Secure ACS voor Windows v3.2 met EAP-TLS-machinverificatie

Downloadopties

  • PDF     (190.4 KB)
    Met Adobe Reader op diverse apparaten bekijken
  • ePub     (599.8 KB)
    Bekijken in diverse apps op iPhone, iPad, Android, Sony Reader of Windows Phone
  • Mobi (Kindle)     (1.8 MB)
    Op Kindle-apparaat of via Kindle-app op meerdere apparaten bekijken
Bijgewerkt:28 april 2009
Document-id:43722

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

Inleiding

Dit document beschrijft hoe u de EXTRA COMPUTER-beveiliging (EAP-TLS) voor verificatie kunt configureren met Cisco Secure Access Control System (ACS) voor Windows versie 3.2.

Opmerking: Machineechtheidscontrole wordt niet ondersteund door de autoriteit voor het Novell-certificaat (CA). ACS kan EAP-TLS gebruiken om machine-verificatie te ondersteunen in Microsoft Windows Active Directory. De eindgebruiker client kan het protocol voor gebruikersverificatie beperken tot hetzelfde protocol dat wordt gebruikt voor de verificatie van machines. Voor het gebruik van EAP-TLS voor de authenticatie van de machine zou het gebruik van EAP-TLS's voor gebruikersauthenticatie nodig kunnen zijn. Raadpleeg het gedeelte Machineverificatie van de Gebruikershandleiding voor Cisco Secure Access Control Server 4.1 voor meer informatie over machineverantwoording.

Opmerking: Bij het opzetten van ACS om machines via EAP-TLS te authenticeren en het ACS is ingesteld voor Machineverificatie, moet de klant zodanig zijn ingericht dat hij alleen machineverantwoording doet. Raadpleeg voor meer informatie Hoe u alleen-computerverificatie kunt inschakelen voor een op 802.1X gebaseerd netwerk in Windows Vista, in Windows Server 2008 en in Windows XP Service Pack 3.

Voorwaarden

Vereisten

Er zijn geen specifieke voorwaarden van toepassing op dit document.

Gebruikte componenten

De informatie in dit document is gebaseerd op de onderstaande software- en hardwareversies.

  • Cisco Secure ACS voor Windows versie 3.2

  • Microsoft certificaatservices (geïnstalleerd als autoriteit voor Enterprise root [CA])

    Opmerking: Raadpleeg voor meer informatie de stapsgewijze gids voor het instellen van een certificeringsinstantie leaving leavingcisco.com.

  • DNS-service met Windows 2000-server met servicepack 3 en hotfix 323172 leavingcisco.com

    Opmerking: Als u CA Server-problemen ondervindt, installeert u hotfix 323172 leaving leavingcisco.com. De Windows 2000 SP3-client vereist hotfix 313664 leaving leavingcisco.com om IEEE 802.1x-verificatie in te schakelen.

  • Cisco Aironet 1200 Series draadloos access point 12.01T

  • IBM ThinkPad T30 met Windows XP Professional met Service Pack 1

De informatie in dit document is gebaseerd op apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als u in een levend netwerk werkt, zorg er dan voor dat u de potentiële impact van om het even welke opdracht begrijpt alvorens het te gebruiken.

Achtergrondinformatie

Zowel EAP-TLS als Protected Extensible Authentication Protocol (PEAP) bouwen en gebruiken een TLS/Secure Socket Layer (SSL)-tunnel. EAP-TLS maakt gebruik van wederzijdse authenticatie waarbij zowel de ACS-server (authenticatie, autorisatie en accounting [AAA]) als de klanten over certificaten beschikken en hun identiteit aan elkaar bewijzen. PEAP gebruikt echter alleen authenticatie aan serverzijde; alleen de server heeft een certificaat en bewijst zijn identiteit aan de cliënt .

Conventies

Zie de Cisco Technical Tips Convention voor meer informatie over documentconventies.

Netwerkdiagram

Dit document gebruikt de netwerkinstellingen die in het onderstaande schema zijn weergegeven.

acs-eap-01.gif

Cisco Secure ACS voor Windows v3.2 configureren

Volg de onderstaande stappen om ACS 3.2 te configureren.

  1. Verkrijg een certificaat voor de ACS server.

  2. ACS configureren om een opslagcertificaat te gebruiken.

  3. Specificeer aanvullende certificeringsinstanties die de ACS moeten vertrouwen.

  4. Start de service opnieuw en stel PEAP-instellingen in op de ACS.

  5. Specificeer en configureren het access point als een AAA-client.

  6. Het configureren van de externe gebruikersdatabases.

  7. Start de service opnieuw.

Een certificaat voor de ACS-server verkrijgen

Volg deze stappen om een certificaat te verkrijgen.

  1. Open op de ACS-server een webbrowser en voer http:// CA-ip-adres/certsrv in om toegang te krijgen tot de CA-server.

  2. Meld u aan bij het domein als beheerder.

    acs-eap-02.gif

  3. Selecteer Een certificaat aanvragen en klik vervolgens op Volgende.

    acs-eap-03.gif

  4. Selecteer Geavanceerd verzoek en klik vervolgens op Volgende.

    acs-eap-04.gif

  5. Selecteer een certificaataanvraag bij deze CA indienen met behulp van een formulier en klik vervolgens op Volgende.

    acs-eap-05.gif

  6. Configuratie van de certificeringsopties:

    1. Selecteer Webserver als de certificaatsjabloon en voer de naam van de ACS-server in.

      acs-eap-06a.gif

    2. Typ 1024 in het veld Key Size en controleer de Mark-toetsen als exportbaar en gebruik de vinkjes van de lokale machinewinkel.

    3. Configureer de gewenste opties en klik vervolgens op Indienen.

      acs-eap-06b.gif

      N.B.: Als het dialoogvenster Potentiële Schending van de Schrift verschijnt, klikt u op Ja om door te gaan.

      acs-eap-07.gif

  7. Klik op Installeer dit certificaat.

    acs-eap-08.gif

    N.B.: Als het dialoogvenster Potentiële Schending van de Schrift verschijnt, klikt u op Ja om door te gaan.

    acs-eap-09.gif

  8. Als de installatie geslaagd is, verschijnt het geïnstalleerde bericht van het Certificaat.

    acs-eap-10.gif

ACS configureren voor gebruik van een opslagcertificaat

Voltooi deze stappen om ACS te configureren om het opgeslagen certificaat te gebruiken.

  1. Open een webbrowser en voer http:// ACS-ip-adres in:2002/om toegang te krijgen tot de ACS-server.

  2. Klik op System Configuration en vervolgens op ACS-certificaatinstelling.

  3. Klik op ACS-certificaat installeren.

  4. Klik vanuit het keuzerondje Storage op het certificaat.

  5. Voer in het veld certificaatGN de naam in van het certificaat dat u in stap 5a van het vak Certificaat verkrijgen van de ACS-server van dit document hebt toegewezen.

  6. Klik op Inzenden.

    acs-eap-11.gif

    Zodra de configuratie is voltooid, verschijnt er een bevestigingsbericht dat aangeeft dat de configuratie van de ACS-server is gewijzigd.

    Opmerking: U hoeft het ACS-systeem op dit moment niet opnieuw te starten.

    acs-eap-12.gif

Specificeer aanvullende certificeringsinstanties die de ACS moeten vertrouwen

ACS vertrouwt automatisch op de CA die haar eigen certificaat heeft afgegeven. Als de client-certificaten zijn afgegeven door extra CA's, moet u deze stappen voltooien:

  1. Klik op System Configuration en vervolgens op ACS-certificaatinstelling.

  2. Klik op ACS certificaatinstelling om CA’s aan de lijst van vertrouwde certificaten toe te voegen.

  3. Typ in het veld voor CA-certificaatbestand de locatie van het certificaat en klik vervolgens op Inzenden.

    acs-eap-13.gif

  4. Klik op certificaatlijst bewerken.

  5. Controleer alle CA’s die de ACS moeten vertrouwen en verwijder alle CA’s die de ACS niet moeten vertrouwen.

  6. Klik op Inzenden.

    acs-eap-14.gif

Start de service opnieuw en stel de EAP-TLS-instellingen in op de ACS

Voltooi deze stappen om de service te hervatten en stel de instellingen van EAP-TLS in:

  1. Klik op System Configuration en vervolgens op Service Control.

  2. Klik op Start opnieuw om de service te hervatten.

  3. Klik om de instellingen van EAP-TLS te configureren op System Configuration en klik vervolgens op Global Authentication Setup.

  4. Controleer MAP-TLS toestaan en controleer vervolgens een of meer van de certificaatvergelijkingen.

  5. Klik op Inzenden.

    acs-eap-15.gif

Het access point als een AAA-client specificeren en configureren

Voltooi deze stappen om het access point (AP) te configureren als een AAA-client:

  1. Klik op Netwerkconfiguratie.

  2. Klik onder AAA-clients op Toevoegen.

    acs-eap-16.gif

  3. Voer de naam van de host van het access point in het veld AAA Client Hostname en het IP-adres in het veld AAA Client IP-adres.

  4. Voer een gedeelde geheime sleutel in voor ACS en het access point in het veld Key.

  5. Kies RADIUS (Cisco Aironet) als de authenticatiemethode en klik op Inzenden.

    acs-eap-17.gif

De externe gebruikersdatabases configureren

Voltooi deze stappen om de externe gebruikersdatabases te configureren.

  1. Klik op Externe gebruiker-databases en klik vervolgens op Databaseconconfiguratie.

  2. Klik op Windows database.

    N.B.: Als er nog geen Windows-database is gedefinieerd, klikt u op Nieuwe configuratie maken en vervolgens klikt u op Indienen.

  3. Klik op Configureren.

  4. Verplaats onder Domain List configureren het domein SEC-SYD van Beschikbare domeinen naar Domain List.

    acs-eap-18.gif

  5. Klik in het gedeelte Windows EAP-instellingen op het aanvinkvakje MAP-TLS-machineverantwoording toestaan om machine-verificatie mogelijk te maken.

    Opmerking:  Wijzig het voorvoegsel van de naam van de machineverantwoording niet. Microsoft gebruikt momenteel "/host" (de standaardwaarde) om onderscheid te maken tussen gebruiker- en machine-verificatie.

  6. U kunt desgewenst het aanvinkvakje EAP-TLS Domain Name controleren om het domein te kunnen strippen.

  7. Klik op Inzenden.

    acs-eap-19.gif

  8. Klik op Externe gebruiker-databases en vervolgens op Onbekend gebruikersbeleid.

  9. Klik op de radioknop Controleer de volgende externe gebruikersdatabases.

  10. Verplaats Windows Database van de lijst Externe databases naar de lijst Geselecteerde databases.

  11. Klik op Inzenden.

    acs-eap-19a.gif

Start de service opnieuw

Voltooi na het configureren van de ACS deze stappen om de service opnieuw te starten:

  1. Klik op System Configuration en vervolgens op Service Control.

  2. Klik op Opnieuw beginnen.

De automatische inschrijving van de MS-certificaatmachine configureren

Volg deze stappen om het domein voor de automatische inschrijving van het machinecertificaat te configureren:

  1. Ga naar Configuratiescherm > Gereedschappen > Actieve Map-gebruikers en computers openen.

  2. Klik met de rechtermuisknop op het domein sec-syd en kies Eigenschappen.

  3. Klik op het tabblad Groepsbeleid.

  4. Klik op Default Domain Policy en vervolgens op Bewerken.

  5. Ga naar Computer Configuration > Windows Settings > Security Settings > Public Key Policies > Automatisch certificaataanvraag-instellingen.

    acs-eap-20.gif

  6. Ga in de menu-balk naar Actie > Nieuw > Automatisch certificaataanvraag en klik op Volgende.

  7. Kies Computer en klik op Volgende.

  8. Controleer de certificaatinstantie, "Onze TAC CA", in dit voorbeeld.

  9. Klik op Volgende en vervolgens op Voltooien.

Het Cisco access point configureren

Voltooi deze stappen om AP te vormen om ACS als de authenticatieserver te gebruiken:

  1. Open een webbrowser en voer http:// AP-ip-adres/certsrv in om toegang te krijgen tot AP.

  2. Klik in de werkbalk op Instellen.

  3. Klik onder Services op Security en vervolgens op Verificatieserver.

    Opmerking: Als u rekeningen op de AP hebt ingesteld, moet u inloggen.

  4. Geef de configuratie-instellingen van de authenticator op:

    • Kies 802.1x-2001 voor de 802.1x Protocol versie (voor EAP-verificatie).

    • Voer het IP-adres van de ACS-server in het veld Naam/IP-server van de server in.

    • Kies RADIUS als servertype.

    • Typ 1645 of 1812 in het veld Port.

    • Voer de gedeelde geheime sleutel in die u in Opgeven en configureren van het access point als een AAA-client hebt opgegeven.

    • Controleer de optie voor EAP-verificatie om aan te geven hoe de server gebruikt moet worden.

  5. Klik na voltooiing op OK.

    acs-eap-21.gif

  6. Klik op Radio Data Encryption (EFN).

  7. Voer de instellingen voor interne gegevensencryptie in.

    • Kies Full Encryption van het gebruik van Data Encryption door Stations is vervolgkeuzelijst om het niveau van gegevensencryptie in te stellen.

    • Voor het type Acceptverificatie dient u het aanvinkvakje Open in te schakelen om het goedgekeurde type verificatie in te stellen en het netwerk-EAP te controleren om LEAP mogelijk te maken.

    • Voor het MAP aanvragen, vinkt u het aanvinkvakje Open aan om op MAP te wachten.

    • Voer een coderingssleutel in het veld Encrypt Key in en kies 128-bits in de vervolgkeuzelijst Key Size.

  8. Klik na voltooiing op OK.

    acs-eap-22.gif

  9. Ga naar Network > Service ets > selecteer de SSID IDx om te bevestigen dat de juiste Service Set-id (SSID) wordt gebruikt.

  10. Klik op OK.

    acs-eap-22a.gif

De draadloze client configureren

Voltooi deze stappen om ACS 3.2 te configureren:

  1. Doe mee.

  2. Vraag een certificaat voor de gebruiker.

  3. Configureer het draadloze netwerk.

Join the Domain

Voltooi deze stappen om de draadloze client aan het domein toe te voegen.

Opmerking: om deze stappen te kunnen voltooien, moet de draadloze client connectiviteit met de CA hebben, via een bekabelde verbinding of via de draadloze verbinding met 802.1x-beveiliging uitgeschakeld.

  1. Meld u aan bij Windows XP als lokale beheerder.

  2. Ga naar Configuratiescherm > Prestaties en onderhoud > Systeem.

  3. Klik op het tabblad Computer Name en klik vervolgens op Wijzigen.

  4. Voer de hostnaam in het veld Computer Name in.

  5. Kies Domain, en voer dan de naam van het domein in (SEC-SYD in dit voorbeeld).

  6. Klik op OK.

    acs-eap-23.gif

  7. Wanneer het dialoogvenster Aanmelden verschijnt, logt u in met een account met voldoende toestemming om zich bij het domein aan te sluiten.

  8. Start de computer opnieuw op wanneer de computer is aangesloten op het domein.

    De machine wordt lid van het domein. Aangezien de machine auteïncarnemratie is ingesteld, heeft de machine een certificaat voor de geïnstalleerde CA en een certificaat voor machineverantwoording.

