이 문서에서는 Windows 버전 3.2용 Cisco ACS(Secure Access Control System)를 사용하여 EAP-TLS(Extensible Authentication Protocol-Transport Layer Security)를 구성하는 방법에 대해 설명합니다.
참고: 컴퓨터 인증은 Novell CA(Certificate Authority)에서 지원되지 않습니다.ACS는 EAP-TLS를 사용하여 Microsoft Windows Active Directory에 대한 머신 인증을 지원할 수 있습니다.최종 사용자 클라이언트는 사용자 인증을 위한 프로토콜을 머신 인증에 사용되는 동일한 프로토콜로 제한할 수 있습니다.즉, 머신 인증에 EAP-TLS를 사용하려면 사용자 인증에 EAP-TLS를 사용해야 할 수 있습니다.시스템 인증에 대한 자세한 내용은 Cisco Secure Access Control Server 4.1용 사용 설명서의 시스템 인증 섹션을 참조하십시오.
참고: EAP-TLS를 통해 시스템을 인증하도록 ACS를 설정하고 ACS가 시스템 인증을 위해 설정된 경우, 클라이언트는 머신 인증만 하도록 구성해야 합니다.자세한 내용은 Windows Vista, Windows Server 2008 및 Windows XP 서비스 팩 3에서 802.1X 기반 네트워크에 대한 컴퓨터 전용 인증을 활성화하는 방법을 참조하십시오.
이 문서에 대한 특정 요건이 없습니다.
이 문서의 정보는 아래 소프트웨어 및 하드웨어 버전을 기반으로 합니다.
Cisco Secure ACS for Windows 버전 3.2
Microsoft 인증서 서비스(엔터프라이즈 루트 CA(Certificate Authority)로 설치됨)
참고: 자세한 내용은 인증 기관 설정 단계별 가이드를 참조하십시오.
Windows 2000 Server 서비스 팩 3 및 핫픽스 323172를 사용하는 DNS 서비스
참고: CA 서버 문제가 발생하면 핫픽스 323172를 설치합니다.Windows 2000 SP3 클라이언트에는 IEEE 802.1x 인증을 활성화하려면 핫픽스 313664 가 필요합니다.
Cisco Aironet 1200 Series Wireless Access Point 12.01T
Windows XP Professional 서비스 팩 1을 실행하는 IBM ThinkPad T30
이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다.이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다.라이브 네트워크에서 작업하는 경우, 사용하기 전에 모든 명령의 잠재적인 영향을 이해해야 합니다.
EAP-TLS 및 PEAP(Protected Extensible Authentication Protocol) 모두 TLS/SSL(Secure Socket Layer) 터널을 구축하고 사용합니다.EAP-TLS는 ACS(인증, 권한 부여 및 계정 관리[AAA]) 서버 및 클라이언트가 인증서를 가지고 있고 서로 ID를 증명하는 상호 인증을 사용합니다.그러나 PEAP는 서버측 인증만 사용합니다.서버만 인증서를 가지고 있으며 클라이언트의 ID를 확인합니다.
문서 표기 규칙에 대한 자세한 내용은 Cisco 기술 팁 표기 규칙을 참조하십시오.
이 문서에서는 아래 다이어그램에 표시된 네트워크 설정을 사용합니다.
ACS 3.2를 구성하려면 다음 단계를 수행합니다.
인증서를 얻으려면 다음 단계를 수행합니다.
ACS 서버에서 웹 브라우저를 열고 http://CA-ip-address/certsrv를 입력하여 CA 서버에 액세스합니다.
도메인에 관리자로 로그인합니다.
Request a certificate(인증서 요청)를 선택한 다음 Next(다음)를 클릭합니다.
고급 요청을 선택한 다음 다음을 클릭합니다.
Submit a certificate request to this CA using a form(양식을 사용하여 이 CA에 인증서 요청 제출)을 선택한 다음 Next(다음)를 클릭합니다.
인증서 옵션을 구성합니다.
인증서 템플릿으로 웹 서버를 선택하고 ACS 서버의 이름을 입력합니다.
Key Size(키 크기) 필드에 1024를 입력하고 Mark keys as exportable(키를 내보낼 수 있는 것으로 표시) 및 Use local machine store(로컬 머신 저장소 사용) 확인란을 선택합니다.
필요에 따라 다른 옵션을 구성한 다음 Submit(제출)을 클릭합니다.
