WLCとISEを使用したEAP-TLSの理解と設定

はじめに

このドキュメントでは、802.1xセキュリティと拡張認証プロトコル(EAP) – トランスポート層セキュリティ(TLS)を使用してワイヤレスローカルエリアネットワーク(WLAN)をセットアップする方法について説明します。

  

前提条件

要件

次の項目に関する知識が推奨されます。

• 802.1x認証プロセス
• 証明書

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づくものです。

• WLC 5508バージョン8.3
• Identity Services Engine(ISE)バージョン2.1

本書の情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。このドキュメントで使用するすべてのデバイスは、初期（デフォルト）設定の状態から起動しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。

背景説明

EAP-TLSフロー

EAP-TLSフローの手順

1. ワイヤレスクライアントはアクセスポイント(AP)に関連付けられます。

2. APは、この時点でクライアントがデータを送信することを許可せず、認証要求を送信します。

3. サプリカントはEAP-Response Identityで応答します。次に、WLCはユーザID情報を認証サーバに通信します。

4. RADIUSサーバがEAP-TLS Start Packetでクライアントに応答します。この時点でEAP-TLSカンバセーションが開始されます。

5. ピアは、「client_hello」ハンドシェイクメッセージを含むEAP-Responseを認証サーバに返信します。このメッセージは、NULLに設定された暗号です。

6. 認証サーバは、次の内容を含むアクセスチャレンジパケットで応答します。

TLS server_hello
handshake message
certificate
server_key_exchange
certificate request
server_hello_done. 

7. クライアントは、次の内容を含むEAP-Responseメッセージで応答します。

Certificate ¬ Server can validate to verify that it is trusted.

client_key_exchange

certificate_verify ¬ Verifies the server is trusted

change_cipher_spec

TLS finished

8. クライアントが正常に認証されると、RADIUSサーバは「change_cipher_spec」およびハンドシェイク終了メッセージを含むAccess-challengeで応答します。これを受信すると、クライアントはRADIUSサーバを認証するためにハッシュを確認します。新しい暗号キーは、TLSハンドシェイク中にシークレットから動的に取得されます。

9. この時点で、EAP-TLS対応ワイヤレスクライアントはワイヤレスネットワークにアクセスできます。

設定

Cisco ワイヤレス LAN コントローラ

ステップ1：最初のステップは、Cisco WLCでRADIUSサーバを設定することです。RADIUSサーバを追加するには、[Security] > [RADIUS] > [Authentication]に移動します。図に示すように[New]をクリックします。

ステップ2：ここで、ISEでWLCを検証するために使用するIPアドレスと共有秘密<パスワード>を入力する必要があります。Applyをクリックして、図のように続行します。

手順3:RADIUS認証用のWLANの作成

これで、新しいWLANを作成し、WPAエンタープライズモードを使用するように設定して、認証にRADIUSを使用できます。

ステップ4:メインメニューからWLANsを選択し、Create Newを選択し、図に示すようにGoをクリックします。

ステップ5：新しいWLAN EAPに名前を付けます。Applyをクリックして、図のように続行します。

ステップ6:[General]をクリックし、[Status]が[Enabled]であることを確認します。図に示すように、デフォルトのセキュリティポリシーは802.1X認証とWPA2です。

ステップ7：ここで、[Security] > [AAA Servers] タブに移動し、設定したばかりのRADIUSサーバを選択します（図を参照）。

注：続行する前に、WLCからRADIUSサーバに到達できることを確認することをお勧めします。RADIUSはUDPポート1812（認証用）を使用するため、このトラフィックがネットワークのどこでもブロックされないようにする必要があります。

ISEとCisco WLC

EAP-TLSの設定

  

ポリシーを作成するには、ポリシーで使用する許可されたプロトコルリストを作成する必要があります。dot1xポリシーが書き込まれているため、ポリシーの設定方法に基づいて許可されるEAPタイプを指定します。