Een certificaat voor de gebruiker verkrijgen

Voltooi deze stappen om een certificaat voor de gebruiker te verkrijgen.

  1. Meld u aan bij Windows XP en het domein (SEC-SYD) op de draadloze client (laptop) als de account waarvoor een certificaat vereist is.

  2. Open een webbrowser en voer http:// CA-ip-adres/certsrv in om toegang te krijgen tot de CA server.

  3. Meld u aan bij de CA-server onder dezelfde account.

    Opmerking: het certificaat is opgeslagen op de draadloze client onder het profiel van de huidige gebruiker; Daarom moet u dezelfde account gebruiken om in te loggen bij Windows en de CA.

    acs-eap-24.gif

  4. Klik op het radioknop Aanvragen van een certificaat en vervolgens op Volgende.

    acs-eap-03.gif

  5. Klik op de knop Geavanceerd verzoek en klik vervolgens op Volgende.

    acs-eap-04.gif

  6. Klik op de knop Een certificaataanvraag bij deze opdracht indienen met behulp van een formulierradioknop en klik vervolgens op Volgende.

    acs-eap-05.gif

  7. Kies Gebruiker uit de certificaatsjabloon en voer 1024 in het veld Belangrijkste grootte in.

  8. Configureer de gewenste opties en klik op Indienen.

    acs-eap-25.gif

    N.B.: Als het dialoogvenster Potentiële Schending van de Schrift verschijnt, klikt u op Ja om door te gaan.

    acs-eap-07.gif

  9. Klik op Installeer dit certificaat.

    acs-eap-08.gif

    N.B.: Als het dialoogvenster Potentiële Schending van de Schrift verschijnt, klikt u op Ja om door te gaan.

    acs-eap-09.gif

    Opmerking: Mogelijk verschijnt de Opslagcertificaatwinkel als het certificaat van de CA niet al op de draadloze client is opgeslagen. Klik op Ja om het certificaat op te slaan naar lokale opslag.

    acs-eap-26.gif

    Als de installatie geslaagd is, verschijnt er een bevestigingsbericht.

    acs-eap-10.gif

De draadloze netwerken configureren

Voltooi deze stappen om de opties voor een draadloos netwerk in te stellen:

  1. Meld u aan bij het domein als een domeingebruiker.

  2. Ga naar Control Panel > Network and Internet Connections > Network Connections.

  3. Klik met de rechtermuisknop op Draadloze verbinding en kies Eigenschappen.

  4. Klik op het tabblad Draadloze netwerken.

  5. Kies het draadloze netwerk uit de lijst met beschikbare netwerken en klik vervolgens op Configureren.

    acs-eap-23.gif

  6. Controleer op het tabblad Verificatie het vakje IEEE 802.1x-verificatie voor dit netwerk inschakelen.

  7. Selecteer Smart Card of ander certificaat in de vervolgkeuzelijst EAP-type en klik vervolgens op Properties.

    Opmerking: Om machine-verificatie mogelijk te maken, dient u het aanvinkvakje Authenticate as computer te controleren wanneer computerinformatie beschikbaar is.

    acs-eap-27.gif

  8. Klik op de knop FineReader gebruiken voor een certificaat op deze computer en controleer vervolgens het vakje Eenvoudig certificaat gebruiken.

  9. Controleer het aanvinkvakje servercertificaat valideren en klik vervolgens op OK.

    Opmerking: wanneer de client zich bij het domein aansluit, wordt het CA-certificaat automatisch geïnstalleerd als een Trusted Root-certificeringsinstantie. De cliënt vertrouwt automatisch impliciet de CA die het certificaat van de cliënt ondertekende. Aanvullende CA’s kunnen worden vertrouwd door ze te controleren in de lijst Trusted Root-certificeringsinstanties.

    acs-eap-28.gif

  10. In het tabblad Associatie van het venster netwerkeigenschappen controleert u de toegestane gegevenscodering (en de optie Alleen beschikbaar voor mij is automatisch vinkjes.