참고: Potential Scripting Violation(잠재적인 스크립팅 위반) 대화 상자가 나타나면 Yes(예)를 클릭하여 계속합니다.
이 인증서 설치를 클릭합니다.
참고: Potential Scripting Violation(잠재적인 스크립팅 위반) 대화 상자가 나타나면 Yes(예)를 클릭하여 계속합니다.
설치가 성공하면 Certificate Installed(설치된 인증서) 메시지가 나타납니다.
ACS가 저장소에서 인증서를 사용하도록 구성하려면 다음 단계를 완료합니다.
웹 브라우저를 열고 http://ACS-ip-address:2002/를 입력하여 ACS 서버에 액세스합니다.
System Configuration(시스템 컨피그레이션)을 클릭한 다음 ACS Certificate Setup(ACS 인증서 설정)을 클릭합니다.
Install ACS Certificate(ACS 인증서 설치)를 클릭합니다.
Use certificate from storage 라디오 버튼을 클릭합니다.
Certificate CN(인증서 CN) 필드에 이 문서의 ACS 서버에서 인증서 가져오기 섹션의 5a 단계에서 할당한 인증서의 이름을 입력합니다.
Submit(제출)을 클릭합니다.
컨피그레이션이 완료되면 ACS 서버의 컨피그레이션이 변경되었음을 나타내는 확인 메시지가 나타납니다.
참고: 지금은 ACS를 다시 시작할 필요가 없습니다.
ACS는 자체 인증서를 발급한 CA를 자동으로 신뢰합니다.추가 CA에서 클라이언트 인증서를 발급한 경우 다음 단계를 완료해야 합니다.
System Configuration(시스템 컨피그레이션)을 클릭한 다음 ACS Certificate Setup(ACS 인증서 설정)을 클릭합니다.
ACS Certificate Authority Setup(ACS 인증 기관 설정)을 클릭하여 CA를 신뢰할 수 있는 인증서 목록에 추가합니다.
CA 인증서 파일의 필드에 인증서의 위치를 입력한 다음 Submit(제출)을 클릭합니다.
Edit Certificate Trust List를 클릭합니다.
ACS에서 신뢰해야 하는 모든 CA를 선택하고 ACS에서 신뢰하지 않아야 하는 모든 CA의 선택을 취소합니다.
Submit(제출)을 클릭합니다.
서비스를 다시 시작하고 EAP-TLS 설정을 구성하려면 다음 단계를 완료합니다.
System Configuration(시스템 컨피그레이션)을 클릭한 다음 Service Control(서비스 제어)을 클릭합니다.
서비스를 다시 시작하려면 Restart를 클릭합니다.
EAP-TLS 설정을 구성하려면 System Configuration(시스템 컨피그레이션)을 클릭한 다음 Global Authentication Setup(전역 인증 설정)을 클릭합니다.
Allow EAP-TLS(EAP-TLS 허용)를 선택한 다음 하나 이상의 인증서 비교를 확인합니다.
Submit(제출)을 클릭합니다.
액세스 포인트(AP)를 AAA 클라이언트로 구성하려면 다음 단계를 완료합니다.
Network Configuration을 클릭합니다.
AAA Clients(AAA 클라이언트)에서 Add Entry(항목 추가)를 클릭합니다.
AAA Client Hostname 필드에 액세스 포인트 호스트 이름을 입력하고 AAA Client IP Address 필드에 IP 주소를 입력합니다.
ACS의 공유 비밀 키 및 액세스 포인트를 Key 필드에 입력합니다.
인증 방법으로 RADIUS(Cisco Aironet)를 선택하고 Submit(제출)을 클릭합니다.
외부 사용자 데이터베이스를 구성하려면 다음 단계를 완료합니다.
외부 사용자 데이터베이스를 클릭한 다음 데이터베이스 구성을 클릭합니다.
Windows 데이터베이스를 클릭합니다.
참고: 이미 정의된 Windows 데이터베이스가 없으면 새 구성 만들기를 클릭한 다음 제출을 클릭합니다.
구성을 클릭합니다.
Configure Domain List(도메인 목록 구성)에서 SEC-SYD 도메인을 Available Domains(사용 가능한 도메인)에서 Domain List(도메인 목록)로 이동합니다.
Windows EAP Settings(Windows EAP 설정) 영역에서 Permit EAP-TLS machine authentication(EAP-TLS 머신 인증 허용) 확인란을 클릭하여 머신 인증을 활성화합니다.
참고: 머신 인증 이름 접두사를 변경하지 마십시오.Microsoft는 현재 "/host"(기본값)를 사용하여 사용자 인증과 시스템 인증을 구분합니다.
선택적으로, 도메인 스트리핑을 활성화하려면 EAP-TLS Strip Domain Name 확인란을 선택할 수 있습니다.
Submit(제출)을 클릭합니다.
External User Databases(외부 사용자 데이터베이스)를 클릭한 다음 Unknown User Policy(알 수 없는 사용자 정책)를 클릭합니다.
다음 외부 사용자 데이터베이스 확인 라디오 버튼을 클릭합니다.
외부 데이터베이스 목록에서 선택한 데이터베이스 목록으로 Windows 데이터베이스를 이동합니다.
Submit(제출)을 클릭합니다.
ACS 구성을 완료했으면 서비스를 다시 시작하려면 다음 단계를 완료하십시오.
System Configuration(시스템 컨피그레이션)을 클릭한 다음 Service Control(서비스 제어)을 클릭합니다.
Restart를 클릭합니다.
자동 머신 인증서 등록을 위한 도메인을 구성하려면 다음 단계를 완료합니다.
제어판 > 관리 도구 > Open Active Directory Users and Computers(Active Directory 사용자 및 컴퓨터 열기)로 이동합니다.
도메인 sec-syd를 마우스 오른쪽 버튼으로 클릭하고 Properties(속성)를 선택합니다.
Group Policy 탭을 클릭합니다.
Default Domain Policy(기본 도메인 정책)를 클릭한 다음 Edit(수정)를 클릭합니다.
Computer Configuration(컴퓨터 구성) > Windows Settings(Windows 설정) > Security Settings(보안 설정) > Public Key Policies(공개 키 정책) > Automatic Certificate Request Settings(자동 인증서 요청 설정)로 이동합니다.
메뉴 모음에서 Action(작업) > New(새로 만들기) > Automatic Certificate Request(자동 인증서 요청)로 이동하고 Next(다음)를 클릭합니다.
컴퓨터를 선택하고 다음을 클릭합니다.
이 예에서는 인증 기관, "Our TAC CA"를 확인합니다.
Next(다음)를 클릭한 다음 Finish(마침)를 클릭합니다.
ACS를 인증 서버로 사용하도록 AP를 구성하려면 다음 단계를 완료합니다.
웹 브라우저를 열고 http://AP-ip-address/certsrv를 입력하여 AP에 액세스합니다.
도구 모음에서 설정을 클릭합니다.
Services(서비스)에서 Security(보안)를 클릭한 다음 Authentication Server(인증 서버)를 클릭합니다.
참고: AP에서 계정을 구성한 경우 로그인해야 합니다.
인증자 구성 설정을 입력합니다.
802.1x 프로토콜 버전(EAP 인증용)에 대해 802.1x-2001을 선택합니다.
Server Name/IP(서버 이름/IP) 필드에 ACS 서버의 IP 주소를 입력합니다.
Server Type(서버 유형)으로 RADIUS를 선택합니다.
Port(포트) 필드에 1645 또는 1812를 입력합니다.
Specify and Configure the Access Point as an AAA Client(액세스 포인트 지정 및 구성에서 지정한 공유 비밀 키를 입력합니다.
서버의 사용 방법을 지정하려면 EAP 인증 옵션을 선택합니다.
완료되면 확인을 클릭합니다.
WEP(Radio Data Encryption)를 클릭합니다.
내부 데이터 암호화 설정을 입력합니다.
데이터 암호화 수준을 설정하려면 Use of Data Encryption by Stations 드롭다운 목록에서 Full Encryption을 선택합니다.
Accept Authentication Type(인증 유형 수락)의 경우 Open(열기) 확인란을 선택하여 인증 유형을 설정하고 LEAP를 활성화하려면 Network-EAP를 선택합니다.
Require EAP(EAP 필요)의 경우 Open(열기) 확인란을 선택하여 EAP를 요청합니다.
Encryption Key(암호화 키) 필드에 암호화 키를 입력하고 Key Size(키 크기) 드롭다운 목록에서 128비트를 선택합니다.
