Secure ACS para Windows v3.2 com autenticação da máquina do EAP-TLS

Introdução

Este original descreve como configurar o protocolo extensible authentication – Transport Layer Security (EAP-TLS) com Cisco Secure Access Control System (ACS) para a versão do Windows 3.2.

Nota: A autenticação da máquina não é apoiada com Certificate Authority (CA) de Novell. ACS pode usar o EAP-TLS para apoiar a autenticação da máquina ao diretório ativo de Microsoft Windows. O cliente do utilizador final pôde limitar o protocolo para a autenticação de usuário ao mesmo protocolo que é usado para a autenticação da máquina. Isto é, o uso do EAP-TLS para a autenticação da máquina pôde exigir o uso do EAP-TLS para a autenticação de usuário. Para obter mais informações sobre da autenticação da máquina, refira a seção da autenticação da máquina do Guia do Usuário para o Serviço de controle de acesso Cisco Secure 4.1.

Nota: Quando estabelecer ACS para autenticar máquinas através do EAP-TLS e do ACS estabelecer-se-&z para a autenticação da máquina, o cliente deve ser configurado para fazer a autenticação da máquina somente. Para mais informação, consulte como permitir a autenticação do computador-somente para uma rede 802.1X-based em Windows Vista, em Windows Server 2008, e em Windows XP Service Pack 3.

Pré-requisitos

Requisitos

Não existem requisitos específicos para este documento.

Componentes Utilizados

As informações neste documento são baseadas nas versões de software e hardware abaixo.

• Cisco Secure ACS para Windows versão 3.2

• