venden a los consumidores con Wi-Fi de alta velocidad, de modo que los usuarios puedan comunicarse y colaborar. Los consumidores están ahora acostumbrados a la mejora de la productividad que estos dispositivos móviles aportan a sus vidas y buscan llevar su experiencia personal al espacio de trabajo. Esto crea las necesidades de funcionalidad de una solución "Traiga su propio dispositivo" (BYOD) en el lugar de trabajo.
Este documento proporciona la implementación en sucursales de la solución BYOD. Un empleado se conecta a un identificador de conjunto de servicios (SSID) corporativo con su nuevo iPad y se redirige a un portal de registro automático. Cisco Identity Services Engine (ISE) autentica al usuario en el Active Directory corporativo (AD) y descarga un certificado con una dirección MAC iPad y un nombre de usuario integrados en el iPad, junto con un perfil de suplicante que aplica el uso del protocolo de autenticación extensible-seguridad de capa de transporte (EAP-TLS) como método para la conectividad dot1x. De acuerdo con la política de autorización de ISE, el usuario puede conectarse con el uso de dot1x y obtener acceso a los recursos adecuados.
Las funcionalidades de ISE en las versiones anteriores a 7.2.110.0 del software Cisco Wireless LAN Controller no eran compatibles con los clientes de switching locales que se asocian a través de los puntos de acceso (AP) de FlexConnect. La versión 7.2.110.0 admite estas funciones de ISE para los AP de FlexConnect para los clientes de conmutación local y autentificados centralmente. Además, la versión 7.2.110.0 integrada con ISE 1.1.1 ofrece (aunque sin limitarse a) estas funciones de solución BYOD para redes inalámbricas:
- Definición de perfiles y estado de los dispositivos
- Registro de dispositivos y aprovisionamiento de suplicantes
- Incorporación de dispositivos personales (aprovisionamiento de dispositivos iOS o Android)
Nota: Aunque es compatible, otros dispositivos, como ordenadores portátiles y estaciones de trabajo inalámbricos PC o Mac, no se incluyen en esta guía.
Prerequisites
Requirements
No hay requisitos específicos para este documento.
Componentes Utilizados
La información que contiene este documento se basa en las siguientes versiones de software y hardware.
- Switches Catalyst de Cisco
- Controladores de LAN inalámbrica (WLAN) de Cisco
- Versión 7.2.110.0 y posteriores del software del controlador WLAN de Cisco (WLC)
- AP 802.11n en modo FlexConnect
- Versión 1.1.1 y posteriores del software Cisco ISE
- Windows 2008 AD con autoridad de certificación (CA)
- Servidor DHCP
- Servidor DNS
- Network Time Protocol (NTP)
- Portátil cliente inalámbrico, smartphone y tablets (Apple iOS, Android, Windows y Mac)
Nota: Consulte Release Notes for Cisco Wireless LAN Controllers and Lightweight Access Points for Release 7.2.110.0 para obtener información importante sobre esta versión de software. Inicie sesión en el sitio de Cisco.com para ver las últimas notas de la versión antes de cargar y probar el software.
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.
Topología
Se requiere una configuración de red mínima, como se muestra en este diagrama, para implementar y probar correctamente estas funciones:

Para esta simulación, necesita una red con un punto de acceso FlexConnect, un sitio local/remoto con DHCP local, DNS, el WLC y el ISE. El punto de acceso FlexConnect está conectado a un tronco para probar el switching local con varias VLAN.
Registro de dispositivos y aprovisionamiento de suplicante
Se debe registrar un dispositivo para que su suplicante nativo pueda aprovisionarse para la autenticación dot1x. De acuerdo con la política de autenticación correcta, el usuario se redirige a la página de invitado y se autentica mediante las credenciales del empleado. El usuario ve la página de registro del dispositivo, que solicita la información del dispositivo. A continuación, comienza el proceso de aprovisionamiento de dispositivos. Si el sistema operativo (OS) no se admite para el aprovisionamiento, el usuario se redirige al Portal de registro de recursos para marcar ese dispositivo para el acceso de omisión de autenticación MAC (MAB). Si se soporta el SO, el proceso de inscripción comienza y configura el suplicante nativo del dispositivo para la autenticación dot1x.
Portal de registro de recursos
El Portal de registro de recursos es el elemento de la plataforma ISE que permite a los empleados iniciar la incorporación de terminales mediante un proceso de autenticación y registro.
Los administradores pueden eliminar recursos de la página de identidades de terminales. Cada empleado puede editar, eliminar y poner en la lista negra los recursos que ha registrado. Los terminales de la lista negra se asignan a un grupo de identidad de la lista negra y se crea una política de autorización para evitar el acceso a la red por parte de los terminales de la lista negra.
Portal de autorregistro
En el flujo de autenticación web central (CWA), los empleados son redirigidos a un portal que les permite introducir sus credenciales, autenticarse e introducir los detalles específicos del recurso concreto que desean registrar. Este portal se denomina Portal de autoaprovisionamiento y es similar al Portal de registro de dispositivos. Permite a los empleados introducir la dirección MAC, así como una descripción significativa del terminal.
Autenticación y aprovisionamiento
Una vez que los empleados seleccionan el portal de autorregistro, se les reta a proporcionar un conjunto de credenciales válidas para los empleados a fin de continuar con la fase de aprovisionamiento. Después de una autenticación exitosa, el extremo se puede aprovisionar en la base de datos de terminales y se genera un certificado para el extremo. Un enlace de la página permite al empleado descargar el Asistente piloto de suplicantes (SPW).
Nota: Refiérase al artículo de Cisco FlexConnect Feature Matrix para ver la matriz de características más reciente de FlexConnect para BYOD.
Aprovisionamiento para iOS (iPhone/iPad/iPod)
Para la configuración EAP-TLS, ISE sigue el proceso de inscripción en Apple Over-the-Air (OTA):
- Después de una autenticación correcta, el motor de evaluación evalúa las políticas de aprovisionamiento de clientes, lo que da como resultado un perfil de suplicante.
- Si el perfil de suplicante es para la configuración EAP-TLS, el proceso OTA determina si el ISE está utilizando la firma automática o firmada por una CA desconocida. Si se cumple una de las condiciones, se solicita al usuario que descargue el certificado de ISE o CA antes de que pueda comenzar el proceso de inscripción.
- Para otros métodos EAP, ISE envía el perfil final tras la autenticación correcta.
Aprovisionamiento para Android
Debido a consideraciones de seguridad, el agente Android se debe descargar del sitio del mercado de Android y no se puede aprovisionar desde ISE. Cisco carga una versión candidata de lanzamiento del asistente en el mercado de Android a través de la cuenta de editor de Cisco Android Marketplace.
Este es el proceso de aprovisionamiento de Android:
- Cisco utiliza el Kit de desarrollo de software (SDK) para crear el paquete Android con una extensión .apk.
- Cisco carga un paquete en el mercado de Android.
- El usuario configura la política en el aprovisionamiento del cliente con los parámetros adecuados.
- Después del registro del dispositivo, el usuario final se redirige al servicio de aprovisionamiento del cliente cuando falla la autenticación dot1x.
- La página del portal de aprovisionamiento proporciona un botón que redirige al usuario al portal de Android Marketplace, donde pueden descargar SPW.
- Se inicia Cisco SPW y realiza el aprovisionamiento del suplicante:
- SPW detecta el ISE y descarga el perfil de ISE.
- SPW crea un par de certificado/clave para EAP-TLS.
- SPW realiza una llamada de solicitud de proxy de protocolo simple de inscripción de certificados (SCEP) a ISE y obtiene el certificado.
- SPW aplica los perfiles inalámbricos.
- SPW activa la reautenticación si los perfiles se aplican correctamente.
- SPW sale.
Autorregistro de BYOD inalámbrico de SSID doble
Este es el proceso para el autorregistro de BYOD inalámbrico de SSID dual:
- El usuario se asocia al SSID de invitado.
- El usuario abre un explorador y se redirige al portal de invitados ISE CWA.
- El usuario introduce un nombre de usuario y una contraseña del empleado en el portal de invitados.
- ISE autentica al usuario y, en función de que es un empleado y no un invitado, redirige al usuario a la página de invitado Registro de dispositivos de empleado.
- La dirección MAC se rellena previamente en la página de invitado Registro de dispositivos para DeviceID. El usuario introduce una descripción y acepta la política de uso aceptable (AUP) si es necesario.
- El usuario selecciona Accept y comienza a descargar e instalar el SPW.
- El solicitante del dispositivo de ese usuario se aprovisiona junto con cualquier certificado.
- Se produce una CoA y el dispositivo se reasocia al SSID corporativo (CORP) y se autentica con EAP-TLS (u otro método de autorización que se utilice para ese suplicante).
Autorregistro de BYOD inalámbrico de SSID único
En esta situación, existe un único SSID para el acceso corporativo (CORP) que admite tanto el protocolo de autenticación extensible protegido (PEAP) como EAP-TLS. No hay ningún SSID de invitado.
Este es el proceso para el autorregistro de BYOD inalámbrico de SSID único:
- El usuario se asocia a CORP.
- El usuario ingresa un nombre de usuario y una contraseña del empleado en el solicitante para la autenticación PEAP.
- ISE autentica al usuario y, según el método PEAP, proporciona una política de autorización de aceptación con redirección a la página de invitado Registro de dispositivos de empleado.
- El usuario abre un explorador y se redirige a la página de invitado Registro de dispositivos del empleado.
- La dirección MAC se rellena previamente en la página de invitado Registro de dispositivos para DeviceID. El usuario introduce una descripción y acepta la AUP.
- El usuario selecciona Accept y comienza a descargar e instalar el SPW.
- El solicitante del dispositivo de ese usuario se aprovisiona junto con cualquier certificado.
- Se produce la CoA y el dispositivo se reasocia al SSID CORP y se autentica con EAP-TLS.
Configuración de la función
Complete estos pasos para comenzar la configuración:
- Para esta guía, asegúrese de que la versión del WLC sea 7.2.110.0 o posterior.