완료되면 확인을 클릭합니다.
Network(네트워크) > Service Sets(서비스 세트) > Select the SSID Idx(SSID ID)로 이동하여 올바른 SSID(Service Set Identifier)가 사용되는지 확인합니다.
확인을 클릭합니다.
ACS 3.2를 구성하려면 다음 단계를 완료하십시오.
무선 클라이언트를 도메인에 추가하려면 다음 단계를 완료합니다.
참고: 이 단계를 완료하려면 무선 클라이언트가 유선 연결을 통해 또는 802.1x 보안이 비활성화된 무선 연결을 통해 CA에 연결되어야 합니다.
Windows XP에 로컬 관리자로 로그인합니다.
제어판 > 성능 및 유지 관리 > 시스템으로 이동합니다.
컴퓨터 이름 탭을 클릭한 다음 변경을 클릭합니다.
컴퓨터 이름 필드에 호스트 이름을 입력합니다.
Domain(도메인)을 선택한 다음 도메인 이름을 입력합니다(이 예에서는 SEC-SYD).
확인을 클릭합니다.
로그인 대화 상자가 나타나면 도메인에 가입할 수 있는 권한이 있는 계정으로 로그인합니다.
컴퓨터가 도메인에 가입하면 컴퓨터를 다시 시작합니다.
컴퓨터가 도메인의 구성원이 됩니다.머신 자동 등록이 구성되었으므로 시스템에 CA용 인증서와 머신 인증을 위한 인증서가 설치되어 있습니다.
사용자의 인증서를 얻으려면 다음 단계를 완료하십시오.
인증서가 필요한 계정으로 무선 클라이언트(랩톱)의 도메인(SEC-SYD)과 Windows XP에 로그인합니다.
웹 브라우저를 열고 http://CA-ip-address/certsrv를 입력하여 CA 서버에 액세스합니다.
동일한 계정으로 CA 서버에 로그인합니다.
참고: 인증서는 현재 사용자의 프로필 아래 무선 클라이언트에 저장됩니다.따라서 동일한 계정을 사용하여 Windows 및 CA에 로그인해야 합니다.
인증서 요청 라디오 버튼을 클릭한 다음 다음을 클릭합니다.
Advanced request(고급 요청) 라디오 버튼을 클릭한 다음 Next(다음)를 클릭합니다.
양식 라디오 버튼을 사용하여 이 CA에 인증서 요청 제출을 클릭하고 다음을 클릭합니다.
Certificate Template(인증서 템플릿)에서 User(사용자)를 선택하고 Key Size(키 크기) 필드에 1024를 입력합니다.
필요에 따라 다른 옵션을 구성하고 Submit(제출)을 클릭합니다.
참고: Potential Scripting Violation(잠재적인 스크립팅 위반) 대화 상자가 나타나면 Yes(예)를 클릭하여 계속합니다.
이 인증서 설치를 클릭합니다.
참고: Potential Scripting Violation(잠재적인 스크립팅 위반) 대화 상자가 나타나면 Yes(예)를 클릭하여 계속합니다.
참고: CA의 자체 인증서가 무선 클라이언트에 이미 저장되지 않은 경우 루트 인증서 저장소가 나타날 수 있습니다.인증서를 로컬 스토리지에 저장하려면 Yes를 클릭합니다.
설치에 성공하면 확인 메시지가 나타납니다.
무선 네트워킹 옵션을 설정하려면 다음 단계를 완료하십시오.
도메인에 도메인 사용자로 로그인합니다.
Control Panel(제어판) > Network and Internet Connections(네트워크 및 인터넷 연결) > Network Connections(네트워크 연결)로 이동합니다.
무선 연결을 마우스 오른쪽 단추로 클릭하고 속성을 선택합니다.
무선 네트워크 탭을 클릭합니다.
사용 가능한 네트워크 목록에서 무선 네트워크를 선택한 다음 구성을 클릭합니다.
Authentication(인증) 탭에서 Enable IEEE 802.1x authentication for this network(이 네트워크에 대한 IEEE 802.1x 인증 활성화) 확인란을 선택합니다.
EAP 유형 드롭다운 목록에서 스마트 카드 또는 다른 인증서를 선택하고 속성을 클릭합니다.
참고: 머신 인증을 활성화하려면 컴퓨터 정보를 사용할 수 있을 때 컴퓨터로 인증 확인란을 선택합니다.