デフォルトを使用する場合は、ほとんどのEAPタイプを認証に使用できます。特定のEAPタイプへのアクセスをロックダウンする必要がある場合は、このタイプは推奨されません。

ステップ1:[Policy] > [Policy Elements] > [Results] > [Authentication] > [Allowed Protocols]に移動し、図に示すように[Add]をクリックします。

  

ステップ2：この[Allowed Protocol]リストで、リストの名前を入力できます。この場合、図に示すように、[Allow EAP-TLS] ボックスにチェックマークが付き、他のボックスにチェックマークが付いていません。 

ISEでのWLCの設定

ステップ1:ISEコンソールを開き、図に示すように、[Administration] > [Network Resources] > [Network Devices] > [Add]に移動します。

ステップ2：図に示すように値を入力します。

  

ISEでの新規ユーザの作成

ステップ1:図に示すように、[Administration] > [Identity Management] > [Identities] > [Users] > [Add]に移動します。

ステップ2：図に示すように情報を入力します。

ISEでの信頼証明書

ステップ1:[Administration] > [System] > [Certificates] > [Certificate Management] > [Trusted certificates]に移動します。

証明書をISEにインポートするには、[Import]をクリックします。WLCを追加してISEでユーザを作成したら、ISEで証明書を信頼するEAP-TLSの最も重要な部分を実行する必要があります。そのためにCSRを作成する必要があります

ステップ2：図に示すように、[Administration] > [Certificates] > [Certificate Signing Requests] > [Generate Certificate Signing Requests (CSR)]に移動します。

ステップ3:CSRを生成するには、[Usage]に移動し、[Certificate(s) will be used for ]ドロップダウンオプションから[EAP Authentication]を選択します（図を参照）。

ステップ4:ISEで生成されたCSRを表示できます。図に示すようにViewをクリックします。

ステップ5:CSRが生成されたら、CAサーバを参照し、図に示すように[Request a certificate]をクリックします。

ステップ6：証明書を要求すると、[User Certificate] と[advanced certificate request]のオプションが表示され、図に示すように[advanced certificate request]をクリックします。

ステップ7:Base-64エンコードされた証明書要求で生成されたCSRを貼り付けます。証明書テンプレートから：ドロップダウンオプションを選択し、[Web Server]を選択し、図に示すように[Submit]をクリックします。

ステップ8:[Submit]をクリックすると、証明書のタイプを選択するオプションが表示され、[Base-64 encoded]を選択し、[Download certificate chain]をクリックします。

ステップ9:ISEサーバの証明書ダウンロードが完了します。証明書を抽出できます。証明書には2つの証明書（1つのルート証明書と他の中間証明書）が含まれます。ルート証明書は、図に示すように、[Administration] > [Certificates] > [Trusted certificates] > [Import]でインポートできます。

ステップ10:[Submit]をクリックすると、証明書が信頼できる証明書リストに追加されます。また、図に示すように、CSRでバインドするために中間証明書が必要です。

ステップ11:[Bind certificate] をクリックすると、デスクトップに保存されている証明書ファイルを選択するオプションが表示されます。中間証明書を参照し、図に示すように[Submit]をクリックします。

ステップ12：証明書を表示するには、図に示すように、[Administration] > [Certificates] > [System Certificates]に移動します。

EAP-TLSのクライアント

クライアントマシン（Windowsデスクトップ）でのユーザ証明書のダウンロード

ステップ1:EAP-TLSを使用してワイヤレスユーザを認証するには、クライアント証明書を生成する必要があります。Windowsコンピュータをネットワークに接続して、サーバにアクセスできるようにします。Webブラウザを開き、次のアドレスを入力します。https://sever ip addr/certsrv:

ステップ2:CAは、ISE用に証明書をダウンロードしたCAと同じである必要があります。

そのためには、サーバの証明書のダウンロードに使用したのと同じCAサーバを参照する必要があります。同じCAで、前の手順でRequest a certificateをクリックしましたが、この場合は、図に示すように、証明書テンプレートとしてUserを選択する必要があります。