- Navegue hasta Seguridad > RADIUS > Autenticación, y agregue el servidor RADIUS al WLC.

- Agregue el ISE 1.1.1 al WLC:
- Introduzca un secreto compartido.
- Establezca Support for RFC 3576 en Enabled.

- Agregue el mismo servidor ISE que un servidor de contabilidad RADIUS.

- Cree una ACL WLC Pre-Auth para usar en la política ISE más adelante. Navegue hasta WLC > Security > Access Control Lists > FlexConnect ACLs y cree una nueva ACL de FlexConnect denominada ACL-REDIRECT (en este ejemplo).

- En las reglas ACL, permita todo el tráfico hacia/desde ISE y el tráfico del cliente durante el aprovisionamiento del solicitante.
- Para la primera regla (secuencia 1):
- Establezca Source en Any.
- Establezca IP (dirección ISE)/ Máscara de red 255.255.255.255.
- Establecer acción en Permiso.

- Para la segunda regla (secuencia 2), establezca IP de origen (dirección ISE)/ máscara 255.255.255.255 en Any y Acción para Permit.

- Cree un nuevo grupo FlexConnect denominado Flex1 (en este ejemplo):
- Vaya a FlexConnect Group > WebPolicies tab.
- En el campo WebPolicy ACL, haga clic en Add y seleccione ACL-REDIRECT o la ACL FlexConnect creada anteriormente.
- Confirme que rellena el campo Listas de Control de Acceso de WebPolicy.

- Haga clic en Aplicar y Guardar configuración.
Configuración de WLAN
Complete estos pasos para configurar la WLAN:
- Cree un SSID WLAN abierto para el ejemplo de SSID dual:
- Introduzca un nombre de WLAN: DemoCWA (en este ejemplo).
- Seleccione la opción Enabled para Status.

- Vaya a la pestaña Seguridad > Capa 2 y establezca estos atributos:
- Seguridad de capa 2: Ninguno
- Filtrado de MAC: Habilitado (la casilla está marcada)
- Transición rápida: Desactivado (la casilla no está marcada)

- Vaya a la pestaña Servidores AAA y establezca estos atributos:
- Servidores de cuentas y autenticación: Habilitado
- Servidor 1: <ISE IP address>

- Desplácese hacia abajo desde la pestaña Servidores AAA. En Orden de prioridad de autenticación para el usuario web-auth, asegúrese de que RADIUS se utilice para la autenticación y que los demás no se utilicen.

- Vaya a la pestaña Avanzadas y establezca estos atributos:
- Permitir anulación de AAA: Habilitado
- Estado NAC: Radius NAC

Nota: No se admite el control de admisión a la red (NAC) RADIUS cuando el punto de acceso FlexConnect está en modo desconectado. Por lo tanto, si el punto de acceso FlexConnect está en modo autónomo y pierde la conexión con el WLC, todos los clientes se desconectan y el SSID ya no se anuncia.
- Desplácese hacia abajo en la ficha Advanced (Opciones avanzadas) y establezca FlexConnect Local Switching en Enabled (Activado).

- Haga clic en Aplicar y Guardar configuración.