Use a certificate on this computer 라디오 버튼을 클릭한 다음 Use simple certificate selection 확인란을 선택합니다.
Validate server certificate(서버 인증서 검증) 확인란을 선택하고 OK(확인)를 클릭합니다.
참고: 클라이언트가 도메인에 가입하면 CA의 인증서가 신뢰할 수 있는 루트 인증 기관으로 자동으로 설치됩니다.클라이언트는 자동으로 클라이언트의 인증서에 서명한 CA를 신뢰합니다.추가 CA는 Trusted Root Certification Authorities(신뢰할 수 있는 루트 인증 기관) 목록에서 확인하여 신뢰할 수 있습니다.
네트워크 속성 창의 연결 탭에서 데이터 암호화(WEP 사용)를 선택하고 키가 자동으로 제공됨 확인란을 선택합니다.
OK(확인)를 클릭한 다음 OK(확인)를 다시 클릭하여 네트워크 컨피그레이션 창을 닫습니다.
이 섹션에서는 컨피그레이션이 제대로 작동하는지 확인하는 데 사용할 수 있는 정보를 제공합니다.
무선 클라이언트가 인증되었는지 확인하려면 다음 단계를 수행하십시오.
무선 클라이언트에서 제어판 > 네트워크 및 인터넷 연결 > 네트워크 연결로 이동합니다.
메뉴 모음에서 보기 > 바둑판식으로 이동합니다.
무선 연결에는 "Authentication succeeded" 메시지가 표시됩니다.
무선 클라이언트가 인증되었는지 확인하려면 ACS 웹 인터페이스에서 Reports and Activity(보고서 및 활동) > Passed Authentications(전달된 인증) > Passed Authentications(통과한 인증) active.csv로 이동합니다.
이 섹션에서는 컨피그레이션 문제를 해결하는 데 사용할 수 있는 정보를 제공합니다.
MS 인증서 서비스가 Windows 2000 Advanced Server 서비스 팩 3에 엔터프라이즈 루트 CA로 설치되었는지 확인합니다.
Windows 버전 3.2용 Cisco Secure ACS와 Windows 2000 및 서비스 팩 3을 사용하고 있는지 확인합니다.
무선 클라이언트에서 머신 인증이 실패하면 무선 연결에서 네트워크 연결이 없습니다.무선 클라이언트에 프로필을 캐시된 계정만 도메인에 로그인할 수 있습니다.802.1x 보안이 없는 무선 연결을 위해 유선 네트워크에 시스템을 연결하거나 설정해야 합니다.
CA가 도메인에 조인할 때 CA와의 자동 등록이 실패할 경우 가능한 이유로 이벤트 뷰어를 선택합니다.
무선 클라이언트의 사용자 프로필에 유효한 인증서가 없으면 암호가 올바르면 시스템 및 도메인에 계속 로그온할 수 있지만 무선 연결에는 연결이 되지 않습니다.
무선 클라이언트의 ACS 인증서가 유효하지 않은 경우(인증서의 유효 "시작" 및 "종료" 날짜, 클라이언트의 날짜 및 시간 설정, CA 신뢰에 따라 다름), 클라이언트는 인증서를 거부하며 인증이 실패합니다.ACS는 "EAP-TLS 또는 SSL 핸드셰이크 중에 PEAP 인증 실패"와 유사한 인증 실패 코드를 사용하여 Reports and Activity(보고서 및 활동) > Failed Attempts(실패 시도) > Failed Attempts XXX.csv(실패 시도 XXX.csv) 아래 웹 인터페이스에 실패한 인증을 기록합니다. CSAuth.log 파일의 예상 오류 메시지는 다음 메시지와 유사합니다.
AUTH 06/04/2003 14:56:41 E 0345 1644 EAP: buildEAPRequestMsg: other side probably didn't accept our certificate
ACS에 있는 클라이언트의 인증서가 유효하지 않은 경우(인증서의 유효한 "시작" 및 "종료" 날짜, 서버의 날짜 및 시간 설정, CA 신뢰에 따라 다름) 서버는 인증서를 거부하며 인증이 실패합니다.ACS는 "EAP-TLS 또는 SSL 핸드셰이크 중에 PEAP 인증 실패"와 유사한 인증 실패 코드를 사용하여 Reports and Activity(보고서 및 활동) > Failed Attempts(실패 시도) > Failed Attempts XXX.csv(실패 시도 XXX.csv) 아래 웹 인터페이스에 실패한 인증을 기록합니다. ACS가 CA를 신뢰하지 않기 때문에 ACS가 클라이언트의 인증서를 거부하는 경우 CSAuth.log 파일에 예상되는 오류 메시지는 다음 메시지와 유사합니다.
AUTH 06/04/2003 15:47:43 E 0345 1696 EAP: ProcessResponse: SSL handshake failed, status = 3 (SSL alert fatal:unknown CA certificate)
인증서가 만료되어 ACS가 클라이언트의 인증서를 거부하는 경우 CSAuth.log 파일에 예상 오류 메시지는 다음 메시지와 유사합니다.
AUTH 06/04/2005 15:02:08 E 0345 1692 EAP: ProcessResponse: SSL handshake failed, status = 3 (SSL alert fatal:certificate expired)
ACS 웹 인터페이스의 로그에서 Reports and Activity(보고서 및 활동) > Passed Authentications(통과 인증) > Passed Authentications(통과 인증) XXX.csv and Reports(XXX.csv 및 활동) > Failed Attempts(실패 시도) > Failed Attempts XXX.csv(EAP-TLS 인증)는 <user-id>@<domain> 형식으로 표시됩니다.PEAP 인증은 <DOMAIN>\<user-id> 형식으로 표시됩니다.
아래 단계에 따라 ACS 서버의 인증서 및 트러스트를 확인할 수 있습니다.
관리자 권한이 있는 계정으로 ACS 서버의 Windows에 로그인합니다.
시작 > 실행으로 이동하여 mmc를 입력하고 확인을 클릭하여 Microsoft Management Console을 엽니다.
메뉴 모음에서 Console > 스냅인 추가/제거로 이동한 다음 추가를 클릭합니다.
Certificates(인증서)를 선택하고 Add(추가)를 클릭합니다.
컴퓨터 계정을 선택하고 다음을 클릭한 다음 로컬 컴퓨터(이 콘솔이 실행 중인 컴퓨터)를 선택합니다.
마침을 클릭하고 닫기를 클릭한 다음 확인 을 클릭합니다.
ACS 서버에 유효한 서버측 인증서가 있는지 확인하려면 Console Root(콘솔 루트) > Certificates(로컬 컴퓨터) > Personal(개인) > Certificates(인증서)로 이동하여 ACS 서버에 대한 인증서가 있는지 확인합니다(이 예에서는 OurACS).
인증서를 열고 다음 항목을 확인합니다.
인증서가 모든 목적에서 검증되지 않은 것에 대한 경고가 없습니다.
인증서를 신뢰할 수 없다는 경고가 없습니다.
"이 인증서는 원격 컴퓨터의 ID를 확인하기 위한 것입니다."
인증서가 만료되지 않았으며 유효 상태가 되었습니다(유효한 "시작" 및 "종료" 날짜 확인).
"이 인증서에 해당하는 개인 키가 있습니다."
Details(세부사항) 탭에서 Version(버전) 필드에 V3 값이 있고 Enhanced Key Usage(고급 키 사용) 필드에 Server Authentication(서버 인증)(1.3.6.1.5.5.7.3.1)이 있는지 확인합니다.
ACS 서버가 CA 서버를 신뢰하는지 확인하려면 Console Root(콘솔 루트) > Certificates(로컬 컴퓨터) > Trusted Root Certification Authorities(신뢰할 수 있는 루트 인증 기관) > Certificates(인증서)로 이동하여 CA 서버에 대한 인증서가 있는지 확인합니다(이 예에서는 Cisco TAC CA).
인증서를 열고 다음 항목을 확인합니다.
인증서가 모든 목적에서 검증되지 않은 것에 대한 경고가 없습니다.
인증서를 신뢰할 수 없다는 경고가 없습니다.
인증서의 용도가 정확합니다.
인증서가 만료되지 않았으며 유효 상태가 되었습니다(유효한 "시작" 및 "종료" 날짜 확인).
ACS와 클라이언트가 동일한 루트 CA를 사용하지 않은 경우 CA 서버의 인증서 체인 전체가 설치되었는지 확인합니다.인증서가 하위 인증 기관에서 가져온 경우에도 마찬가지입니다.
아래 단계에 따라 무선 클라이언트의 시스템 인증서 및 트러스트를 확인할 수 있습니다.
관리자 권한이 있는 계정으로 ACS 서버의 Windows에 로그인합니다.시작 > 실행으로 이동하여 mmc를 입력하고 확인을 클릭하여 Microsoft Management Console을 엽니다.
메뉴 모음에서 콘솔 > 스냅인 추가/제거로 이동한 다음 추가를 클릭합니다.
Certificates(인증서)를 선택하고 Add(추가)를 클릭합니다.
컴퓨터 계정을 선택하고 다음을 클릭한 다음 로컬 컴퓨터(이 콘솔이 실행 중인 컴퓨터)를 선택합니다.
마침을 클릭하고 닫기를 클릭한 다음 확인 을 클릭합니다.
시스템에 유효한 클라이언트 측 인증서가 있는지 확인합니다.인증서가 유효하지 않으면 머신 인증이 실패합니다.인증서를 확인하려면 Console Root(콘솔 루트) > Certificates (Local Computer(인증서(로컬 컴퓨터)) > Personal(개인) > Certificates(인증서)로 이동합니다.시스템에 대한 인증서가 있는지 확인합니다.이름은 <host-name>.<domain> 형식입니다.인증서를 열고 다음 항목을 확인합니다.
인증서가 모든 목적에서 검증되지 않은 것에 대한 경고가 없습니다.
인증서를 신뢰할 수 없다는 경고가 없습니다.
"이 인증서는 원격 컴퓨터에 대한 ID를 증명하기 위한 것입니다."
인증서가 만료되지 않았으며 유효 상태가 되었습니다(유효한 "시작" 및 "종료" 날짜 확인).
"이 인증서에 해당하는 개인 키가 있습니다."
Details(세부사항) 탭에서 Version(버전) 필드에 V3 값이 있고 Enhanced Key Usage(고급 키 사용) 필드에 Client Authentication(클라이언트 인증)(1.3.6.1.5.5.7.3.2) 값 이상이 포함되어 있는지 확인합니다.추가 용도가 나열될 수 있습니다.Subject(제목) 필드에 CN = <host-name>.<domain>; 값이 포함되어 있는지 확인합니다.추가 값이 나열될 수 있습니다.호스트 이름과 도메인이 인증서에 지정된 것과 일치하는지 확인합니다.
클라이언트의 프로파일이 CA 서버를 신뢰하는지 확인하려면 Console Root(콘솔 루트) > Certificates(현재 사용자) > Trusted Root Certification Authorities(신뢰할 수 있는 루트 인증 기관) > Certificates(인증서)로 이동합니다.CA 서버(이 예에서는 Our TAC CA)에 대한 인증서가 있는지 확인합니다. 인증서를 열고 다음 항목을 확인합니다.
인증서가 모든 목적에서 검증되지 않은 것에 대한 경고가 없습니다.
인증서를 신뢰할 수 없다는 경고가 없습니다.
인증서의 용도가 정확합니다.
인증서가 만료되지 않았으며 유효 상태가 되었습니다(유효한 "시작" 및 "종료" 날짜 확인).
ACS와 클라이언트가 동일한 루트 CA를 사용하지 않은 경우 CA 서버의 인증서 체인 전체가 설치되었는지 확인합니다.인증서가 하위 인증 기관에서 가져온 경우에도 마찬가지입니다.
Windows v3.2용 Cisco Secure ACS 구성에 설명된 대로 ACS 설정을 확인합니다.
MS 인증서 서비스 구성에 설명된 대로 CA 설정을 확인합니다.
Cisco 액세스 포인트 구성에 설명된 대로 AP 설정을 확인합니다.
무선 클라이언트 구성에 설명된 대로 무선 클라이언트 설정을 확인합니다.
사용자 계정이 AAA 서버의 내부 데이터베이스 또는 구성된 외부 데이터베이스 중 하나에 있는지 확인하고 계정이 비활성화되지 않았는지 확인합니다.
SHA-2(Secure Hash Algorithm 2)에 구축된 CA에서 발급한 인증서는 현재 SHA-2를 지원하지 않는 Java로 개발되었으므로 Cisco Secure ACS와 호환되지 않습니다.이 문제를 해결하려면 CA를 다시 설치하고 SHA-1로 인증서를 발급하도록 구성합니다.