EAP-TLS begrijpen en configureren met een WLC en ISE

Downloadopties

  • PDF     (3.9 MB)
    Met Adobe Reader op diverse apparaten bekijken
Bijgewerkt:16 juni 2025
Document-id:213543

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

    Inleiding

    In dit document wordt beschreven hoe u een Wireless Local Area Network (WLAN) met 802.1X en EAP-TLS (Extensible Authentication Protocol) kunt instellen.

      

    Voorwaarden

    Vereisten

    Cisco raadt kennis van de volgende onderwerpen aan:

    • 802.1X-verificatieproces
    • certificaten

    Gebruikte componenten

    De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:

    • WLC 3504 versie 8.10
    • Identity Services Engine (ISE) versie 2.7

    De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.

    Achtergrondinformatie

    EAP-TLS-stroom

    Topology - EAP-TLS Flow

    Stappen in EAP-TLS-stroom

    1. Draadloze client wordt gekoppeld aan het toegangspunt (AP). AP staat op dit moment niet toe dat de klant gegevens verzendt en stuurt een authenticatieverzoek. De aanvrager reageert vervolgens met een EAP-Response Identity. De WLC geeft vervolgens de gebruikers-id informatie door aan de verificatieserver. De RADIUS-server reageert op de client met een EAP-TLS-startpakket. De EAP-TLS-conversatie begint op dit punt.
    2. De peer stuurt een EAP-Response terug naar de verificatieserver die een client_hello-handshake-bericht bevat, een cijfer dat is ingesteld voor NULL.
    3. De verificatieserver reageert met een Access-challenge-pakket dat het volgende bevat:
    TLS server_hello
handshake message
certificate
server_key_exchange
certificate request
server_hello_done.

    4. De client reageert met een EAP-Response-bericht dat het volgende bevat:

    Certificate ¬ Server can validate to verify that it is trusted.

client_key_exchange

certificate_verify ¬ Verifies the server is trusted

change_cipher_spec

TLS finished

    5. Nadat de client zich succesvol heeft geverifieerd, reageert de RADIUS-server met een Access-challenge, die het bericht change_cipher_spec en handshake finished bevat.

    6. Wanneer de client dit ontvangt, verifieert de client de hash om de radiusserver te verifiëren.

    7. Een nieuwe coderingssleutel wordt dynamisch afgeleid van het geheim tijdens de TLS-handshake.

    8. EAP-Success wordt uiteindelijk van server naar verificator verzonden en vervolgens aan de aanvrager doorgegeven.

    Op dit punt heeft de draadloze client met EAP-TLS-functionaliteit toegang tot het draadloze netwerk.

    Configureren

    Cisco Wireless LAN-controller

    Stap 1. De eerste stap is het configureren van de RADIUS-server op de Cisco WLC. Als u een RADIUS-server wilt toevoegen, gaat u naar Beveiliging > RADIUS > Verificatie. Klik op Nieuw zoals weergegeven in de afbeelding.

    Wireless LAN Controller - Configure RADIUS Server

    Stap 2. Hier moet u het IP-adres en het gedeelde geheime <wachtwoord> invoeren dat wordt gebruikt om de WLC op de ISE te valideren. Klik op Toepassen om door te gaan zoals in de afbeelding wordt weergegeven.

    Wireless LAN Controller - Enter Shared IP Address and Shared Password

    Stap 3. Maak WLAN voor RADIUS-verificatie.

    Nu kunt u een nieuw WLAN maken en configureren om de WPA-bedrijfsmodus te gebruiken, zodat RADIUS voor verificatie kan worden gebruikt.

    Stap 4. Selecteer WLAN's in het hoofdmenu, kies Nieuwe maken en klik op Ga zoals weergegeven in de afbeelding.

    Wireless LAN Controller - Select WLANs from Main Menu and Create New

    Stap 5. Noem het nieuwe WLAN EAP-TLS. Klik op Toepassen om door te gaan zoals in de afbeelding wordt weergegeven.

    Wireless LAN Controller - Name the New WLAN EAP-TLS

    Stap 6. Klik op Algemeen en controleer of de status is ingeschakeld. Het standaardbeveiligingsbeleid is 802.1X-verificatie en WPA2, zoals weergegeven in de afbeelding.

