WLC および ISE を使用して EAP-TLS を理解し、設定して下さい
目次
概要
これは記述します 802.1X セキュリティのと Extensible Authentication Protocol(EAP)の使用の Wireless Local Area Network (WLAN)を設定する方法を- Transport Layer Security (TLS)文書化します。
前提条件
要件
次の項目に関する知識が推奨されます。
- 802.1X 認証プロセス
- 証明書
使用するコンポーネント
このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づくものです。
- WLC 5508 バージョン 8.3
- Identity Services Engine (ISE)バージョン 2.1
本書の情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、初期(デフォルト)設定の状態から起動しています。 対象のネットワークが実稼働中である場合には、どのような作業についても、その潜在的な影響について確実に理解しておく必要があります。
背景説明
EAP-TLS フロー
EAP-TLS フローのステップ
- 無線クライアントは Access Point (AP)に対応づけられます。
- AP は割り当てクライアント データをこの時点で送信 するし、認証要求を送信 します。
- サプリカントは EAP 応答識別でそれから応答します。 WLC は認証サーバとそれからユーザー ID 情報を伝えます。
- RADIUSサーバは EAP-TLS 開始する パケットのクライアントに戻って応答します。 EAP-TLS メッセージ交換はこの時点で開始します。
- ピアは「client_hello」ハンドシェイク メッセージが含まれている認証サーバに EAP 応答を、NULL のために設定 される暗号送り返します。
- 含んでいる認証サーバはアクセス チャレンジ パケットと応答します:
TLS server_hello handshake message certificate server_key_exchange certificate request server_hello_done.
- クライアントは含んでいる EAP 応答メッセージと応答します:
Certificate ¬ Server can validate to verify that it is trusted. client_key_exchange certificate_verify ¬ Verifies the server is trusted change_cipher_spec TLS finished
- クライアントが認証に成功した後、RADIUSサーバは「change_cipher_spec」およびハンドシェイクによって終えられるメッセージが含まれているアクセス チャレンジと応答します。 これを受け取った上で、クライアントは RADIUSサーバを認証するためにハッシュを確認します。 新しい暗号化キーは TLS ハンドシェイクの間にマスター シークレットから動的に得られます。
- この時点で、EAP-TLS によって有効に される 無線クライアントは無線ネットワークにアクセスできます。
設定
Cisco ワイヤレス LAN コントローラ
ステップ 1: 第一歩は Cisco WLC の RADIUSサーバを設定することです。 RADIUSサーバを、ナビゲート セキュリティ > RADIUS > 認証に追加するため。 イメージに示すように『New』 をクリック して下さい。
呼び出します。 ここでは、IP アドレスをおよび ISE の WLC を検証するために使用する共有秘密 <password> を入力する必要があります。 イメージに示すように続くために『Apply』 をクリック して下さい。
ステップ 3. RADIUS認証のための WLAN を作成して下さい。
この場合、新しい WLAN を作成し、WPA エンタープライズ モードを使用するために設定できます従って認証のために RADIUS を使用できます。
ステップ 4.メインメニューから『WLAN』 を選択 し、新しい『Create』 を選択 し、イメージに示すように『Go』 をクリック して下さい。
ステップ 5 新しい WLAN EAP を指名しよう。 イメージに示すように続くために『Apply』 をクリック して下さい。
ステップ 6. 『General』 をクリック し、ステータスが有効に なるようにして下さい。 デフォルトのセキュリティ ポリシーはイメージに示すように 802.1X 認証および WPA2 です。
ステップ 7 この場合、セキュリティへのナビゲート > AAA サーバはイメージに示すようにちょうどおよび設定した RADIUSサーバを記録しましたり、選択します。
Cisco WLC との ISE
EAP-TLS 設定
ポリシーを構築するために、ポリシーで使用するために許可されたプロトコル リストを作成する必要があります。 dot1x ポリシーが書かれているので、基づいて許可された EAP 型をポリシーがどのようにに設定されるか規定 して下さい。
デフォルトを使用する場合、仕様 EAP 型にアクセスの下でロックする必要がある場合好まれないかもしれない認証に対するほとんどの EAP 型を割り当てます。
ステップ 1.ナビゲート toPolicy > ポリシー要素はイメージに示すように > > 認証 > Protocolsand 許可された clickAdd 起因します。
呼び出します。 この許可されたプロトコル リストで、リストの名前を入力できます。 この場合、割り当て EAP-TLS ボックスはチェックされ、他のボックスはイメージに示すようにチェックを外されます。