ステップ3：次に、サーバに対して以前行った証明書チェーンのダウンロードをクリックします。

証明書を取得したら、次の手順に従ってWindowsラップトップで証明書をインポートします。

ステップ4：証明書をインポートするには、Microsoft管理コンソール(MMC)から証明書にアクセスする必要があります。

1. MMCを開くには、[Start] > [Run] > [MMC]に移動します。
2. [ファイル] > [スナップインの追加と削除]に移動します。
3. Certificatesをダブルクリックします。
4. [Computer Account]を選択します。
5. Local Computerを選択> Finish
6. OKをクリックしてSnap-Inウィンドウを終了します。
7. [Certificates] > [Personal] > [Certificates]の横にある[+]をクリックします。
8. [Certificates]を右クリックし、[All Tasks] > [Import]を選択します。
9. [Next] をクリックします。
10. [Browse] をクリックします。
11. インポートする.cer、.crt、または.pfxを選択します。 
12. [Open] をクリックします。
13. [Next] をクリックします。
14. Automatically select the certificate store based on the type of certificateを選択します。
15. Finish & OKをクリックします。

証明書のインポートが完了したら、EAP-TLS用にワイヤレスクライアント（この例ではWindowsデスクトップ）を設定する必要があります。

EAP-TLSのワイヤレスプロファイル

ステップ1：代わりにEAP-TLSを使用するために、Protected Extensible Authentication Protocol(PEAP)用に作成したワイヤレスプロファイルを変更します。EAP wireless profileをクリックします。

  

ステップ2:[Microsoft:スマートカードまたはその他の証明書をクリックし、図に示すように[OK]をクリックします。

ステップ3:[settings]をクリックし、図に示すようにCAサーバから発行されたルート証明書を選択します。

ステップ4:[Advanced Settings]をクリックし、図に示すように802.1x設定タブから[User or computer authentication]を選択します。

ステップ5：次に、ワイヤレスネットワークへの接続を再試行し、正しいプロファイル（この例ではEAP）を選択して、Connectを選択します。図に示すように、ワイヤレスネットワークに接続しています。

確認

このセクションでは、設定が正常に機能していることを確認します。

ステップ1：クライアントポリシーマネージャの状態がRUNと表示されます。これは、クライアントが認証を完了し、IPアドレスを取得し、図に示すトラフィックを渡す準備が整っていることを意味します。

ステップ2：図に示すように、クライアントの詳細ページでWLCの正しいEAP方式を確認します。

ステップ3：コントローラのCLIからのクライアントの詳細を次に示します（出力を省略）。

(Cisco Controller-Standby) >show client detail 34:02:86:96:2f:b7
Client MAC Address............................... 34:02:86:96:2f:b7
Client Username ................................. Administrator
AP MAC Address................................... 00:d7:8f:52:db:a0
AP Name.......................................... Alpha2802_3rdfloor 
AP radio slot Id................................. 0 
Client State..................................... Associated 
Wireless LAN Id.................................. 5 
Wireless LAN Network Name (SSID)................. EAP
Wireless LAN Profile Name........................ EAP
Hotspot (802.11u)................................ Not Supported
BSSID............................................ 00:d7:8f:52:db:a4 
Connected For ................................... 48 secs
Channel.......................................... 1 
IP Address....................................... 10.106.32.239
Gateway Address.................................. 10.106.32.1
Netmask.......................................... 255.255.255.0
Policy Manager State............................. RUN
Policy Type...................................... WPA2
Authentication Key Management.................... 802.1x
Encryption Cipher................................ CCMP-128 (AES)
Protected Management Frame ...................... No
Management Frame Protection...................... No
EAP Type......................................... EAP-TLS

ステップ4:ISEで、図に示すように、[Context Visibility] > [End Points] > [Attributes]に移動します。

トラブルシューティング

現在のところ、この設定に関する特定のトラブルシューティング情報はありません。