    Wireless LAN Controller - Ensure the Status is Enabled

    Stap 7. Navigeer nu naar Beveiliging> AAA-servers tabblad, selecteer de RADIUS-server die u zojuist hebt geconfigureerd zoals weergegeven in de afbeelding.

    Wireless LAN Controller - Select the RADIUS Server You Configured

    note-icon

    Opmerking: het is een goed idee om te controleren of u de RADIUS-server kunt bereiken vanaf de WLC voordat u doorgaat. RADIUS gebruikt UDP-poort 1812 (voor verificatie), dus u moet ervoor zorgen dat dit verkeer nergens in het netwerk wordt geblokkeerd.

    ISE met Cisco WLC

    EAP-TLS-instellingen

      

    Om het beleid op te bouwen, moet u de lijst met toegestane protocollen maken die u in ons beleid kunt gebruiken. Aangezien een dot1x-beleid is geschreven, geeft u het toegestane EAP-type op op basis van de configuratie van het beleid.

    Als u de standaardinstelling gebruikt, staat u de meeste EAP-typen voor verificatie toe, die niet de voorkeur hebben als u de toegang tot een specifiek EAP-type wilt vergrendelen.

    Stap 1. Navigeer naar Beleid > Beleidselementen > Resultaten > Authenticatie > Toegestane protocollen en klik op Toevoegen zoals weergegeven in de afbeelding.

    Define Allowed Protocols Lists on ISE

      

    Stap 2. In deze lijst met toegestane protocollen kunt u de naam voor de lijst invoeren. In dat geval is het selectievakje EAP-TLS toestaan ingeschakeld en zijn andere vakjes uitgeschakeld, zoals in de afbeelding wordt weergegeven. 

    Enter the Name for the List

    WLC-instellingen op ISE

    Stap 1. Open de ISE-console en navigeer naar Beheer > Netwerkbronnen > Netwerkapparaten > Toevoegen zoals weergegeven in de afbeelding.

    ISE Network Devices Page

    Stap 2. Voer de waarden in zoals weergegeven in de afbeelding.

    ISE - Shared Secret Password

      

    Nieuwe gebruiker maken op ISE

    Stap 1. Navigeer naar Beheer > Identiteitsbeheer > Identiteiten > Gebruikers > Toevoegen zoals weergegeven in de afbeelding.

    Network Access Users

    Stap 2. Voer de informatie in zoals weergegeven in de afbeelding.

    Create a New Network User

    Vertrouwenscertificaat op ISE

    Stap 1. Ga naar Beheer > Systeem > Certificaten > Certificaatbeheer > Vertrouwde certificaten.

    Klik op Importeren om een certificaat te importeren in ISE. Zodra u een WLC toevoegt en een gebruiker maakt op ISE, moet u het belangrijkste deel van EAP-TLS doen dat is om het certificaat op ISE te vertrouwen. Hiervoor moet je een CSR genereren.

    Stap 2. Navigeer naar Beheer > Certificaten > Certificaatondertekeningsverzoeken > Certificaatondertekeningsverzoeken genereren (CSR) zoals weergegeven in de afbeelding.

    Enter Information

    Stap 3. Als u de CSR wilt genereren, navigeert u naar Gebruik en gebruikt u de vervolgkeuzemogelijkheden van Certificaat(en), selecteert u EAP-verificatie zoals in de afbeelding wordt weergegeven.

    Certificate Signing Requests

    Stap 4. De CSR die op ISE is gegenereerd, kan worden bekeken. Klik op Weergeven zoals weergegeven in de afbeelding.

    Generated CSR on ISE

    Stap 5. Zodra CSR is gegenereerd, bladert u naar CA-server en klikt u op Certificaat aanvragen zoals in de afbeelding wordt weergegeven:

    Windows Server CA Homepage

    Stap 6. Zodra u een certificaat aanvraagt, krijgt u opties voor Gebruikerscertificaat en geavanceerde certificaataanvraag. Klik op geavanceerde certificaataanvraag zoals weergegeven in de afbeelding.