- Cree un SSID WLAN 802.1X con el nombre Demo1x (en este ejemplo) para escenarios SSID únicos y duales.

- Vaya a la pestaña Seguridad > Capa 2 y establezca estos atributos:
- Seguridad de capa 2: WPA+WPA2
- Transición rápida: Desactivado (la casilla no está marcada)
- Administración de claves de autenticación: 802.lX: Habilitar

- Vaya a la pestaña Avanzadas y establezca estos atributos:
- Permitir anulación de AAA: Habilitado
- Estado NAC: Radius NAC

- Desplácese hacia abajo en la ficha Advanced y establezca FlexConnect Local Switching en Enabled.

- Haga clic en Aplicar y Guardar configuración.

- Confirme que se hayan creado las dos nuevas WLAN.

Configuración de FlexConnect AP
Complete estos pasos para configurar el punto de acceso FlexConnect:
- Navegue hasta WLC > Wireless, y haga clic en el punto de acceso FlexConnect de destino.

- Haga clic en la pestaña FlexConnect.

- Habilite el Soporte de VLAN (la casilla está activada), establezca el ID de VLAN nativa y haga clic en Asignaciones VLAN.

- Establezca el ID de VLAN en 21 (en este ejemplo) para el SSID para el switching local.

- Haga clic en Aplicar y Guardar configuración.
Configuración de ISE
Complete estos pasos para configurar el ISE:
- Inicie sesión en el servidor ISE: https://ise .

- Vaya a Administración > Administración de identidades > Orígenes de identidad externos.

- Haga clic en Active Directory.

- En la ficha Conexión:
- Agregue el nombre de dominio de corp.rf-demo.com (en este ejemplo) y cambie el valor predeterminado del nombre del almacén de identidad a AD1.
- Haga clic en Guardar configuración.
- Haga clic en Unirse y proporcione el nombre de usuario y la contraseña de la cuenta del administrador de AD necesarios para unirse.
- El estado debe ser verde. Habilitar conectado a: (está activada).

- Realice una prueba de conexión básica a AD con un usuario de dominio actual.

- Si la conexión con AD es correcta, un diálogo confirma que la contraseña es correcta.

- Vaya a Administración > Administración de identidades > Orígenes de identidad externos:
- Haga clic en Perfil de autenticación de certificado.
- Haga clic en Agregar para obtener un nuevo perfil de autenticación de certificado (CAP).

- Introduzca un nombre de CertAuth (en este ejemplo) para CAP; para el Atributo Nombre de usuario principal X509, seleccione Nombre común; a continuación, haga clic en Enviar.

- Confirme que se ha agregado el nuevo CAP.

- Navegue hasta Administración > Administración de Identidad > Secuencias de Origen de Identidad y haga clic en Agregar .

- Asigne a la secuencia un nombre de TestSequence (en este ejemplo).

- Desplácese hacia abajo hasta Autenticación Basada en Certificados:
- Habilite Seleccionar perfil de autenticación de certificado (casilla marcada).
- Seleccione CertAuth (u otro perfil CAP creado anteriormente).

- Desplácese hacia abajo hasta Lista de búsqueda de autenticación:
- Mueva AD1 de Disponible a Seleccionado.
- Haga clic en el botón arriba para mover AD1 a la prioridad superior.

- Haga clic en Enviar para guardar.

- Confirme que se agrega la nueva secuencia de origen de identidad.

- Utilice el AD para autenticar el portal Mis dispositivos. Vaya a ISE > Administration > Identity Management > Identity Source Sequence y edite MyDevices_Portal_Sequence.

- Agregue AD1 a la lista Seleccionado y haga clic en el botón arriba para mover AD1 a la prioridad superior.

- Click Save.

- Confirme que la secuencia del almacén de identidad para MyDevices_Portal_Sequence contenga AD1.

- Repita los pasos 16-19 para agregar AD1 para Guest_Portal_Sequence y haga clic en Guardar.

- Confirme que Guest_Portal_Sequence contiene AD1.

- Para agregar el WLC al dispositivo de acceso a la red (WLC), navegue hasta Administración > Recursos de red > Dispositivos de red y haga clic en Agregar.

- Agregue el nombre del WLC, la dirección IP, la máscara de subred, etc.

- Desplácese hacia abajo hasta Configuraciones de autenticación e introduzca el secreto compartido. Esto debe coincidir con el secreto compartido del WLC RADIUS.

- Haga clic en Submit (Enviar).
- Vaya a ISE > Policy > Policy Elements > Results.

- Expanda Resultados y Autorización, haga clic en Perfiles de Autorización y haga clic en Agregar para un nuevo perfil.

- Dé a este perfil estos valores:
- Nombre: CWA

- Habilitar autenticación web (casilla marcada):
- Autenticación Web: Centralizado
- ACL: ACL-REDIRECT (Esto debe coincidir con el nombre de ACL de WLC pre-auth).
- Redirigir: Predeterminado

- Haga clic en Enviar y confirme que se ha agregado el perfil de autorización de CWA.

- Haga clic en Agregar para crear un nuevo perfil de autorización.

- Dé a este perfil estos valores:
- Nombre: Aprovisionamiento

- Habilitar autenticación web (casilla marcada):
- Valor de autenticación web: Aprovisionamiento de supplicant

- ACL: ACL-REDIRECT (Esto debe coincidir con el nombre de ACL de WLC pre-auth).

- Haga clic en Enviar y confirme que se agregó el perfil de autorización de provisión.

- Desplácese hacia abajo en Resultados, expanda Aprovisionamiento de cliente y haga clic en Recursos.

- Seleccione Perfil de suplicante nativo.

- Asigne al perfil un nombre de WirelessSP (en este ejemplo).

- Introduzca estos valores:
- Tipo de conexión: Tecnología inalámbrica
- SSID: Demo1x (este valor proviene de la configuración WLAN 802.1x del WLC)
- Protocolo permitido: TLS
- Tamaño de clave: 1024

- Haga clic en Submit (Enviar).
- Click Save.

- Confirme que se ha agregado el nuevo perfil.

- Vaya a Policy > Client Provisioning.

- Introduzca estos valores para la regla de aprovisionamiento de dispositivos iOS:
- ‘Nombre de la regla IOS
- Grupos de identidad: cualquiera

- Sistemas operativos: Mac iOS All

- Resultados: WirelessSP (este es el perfil de suplicante nativo creado anteriormente)

- Vaya a Resultados > Perfil del asistente (lista desplegable) > WirelessSP.


- Confirme que se agregó el perfil de aprovisionamiento de iOS.

- En el lado derecho de la primera regla, busque la lista desplegable Acciones y seleccione Duplicar debajo (o superior).

- Cambie el nombre de la nueva regla a Android.

- Cambie los sistemas operativos a Android.

- Deje otros valores sin cambios.
- Haga clic en Guardar (pantalla inferior izquierda).

- Vaya a ISE > Policy > Authentication.

- Modifique la condición para incluir Wireless_MAB y expanda Wired_MAB.

- Haga clic en la lista desplegable Nombre de condición.

- Seleccione Diccionarios > Condición combinada.

- Seleccione Wireless_MAB.

- A la derecha de la regla, seleccione la flecha que desea expandir.

- Seleccione estos valores en la lista desplegable:
- Origen de identidad: TestSequence (este es el valor creado anteriormente)
- Si la autenticación falló: Rechazar
- Si no se encuentra el usuario: Continúe
- Si el proceso falló: Desplegar

- Vaya a la regla Dot1X y cambie estos valores:

- Click Save.

- Vaya a ISE > Policy > Authorization.

- Las reglas predeterminadas (como Lista negra predeterminada, Perfil y Predeterminado) ya se han configurado desde la instalación; se pueden ignorar las dos primeras; la regla predeterminada se editará más adelante.

- A la derecha de la segunda regla (teléfonos IP de Cisco con perfil), haga clic en la flecha hacia abajo situada junto a Edit (Editar) y seleccione Insert New Rule below (Insertar nueva regla abajo).

Se agrega un nuevo número de regla estándar.

- Cambie el nombre de la regla de la regla estándar nº a OpenCWA. Esta regla inicia el proceso de registro en la WLAN abierta (SSID dual) para los usuarios que vienen a la red de invitado para tener los dispositivos aprovisionados.

- Haga clic en el signo más (+) para las condiciones y haga clic en Seleccionar condición existente de la biblioteca.

- Seleccione Compuesto Condiciones > Wireless_MAB.

- En AuthZ Profile, haga clic en el signo más (+) y seleccione Standard.

- Seleccione el CWA estándar (este es el perfil de autorización creado anteriormente).

- Confirme que la regla se agrega con las condiciones y la autorización correctas.

- Haga clic en Finalizado (en el lado derecho de la regla).