ISE の WLC 設定
ステップ 1.イメージに示すように Administration > ネットワークリソース > ネットワークデバイス > Add への開いた ISE コンソールおよびナビゲート。
ステップ 2.イメージに示すように値を入力して下さい。
ISE の新規 ユーザを作成して下さい
ステップ 1. > Add はイメージ Administration > アイデンティティ管理 > 識別 > Users にに示すようにナビゲート します。
ステップ 2.イメージに示すように情報を入力して下さい。
ISE の信頼できる証明書
ステップ 1. Administration > システム > 証明書 > Certificate Management > 信頼できる証明書にナビゲート して下さい。
ISE に証明書をインポートするために『Import』 をクリック して下さい。 WLC を追加し、ISE のユーザを作成すれば、ISE の証明書を信頼することである EAP-TLS のほとんどの重要な部分をする必要があります。 それのために CSR を生成する必要があります。
ステップ 2. Administrauon > 証明書 > 証明書署名要求 > イメージに示すように生成する Certificate Signing Requests (CSR)へのナビゲート。
ステップ 3. CSR を、ナビゲートはイメージに示すように使用方法におよび証明書から生成するためにのために廃棄しますオプションを『eap』 を選択 します 認証を使用されます。
ステップ 4 ISE で生成される CSR は表示することができます。 イメージに示すように『View』 をクリック して下さい。
ステップ 5 CSR が生成されたら、CA サーバのために参照し、イメージに示すように『Request a certificate』 をクリック して下さい:
ステップ 6 証明書を要求すれば、ユーザ許可証のためのオプションを得、高度 Certificate 要求はイメージに示すように、『advanced certificate request』 をクリック します。
ステップ 7. Base-64 によって符号化される Certificate 要求で生成される CSR を貼り付けて下さい。 証明書のテンプレートから: オプションを廃棄し、イメージに示すように『Web Server』 を選択 し、『SUBMIT』 をクリック して下さい。
ステップ 8 『SUBMIT』 をクリック すれば、イメージに示すように証明書の種類を選択するオプションを得、証明書 チェーンを『Base 64 encoded』 を選択 し、『Download』 をクリック します。
ステップ 9: 証明書ダウンロードは ISE サーバのために完了します。 証明書含まれています 2 つの証明書、1 つのルート証明および他の中間物が証明書を得ることができます。 ルート証明はイメージに示すように Administration > Certifictes > 信頼できる証明書 > インポートの下でインポートすることができます。
ステップ 10: 『SUBMIT』 をクリック すれば、証明書は信頼できる証明書リストに追加されます。 また、中間証明書はイメージに示すように CSR と結合 するため必要です。
ステップ 11: バインド証明書をクリックすれば、デスクトップで保存される証明書ファイルを選択するオプションがあります。 中間証明書に参照し、イメージに示すように『SUBMIT』 をクリック して下さい。
ステップ 12: 証明書を、ナビゲート イメージに示すように Administration > 証明書 > システム 証明書に表示するために。
EAP-TLS のためのクライアント
クライアントマシン(ウィンドウズのデスクトップ)のダウンロード ユーザ許可証
ステップ 1.無線ユーザを EAP-TLS によって認証するために、クライアント 認証を生成しなければなりません。 サーバにアクセスできるようにネットワークに Windows コンピュータを接続して下さい。 Webブラウザを開き、このアドレスを入力して下さい: https://sever IP アドレス/certsrv---
呼び出します。 CA が証明書が ISE のためにダウンロードされた同じである必要があることに注目して下さい。
これのために、サーバのための証明書をダウンロードするのに使用した同じ CA サーバのために参照する必要があります。 同じ CA で、今回イメージに示すように証明書のテンプレートとして『User』 を選択 する必要があるどんなに、以前にされるように『Request a certificate』 をクリック して下さい。
ステップ 3 それからサーバのために以前にされたように、証明書 チェーンを『Download』 をクリック して下さい。
証明書を得たら、ウィンドウ ラップトップの証明書をインポートするために次の手順に従って下さい:
ステップ 4.証明書をインポートするために、Microsoft Management Console (MMC)からそれにアクセスする必要があります。
- MMC を開くために Start > Run > MMC にナビゲート して下さい。
- ファイル > Add へのナビゲートは/スナップを取除きます
- ダブル クリック証明書。
- SelectComputer アカウント。
- > 完了『Local Computer』 を選択 して下さい
- スナップ式ウィンドウを終了するために『OK』 をクリック して下さい。
- 証明書の隣で > 個人的 > 証明書 [+]を クリックする。
- 証明書を右クリックし、> インポート『All Tasks』 を選択 して下さい。
- [Next] をクリックします。
- [Browse] をクリックします。