    Submit a CSR Request in Windows Server

    Stap 7. Plak de CSR die is gegenereerd in Base-64-gecodeerde certificaataanvraag. Kies in de vervolgkeuzelijst Certificaatsjabloon de optie Webserver en klik op Indienen zoals in de afbeelding wordt weergegeven.

    Chose the CSR Details on Windows Server

    Stap 8. Zodra u op Indienen klikt, krijgt u de optie om het type certificaat te selecteren. Selecteer Base-64 gecodeerd en klik op Certificaatketen downloaden zoals weergegeven in de afbeelding.

    Windows Server Listing Certificates Issued

    Stap 9. Het downloaden van het certificaat is voltooid voor de ISE-server. U kunt het certificaat uitpakken. Het certificaat bevat twee certificaten, een root-certificaat en een ander tussenproduct. Het rootcertificaat kan worden geïmporteerd onder Beheer > Certificaten > Vertrouwde certificaten > Importeren zoals in de afbeeldingen wordt weergegeven.

    Import Trusted Certificates on ISE

    Import a New Certificate on ISE

    Stap 10. Zodra u op Indienen klikt, wordt het certificaat toegevoegd aan de lijst met vertrouwde certificaten. Ook is het tussencertificaat nodig om te binden aan CSR zoals weergegeven in de afbeelding.

    Bind Certificate on ISE

    Stap 11. Zodra u op Certificaat binden klikt, is er een optie om het certificaatbestand te kiezen dat op uw bureaublad is opgeslagen. Blader naar het tussenliggende certificaat en klik op Indienen zoals weergegeven in de afbeelding.

    Bind CA Signed Certificate on ISE

    Stap 12. Om het certificaat te bekijken, gaat u naar Beheer > Certificaten > Systeemcertificaten zoals weergegeven in de afbeelding.

    System Certificates on ISE

    Client voor EAP-TLS

    Gebruikerscertificaat downloaden op clientsysteem (Windows-bureaublad)

    Stap 1. Als u een draadloze gebruiker wilt verifiëren via EAP-TLS, moet u een clientcertificaat genereren. Sluit uw Windows-computer aan op het netwerk zodat u toegang hebt tot de server. Open een webbrowser en voer dit adres in: https://<server-ip addr>/certsrv

    Stap 2. Merk op dat de CA hetzelfde moet zijn als het certificaat dat voor ISE is gedownload.

    Hiervoor moet u bladeren naar dezelfde CA-server die u hebt gebruikt om het certificaat voor de server te downloaden. Klik op dezelfde certificeringsinstantie op Certificaat aanvragen zoals eerder is gedaan, maar deze keer moet u Gebruiker selecteren als de certificaatsjabloon die in de afbeelding wordt weergegeven.

    Submit the CSR

    Stap 3. Klik vervolgens op Certificaatketen downloaden zoals eerder is gedaan voor de server.

    Zodra u de certificaten hebt ontvangen, gebruikt u deze stappen om het certificaat op de Windows-laptop te importeren.

    Stap 4. Als u het certificaat wilt importeren, moet u het openen vanuit de Microsoft Management Console (MMC).

    1. Om de MMC te openen, gaat u naar Start > Uitvoeren > MMC.
    2. Navigeer naar Bestand > Toevoegen / Verwijderen Magnetisch.
    3. Dubbelklik op Certificaten.
    4. Selecteer Computeraccount.
    5. Selecteer Lokale computer > Voltooien
    6. Klik op OK om het venster Module te sluiten.
    7. Klik op [+] naast Certificaten > Persoonlijk > Certificaten.
    8. Klik met de rechtermuisknop op Certificaten en selecteer Alle taken> Importeren.
    9. Klik op Next (Volgende).
    10. Klik op Bladeren.
    11. Selecteer de .cer, .crt, of .pfx die u wilt importeren. 
    12. Klik op Openen.
    13. Klik op Next (Volgende).
    14. Selecteer Automatisch het certificaatarchief selecteren op basis van het type certificaat.
    15. Klik op Voltooien en OK.

    Nadat het importeren van het certificaat is voltooid, moet u de draadloze client (Windows-bureaublad, in dit voorbeeld) configureren voor EAP-TLS.