- A la derecha de la misma regla, haga clic en la flecha hacia abajo junto a Editar y seleccione Insertar nueva regla abajo.

- Cambie el Nombre de la Regla Estándar nº a PEAPrule (en este ejemplo). Esta regla se aplica a PEAP (que también se utiliza para un solo escenario de SSID) para comprobar que la autenticación de 802.1X sin seguridad de la capa de transporte (TLS) y que el aprovisionamiento de suplicante de red se inicia con el perfil de autorización de aprovisionamiento creado anteriormente.

- Cambie la condición a Wireless_802.1X.

- Haga clic en el icono del engranaje en el lado derecho de la condición y seleccione Agregar atributo/valor. Esta es una condición 'and', no una condición 'or'.

- Localice y seleccione Network Access.

- Seleccione AuthenticationMethod e introduzca estos valores:

- AuthenticationMethod: Igual a

- Seleccione MSCHAPV2.

Este es un ejemplo de la regla; asegúrese de confirmar que la Condición es un AND.

- En AuthZ Profile, seleccione Standard > Provisioning (este es el perfil de autorización creado anteriormente).


- Haga clic en Done (Listo).

- A la derecha de PEAPrule, haga clic en la flecha hacia abajo junto a Edit y seleccione Insert New Rule below.

- Cambie el nombre de regla de la regla estándar nº a AllowRule (en este ejemplo). Esta regla se utilizará para permitir el acceso a los dispositivos registrados con certificados instalados.

- En Condición(s), seleccione Condiciones Compuestas.

- Seleccione Wireless_802.1X.

- Agregue un atributo AND.

- Haga clic en el icono del engranaje en el lado derecho de la condición y seleccione Agregar atributo/valor.

- Localice y seleccione Radius.

- Seleccione Calling-Station-ID—[31].

- Seleccione Equals.

- Vaya a CERTIFICATE y haga clic en la flecha derecha.

- Seleccione Nombre alternativo del asunto.

- Para el perfil AuthZ, seleccione Estándar.

- Seleccione Permit Access.

- Haga clic en Done (Listo).

Este es un ejemplo de la regla:

- Busque la regla Default para cambiar PermitAccess a DenyAccess.

- Haga clic en Editar para editar la regla predeterminada.

- Vaya al perfil AuthZ existente de PermitAccess.

- Seleccione Estándar.

- Seleccione DenyAccess.

- Confirme que la regla Predeterminada tenga DenyAccess si no se encuentra ninguna coincidencia.

- Haga clic en Done (Listo).

Este es un ejemplo de las principales reglas requeridas para esta prueba; son aplicables para un solo SSID o para un escenario de SSID dual.

- Click Save.

- Navegue hasta ISE > Administration > System > Certificates para configurar el servidor ISE con un perfil SCEP.

- En Certificate Operations, haga clic en SCEP CA Profiles.

- Haga clic en Add (Agregar).

- Introduzca estos valores para este perfil:
- Nombre: mySCEP (en este ejemplo)
- URL: https:// <ca-server>/CertSrv/mscep/ (Compruebe la configuración del servidor de la CA para obtener la dirección correcta).

- Haga clic en Probar conectividad para probar la conectividad de la conexión SCEP.

- Esta respuesta muestra que la conectividad del servidor es correcta.

- Haga clic en Submit (Enviar).

- El servidor responde que el perfil de la CA se creó correctamente.

- Confirme que se ha agregado el perfil de CA de SCEP.

Experiencia de usuario: aprovisionamiento de iOS
SSID dual
Esta sección trata sobre el SSID dual y describe cómo conectarse al invitado que se va a aprovisionar y cómo conectarse a una WLAN 802.1x.
Complete estos pasos para aprovisionar iOS en el escenario de SSID dual:
- En el dispositivo iOS, vaya a Redes Wi-Fi y seleccione DemoCWA (WLAN abierta configurada en WLC).

- Abra el explorador Safari en el dispositivo con iOS y visite una URL accesible (por ejemplo, servidor web interno/externo). ISE le redirige al portal. Haga clic en Continue (Continuar).

- Se le redirige al portal de invitados para iniciar sesión.

- Inicie sesión con una cuenta de usuario y una contraseña de AD. Instale el perfil de la CA cuando se le solicite.

- Haga clic en Instalar certificado de confianza del servidor de la CA.

- Haga clic en Finalizado una vez que el perfil esté completamente instalado.

- Vuelva al navegador y haga clic en Register. Anote el ID de dispositivo que contiene la dirección MAC del dispositivo.

- Haga clic en Install para instalar el perfil verificado.

- Haga clic en Instalar ahora.

- Una vez finalizado el proceso, el perfil de WirelessSP confirma que el perfil está instalado. Haga clic en Done (Listo).

- Vaya a Redes Wi-Fi y cambie la red a Demo1x. El dispositivo ya está conectado y utiliza TLS.

- En ISE, navegue hasta Operaciones > Autenticaciones. Los eventos muestran el proceso en el que el dispositivo está conectado a la red de invitado abierta, pasa por el proceso de registro con aprovisionamiento de suplicante y se le permite el acceso de permiso después del registro.

- Vaya a ISE > Administration > Identity Management > Groups > Endpoint Identity Groups > RegisteredDevices. La dirección MAC se ha agregado a la base de datos.

SSID único
Esta sección abarca un SSID único y describe cómo conectarse directamente a una WLAN 802.1x, proporcionar un nombre de usuario/contraseña AD para la autenticación PEAP, el aprovisionamiento a través de una cuenta de invitado y la reconexión con TLS.
Complete estos pasos para aprovisionar iOS en el escenario de SSID único:
- Si utiliza el mismo dispositivo iOS, quite el terminal de los dispositivos registrados.

- En el dispositivo iOS, navegue hasta Settings > General > Profiles. Quite los perfiles instalados en este ejemplo.

- Haga clic en Eliminar para quitar los perfiles anteriores.


- Conéctese directamente a 802.1x con el dispositivo existente (desactivado) o con un nuevo dispositivo iOS.
- Conéctese a Dot1x, introduzca un nombre de usuario y una contraseña y haga clic en Unirse.

- Repita los pasos 90 y posteriores desde la sección Configuración de ISE hasta que los perfiles apropiados estén completamente instalados.
- Navegue hasta ISE > Operations > Authentications para supervisar el proceso. Este ejemplo muestra el cliente que está conectado directamente a la WLAN 802.1X a medida que se aprovisiona, desconecta y se reconecta a la misma WLAN con el uso de TLS.

- Navegue hasta WLC > Monitor > [Client MAC]. En los detalles del cliente, observe que el cliente está en el estado RUN, su Switching de datos está configurado en local y la Autenticación es Central. Esto es cierto para los clientes que se conectan a FlexConnect AP.

Experiencia de usuario: aprovisionamiento de Android
SSID dual
Esta sección trata sobre el SSID dual y describe cómo conectarse al invitado que se va a aprovisionar y cómo conectarse a una WLAN 802.1x.
El proceso de conexión para el dispositivo Android es muy similar al de un dispositivo iOS (SSID único o dual). Sin embargo, una diferencia importante es que el dispositivo Android requiere acceso a Internet para acceder a Google Marketplace (ahora Google Play) y descargar el agente suplicante.
Complete estos pasos para aprovisionar un dispositivo Android (como Samsung Galaxy en este ejemplo) en el escenario de SSID dual:
- En el dispositivo Android, use Wi-Fi para conectarse a DemoCWA y abrir la WLAN de invitado.

- Acepte cualquier certificado para conectarse al ISE.

- Introduzca un nombre de usuario y una contraseña en el portal de invitados para iniciar sesión.

- Haga clic en Register. El dispositivo intenta alcanzar Internet para acceder a Google Marketplace. Agregue reglas adicionales a la ACL de autenticación previa (como ACL-REDIRECT) en el controlador para permitir el acceso a Internet.

- Google enumera Cisco Network Setup como una aplicación para Android. Haga clic en INSTALAR.

- Inicie sesión en Google y haga clic en INSTALAR.

- Click OK.

- En el dispositivo Android, busque la aplicación Cisco SPW instalada y ábrala.

- Asegúrese de que aún está conectado al Portal de invitados desde su dispositivo Android.
- Haga clic en Inicio para iniciar Wi-Fi Setup Assistant.

- Cisco SPW comienza a instalar certificados.

- Cuando se le solicite, establezca una contraseña para el almacenamiento de credenciales.

- Cisco SPW devuelve con un nombre de certificado, que contiene la clave de usuario y el certificado de usuario. Haga clic en Aceptar para confirmar.

- Cisco SPW continúa y solicita otro nombre de certificado, que contiene el certificado de CA. Ingrese el nombre iseca (en este ejemplo) y luego haga clic en Aceptar para continuar.