- .cer を、.crt 選択して下さい、またはインポートすることを望む .pfx。
- [Open] をクリックします。
- [Next] をクリックします。
- 選り抜き証明書の種類に基づいて証明書 ストアを自動的に選択して下さい。
- 『Finish』 をクリック して下さい及び承諾して下さい
証明書のインポートが行われれば、EAP-TLS のための無線クライアント(この例のウィンドウズのデスクトップ)を設定する必要があります。
EAP-TLS のためのワイヤレス プロファイル
ステップ 1.ワイヤレス プロファイルを変更して下さい EAP-TLS を代りに使用するために Protected Extensible Authentication Protocol (PEAP)のために先に作成された。 ワイヤレス プロファイルを『eap』 をクリック して下さい。
ステップ 2. 『Microsoft』 を選択 して下さい: スマート カードか他の証明書はおよびイメージで示されていて『OK』 をクリック します。
ステップ 3.イメージに示すように発行される CA サーバからルート証明を『Settings』 をクリック し、選択して下さい。
ステップ 4. 802.1X Settings タブからの設定『Advanced』 をクリック し、イメージに示すようにかコンピュータ 認証を『User』 を選択 して下さい。
ステップ 5 この場合、選択し、正しいプロファイル(この例の EAP)を接続します無線ネットワークに再度接続することを試みて下さい。 イメージに示すように無線ネットワークに接続されます。
確認
このセクションでは、設定が正常に機能していることを確認します。
ステップ 1: クライアント Policy Manager 状態は RAN として示す必要があります。 これはクライアントが認証を、得られた IP アドレス完了し、イメージで示されているトラフィックを通過させて準備ができていることを意味します。
呼び出します。 またイメージに示すように Details ページ クライアントの WLC の正しい EAP 方式を確認して下さい。
ステップ 3 コントローラ(切られる出力)の CLI からのクライアント 詳細はここにあります:
(Cisco Controller-Standby) >show client detail 34:02:86:96:2f:b7 Client MAC Address............................... 34:02:86:96:2f:b7 Client Username ................................. Administrator AP MAC Address................................... 00:d7:8f:52:db:a0 AP Name.......................................... Alpha2802_3rdfloor AP radio slot Id................................. 0 Client State..................................... Associated Wireless LAN Id.................................. 5 Wireless LAN Network Name (SSID)................. EAP Wireless LAN Profile Name........................ EAP Hotspot (802.11u)................................ Not Supported BSSID............................................ 00:d7:8f:52:db:a4 Connected For ................................... 48 secs Channel.......................................... 1 IP Address....................................... 10.106.32.239 Gateway Address.................................. 10.106.32.1 Netmask.......................................... 255.255.255.0 Policy Manager State............................. RUN Policy Type...................................... WPA2 Authentication Key Management.................... 802.1x Encryption Cipher................................ CCMP-128 (AES) Protected Management Frame ...................... No Management Frame Protection...................... No EAP Type......................................... EAP-TLS
ステップ 4 ISE、イメージに示すようにコンテキスト Visbility > エンドポイント > 属性へのナビゲート。
トラブルシューティング
現在のところ、この設定に関する特定のトラブルシューティング情報はありません。
フィードバック