    Draadloos profiel voor EAP-TLS

    Stap 1. Wijzig het draadloze profiel dat eerder is gemaakt voor Protected Extensible Authentication Protocol (PEAP) om in plaats daarvan EAP-TLS te gebruiken. Klik op EAP-profiel voor draadloze verbindingen.

      

    Stap 2. Selecteer Microsoft: Smart Card of ander certificaat en klik op OK in de afbeelding.

    Chose EAP-TLS Type of Authentication

    Stap 3. Klik op Instellingen en selecteer het basiscertificaat dat is afgegeven vanaf de CA-server, zoals weergegeven in de afbeelding.

    Enable Trusted CAs

    Stap 4. Klik op Geavanceerde instellingen en selecteer Gebruiker- of computerverificatie op het tabblad 802.1x-instellingen, zoals weergegeven in de afbeelding.

    Choose User or Computer Authentication

    Stap 5. Probeer nu opnieuw verbinding te maken met het draadloze netwerk, selecteer het juiste profiel (EAP, in dit voorbeeld) en maak verbinding. U bent verbonden met het draadloze netwerk, zoals wordt weergegeven in de afbeelding.

    List of SSIDs

    Verifiëren

    Gebruik deze sectie om te controleren of uw configuratie goed werkt.

    Stap 1. De status Client Policy Manager moet worden weergegeven als RUN. Dit betekent dat de client de verificatie heeft voltooid, het IP-adres heeft verkregen en klaar is om het verkeer dat in de afbeelding wordt weergegeven, door te geven.

    Client Details : Policy Manager

    Stap 2. Controleer ook de juiste EAP-methode op WLC op de pagina met clientgegevens, zoals weergegeven in de afbeelding.

    EAP Type Mentioned in the Client Details

    Stap 3. Hier zijn de clientgegevens van de CLI van de controller (uitvoer geknipt):

    (Cisco Controller-Standby) >show client detail 34:02:86:96:2f:b7
Client MAC Address............................... 34:02:86:96:2f:b7
Client Username ................................. Administrator
AP MAC Address................................... 00:d7:8f:52:db:a0
AP Name.......................................... Alpha2802_3rdfloor 
AP radio slot Id................................. 0 
Client State..................................... Associated 
Wireless LAN Id.................................. 5 
Wireless LAN Network Name (SSID)................. EAP
Wireless LAN Profile Name........................ EAP
Hotspot (802.11u)................................ Not Supported
BSSID............................................ 00:d7:8f:52:db:a4 
Connected For ................................... 48 secs
Channel.......................................... 1 
IP Address....................................... 10.106.32.239
Gateway Address.................................. 10.106.32.1
Netmask.......................................... 255.255.255.0
Policy Manager State............................. RUN
Policy Type...................................... WPA2
Authentication Key Management.................... 802.1x
Encryption Cipher................................ CCMP-128 (AES)
Protected Management Frame ...................... No
Management Frame Protection...................... No
EAP Type......................................... EAP-TLS

    Stap 4. Navigeer op ISE naar Contextzichtbaarheid > Eindpunten > Kenmerken zoals weergegeven in de afbeeldingen.

    Rule MatchedCertificate Issuer Details

    Identity Store is Displayed in the Live Logs Details

    Problemen oplossen

    Er is momenteel geen specifieke informatie beschikbaar om problemen met deze configuratie op te lossen.

      

    Revisiegeschiedenis

    Revisie Publicatiedatum Opmerkingen
    5.0
    16-Jun-2025
    Een ontbrekende link in de client eap-tls sectie opgelost
    4.0
    21-Nov-2024
    Bijgewerkte spelling en opmaak.
    3.0
    06-Nov-2023
    Bijgewerkte machinevertaling, artikelbeschrijving, alt-tekst en opmaak.
    1.0
    01-Aug-2018
    Eerste vrijgave
    TAC Authored

    Bijgedragen door Cisco-engineers

    • Bharti Khatri
      technisch adviseur

    Was dit document nuttig?

    FeedbackFeedback

    Contact Cisco

    Dit document is van toepassing op deze producten