- El dispositivo Android ya está conectado.

Portal de Mis dispositivos
El portal Mis dispositivos permite a los usuarios incluir en la lista negra los dispositivos registrados anteriormente en caso de que se extraiga o se robara un dispositivo. También permite a los usuarios volver a inscribirse si es necesario.
Complete estos pasos para poner en la lista negra un dispositivo:
- Para iniciar sesión en el portal Mis dispositivos, abra un explorador, conéctese a https://ise-server:8443/mydevices (observe el número de puerto 8443) e inicie sesión con una cuenta AD.

- Localice el dispositivo bajo Device ID (ID de dispositivo) y haga clic en Lost (Perdida)? para iniciar la lista negra de un dispositivo.

- Cuando el ISE solicite una advertencia, haga clic en Yes para continuar.

- ISE confirma que el dispositivo se marca como perdido.

- Cualquier intento de conexión a la red con el dispositivo registrado anteriormente se bloquea ahora, incluso si hay un certificado válido instalado. Este es un ejemplo de un dispositivo en la lista negra que falla la autenticación:

- Un administrador puede navegar a ISE > Administration > Identity Management > Groups, hacer clic en Endpoint Identity Groups > Blacklist y ver que el dispositivo está en la lista negra.

Complete estos pasos para restablecer un dispositivo en la lista negra:
- En el portal Mis dispositivos, haga clic en Restablecer para ese dispositivo.

- Cuando ISE solicite una advertencia, haga clic en Yes para continuar.

- ISE confirma que el dispositivo se ha restablecido correctamente. Conecte el dispositivo restablecido a la red para probar que ahora se permitirá el dispositivo.

Referencia - Certificados
ISE no solo requiere un certificado raíz de CA válido, sino que también necesita un certificado válido firmado por CA.
Complete estos pasos para agregar, enlazar e importar un nuevo certificado de CA confiable:
- Vaya a ISE > Administration > System > Certificates, haga clic en Local Certificates y haga clic en Add.

- Seleccione Generar solicitud de firma de certificado (CSR).

- Introduzca el asunto del certificado CN=<ISE-SERVER hostname.FQDN>. Para los demás campos, puede utilizar el valor predeterminado o los valores requeridos por la configuración de CA. Haga clic en Submit (Enviar).

- ISE verifica que se generó el CSR.

- Para acceder al CSR, haga clic en las operaciones Solicitudes de firma de certificados.

- Seleccione la CSR creada recientemente y luego haga clic en Exportar.

- ISE exporta el CSR a un archivo .pem. Haga clic en Guardar archivo y luego haga clic en Aceptar para guardar el archivo en la máquina local.

- Busque y abra el archivo de certificado ISE con un editor de texto.

- Copie todo el contenido del certificado.

- Conéctese al servidor de la CA e inicie sesión con una cuenta de administrador. El servidor es una CA de Microsoft 2008 en https://10.10.10.10/certsrv (en este ejemplo).

- Haga clic en Solicitar un certificado.

- Haga clic en solicitud de certificado avanzada.

- Haga clic en la segunda opción para enviar una solicitud de certificado usando un CMC codificado en base 64 o ... .

- Pegue el contenido del archivo de certificado ISE (.pem) en el campo Solicitud guardada, asegúrese de que la plantilla de certificado sea servidor Web y haga clic en Enviar.

- Haga clic en Descargar certificado.

- Guarde el archivo certnew.cer; se utilizará más adelante para enlazar con ISE.

- En Certificados ISE, navegue hasta Certificados Locales y haga clic en Agregar > Enlazar certificado CA.

- Busque el certificado que se guardó en la máquina local en el paso anterior, habilite los protocolos EAP y Management Interface (las casillas están marcadas) y haga clic en Enviar. ISE puede tardar varios minutos o más para reiniciar los servicios.

- Vuelva a la página de inicio de la CA (https://CA/certsrv/) y haga clic en Descargar un certificado de CA, cadena de certificados o CRL.

- Haga clic en Descargar certificado de CA.

- Guarde el archivo en el equipo local.

- Con el servidor ISE en línea, vaya a Certificados y haga clic en Certificados de Autoridad de Certificados.

- Haga clic en Importar.

- Busque el certificado de CA, habilite Confianza para la autenticación de cliente (casilla marcada) y haga clic en Enviar.

- Confirme que se agrega el nuevo certificado de CA de confianza.

Información Relacionada