  11. Klik op OK en vervolgens op OK om het venster voor netwerkconfiguratie te sluiten.

    acs-eap-29.gif

Verifiëren

Deze sectie verschaft informatie die u kunt gebruiken om te bevestigen dat uw configuratie correct werkt.

  • Voltooi de volgende stappen om te controleren of de draadloze client is geauthentificeerd:

    1. Ga bij de draadloze client naar Control Panel > Network and Internet Connections > Network Connections.

    2. Ga in de menubalk naar Beeld > tegels.

    De draadloze verbinding moet het "Verificatie geslaagd"-bericht weergeven.

  • Om te verifiëren dat draadloze klanten voor authentiek zijn geweest, ga naar Rapporten en Activiteit > Gepasseerde Verificaties > Geautomatiseerde Verificaties active.csv op de ACS web interface.

Problemen oplossen

Deze sectie bevat informatie waarmee u problemen met de configuratie kunt oplossen.

  • Controleer dat MS certificaatservices is geïnstalleerd als Enterprise root CA op een Windows 2000 Advanced Server met Service Pack 3.

  • Controleer dat u Cisco Secure ACS voor Windows versie 3.2 met Windows 2000 en Service Pack 3 gebruikt.

  • Als de machine-verificatie op de draadloze client mislukt, is er geen netwerkconnectiviteit op de draadloze verbinding. Alleen accounts met profielen die op de draadloze client zijn gecached, kunnen inloggen op het domein. De machine moet zijn aangesloten op een bekabeld netwerk of zijn ingesteld voor draadloze verbinding met een 802.1x-beveiliging.

  • Als de automatische inschrijving met de CA mislukt wanneer deze zich bij het domein aansluit, controleer dan het venster voor gebeurtenis om mogelijke redenen.

  • Als het gebruikersprofiel van de draadloze client geen geldig certificaat heeft, kunt u nog steeds inloggen op de machine en het domein als het wachtwoord juist is, maar let op dat de draadloze verbinding geen connectiviteit zal hebben.

  • Als het ACS-certificaat op de draadloze client ongeldig is (dat afhangt van de geldige data van het certificaat, van de datum en de tijd instellingen van de klant, en van het CA-vertrouwen), zal de klant het certificaat afwijzen en zal de authenticatie falen. De ACS zal de mislukte authenticatie in de webinterface registreren onder Rapporten en Actie > mislukte Pogingen > mislukte Pogingen > Pogingen XXX.csv met de verificatiefout-code vergelijkbaar met "EAP-TLS of PEAP authenticatie mislukt tijdens SSL-handdruk." De verwachte foutmelding in het bestand CSAuth.log is gelijk aan dit bericht:

    AUTH 06/04/2003 14:56:41 E 0345 1644 EAP: buildEAPRequestMsg: 
other side probably didn't accept our certificate

  • Als het certificaat van de klant op ACS ongeldig is (dat afhangt van de geldige "van" en "tot" datums van het certificaat, de datum en de tijdinstellingen van de server, en CA trust), zal de server het verwerpen en zal de authenticatie falen. De ACS zal de mislukte authenticatie in de webinterface registreren onder Rapporten en Actie > mislukte Pogingen > mislukte Pogingen > Pogingen XXX.csv met de verificatiefout-code vergelijkbaar met "EAP-TLS of PEAP authenticatie mislukt tijdens SSL-handdruk." Als ACS het certificaat van de klant verwerpt omdat ACS de CA niet vertrouwt, is de verwachte foutmelding in het CSAuth.log bestand gelijk aan dit bericht:

    AUTH 06/04/2003 15:47:43 E 0345 1696 EAP: ProcessResponse:
SSL handshake failed, status = 3 (SSL alert fatal:unknown CA certificate)

    Als ACS het certificaat van de klant afwijst omdat het certificaat is verlopen, is de verwachte foutmelding in het bestand CSAuth.log gelijk aan dit bericht:

    AUTH 06/04/2005 15:02:08 E 0345 1692 EAP: ProcessResponse:
SSL handshake failed, status = 3 (SSL alert fatal:certificate expired)

  • In de logbestanden op de ACS-webinterface worden, onder zowel Rapporten als activiteit > Gepasseerde authenticaties > Geautomatiseerde verificaties > Geautomatiseerde verificaties XXX.csv en Rapporten en activiteit > Vermislukte pogingen > Gemislukte pogingen > Vertragingen van XXX.csv, EAP-TLS-authenticaties in de indeling <user-id>@<domein> getoond. PEAP-authenticaties worden weergegeven in de indeling <DOMAIN>\<user-id>.

  • U kunt het certificaat en het vertrouwen van de ACS-server controleren door de onderstaande stappen te volgen.

    1. Meld u aan bij Windows op de ACS-server met een account met administratorrechten.

    2. Ga naar Start > Start, type mmc en klik op OK om de Microsoft Management Console te openen.

    3. Ga in de menubalk naar console > Add/Remove Magnetisch-in en klik op Add.

    4. Kies Certificaten en klik op Toevoegen.

    5. Kies Computer-account, klik op Volgende en kies vervolgens Lokale computer (de computer waarop deze console is ingeschakeld).

    6. Klik op Voltooien, klik op Sluiten en klik vervolgens op OK.

    7. Om te verifiëren dat de ACS-server een geldig server-side certificaat heeft, ga naar Console Root > Certificaten (Local Computer) > Mobile > Certificates, en controleer of er een certificaat voor de ACS server is (genaamd OurACS in dit voorbeeld).

    8. Open het certificaat en controleer deze items:

      • Er is geen waarschuwing dat het certificaat niet voor alle doeleinden waarvoor het is bestemd, wordt gecontroleerd.

      • Er is geen waarschuwing voor het certificaat dat niet wordt vertrouwd.

      • "Dit certificaat is bedoeld om de identiteit van een externe computer te garanderen."

      • Het certificaat is niet verlopen en is geldig geworden (controle op geldige data "van" en "van" naar").

      • "U hebt een privé-sleutel die met dit certificaat overeenkomt."

    9. Controleer in het tabblad Details of het veld Versie de waarde V3 heeft en dat het veld Uitgebreide sleutel gebruikt serververificatie heeft (1.3.6.1.5.5.7.3.1).

    10. Om te verifiëren dat de ACS-server de CA server vertrouwt, ga naar Console Root > Certificaten (Local Computer) > Trusted Root Cerfication Authority > Certificates en controleer of er een certificaat is voor de CA server (onze TAC CA in dit voorbeeld).

    11. Open het certificaat en controleer deze items:

      • Er is geen waarschuwing dat het certificaat niet voor alle doeleinden waarvoor het is bestemd, wordt gecontroleerd.

      • Er is geen waarschuwing voor het certificaat dat niet wordt vertrouwd.

      • Het doel van het certificaat is juist.

      • Het certificaat is niet verlopen en is geldig geworden (controle op geldige data "van" en "van" naar").

      Als de ACS en de klant niet dezelfde basisCA hebben gebruikt, controleer dan of de gehele keten van CA-servercertificaten is geïnstalleerd. Hetzelfde geldt wanneer het certificaat is verkregen van een autoriteit die het subcertificaat heeft afgegeven.

  • U kunt het machinecertificaat van de draadloze client controleren en vertrouwen door de onderstaande stappen te volgen.

    1. Meld u aan bij Windows op de ACS-server met een account met administratorrechten. Open Microsoft Management Console door naar Start > Start te gaan, mmc te typen en op OK te klikken.

    2. Ga in de menubalk naar console > Add/Remove Magnetisch-in en klik vervolgens op Add.

    3. Selecteer Certificaten en klik op Toevoegen.

    4. Selecteer Computer-account, klik op Volgende en selecteer vervolgens Local computer (de computer waarop deze console is ingeschakeld).

    5. Klik op Voltooien, klik op Sluiten en klik vervolgens op OK.

    6. Controleer of de machine een geldig client-side certificaat heeft. Als het certificaat ongeldig is, wordt de 'machine'-verificatie niet uitgevoerd. Ga voor het controleren van het certificaat naar console Root > Certificaten (lokale computer) > Persoonlijk > Certificaten. Controleer of er een certificaat voor de machine is; De naam wordt in de bestandsindeling <host-name>.<domein>. Open het certificaat en controleer de volgende onderdelen.

      • Er is geen waarschuwing dat het certificaat niet voor alle doeleinden waarvoor het is bestemd, wordt gecontroleerd.

      • Er is geen waarschuwing voor het certificaat dat niet wordt vertrouwd.

      • "Dit certificaat is bedoeld om - het bewijs van uw identiteit aan een externe computer."

      • Het certificaat is niet verlopen en is geldig geworden (controle op geldige data "van" en "van" naar").

      • "U hebt een privé-sleutel die met dit certificaat overeenkomt."

  • Controleer in het tabblad Details of het veld Versie de waarde V3 heeft en dat het veld Uitgebreide Key Gebruik ten minste de waarde van Clientverificatie bevat (1.3.6.1.5.7.3.2); bijkomende doeleinden kunnen worden vermeld . Zorg ervoor dat het veld Onderwerp de waarde CN = <host-name> bevat.<domain>; aanvullende waarden kunnen worden vermeld . Controleer dat de host-naam en het domein overeenkomen met wat in het certificaat is gespecificeerd.

  • Om te controleren of het profiel van de klant op de CA-server vertrouwd is, gaat u naar Console Root > Certificaten (huidige gebruiker) > Trusted Root Cerfication Authority > Certificates. Controleer dat er een certificaat is voor de CA server (onze TAC CA genoemd in dit voorbeeld). Open het certificaat en controleer de volgende onderdelen.

    • Er is geen waarschuwing dat het certificaat niet voor alle doeleinden waarvoor het is bestemd, wordt gecontroleerd.

    • Er is geen waarschuwing voor het certificaat dat niet wordt vertrouwd.

    • Het doel van het certificaat is juist.

    • Het certificaat is niet verlopen en is geldig geworden (controle op geldige data "van" en "van" naar").

    Als de ACS en de klant niet dezelfde basisCA hebben gebruikt, controleer dan of de gehele keten van CA-servercertificaten is geïnstalleerd. Hetzelfde geldt wanneer het certificaat is verkregen van een autoriteit die het subcertificaat heeft afgegeven.

  • Controleer de ACS-instellingen zoals beschreven in Cisco Secure ACS voor Windows v3.2 configureren.

  • Controleer de CA-instellingen zoals beschreven in De MS-certificaatservices configureren.

  • Controleer de AP-instellingen zoals beschreven in het configureren van het Cisco access point.

  • Controleer de instellingen voor de draadloze client zoals beschreven in Het configureren van de draadloze client.

  • Controleer dat de gebruikersaccount in de interne database van de AAA-server of in een van de geconfigureerde externe databases aanwezig is en zorg ervoor dat de account niet wordt uitgeschakeld.

  • Certificaten die zijn afgegeven door de CA die zijn gebaseerd op Secure Hash Algorithm 2 (SHA-2) zijn niet compatibel met Cisco Secure ACS omdat ze zijn ontwikkeld met Java dat SHA-2 niet vanaf nu ondersteunt. Om deze kwestie op te lossen, installeer de CA opnieuw en configureren het om certificaten met SHA-1 uit te geven.

Gerelateerde informatie

Revisiegeschiedenis

Revisie Publicatiedatum Opmerkingen
1.0
28-Apr-2009
Eerste vrijgave

Was dit document nuttig?

FeedbackFeedback

Contact Cisco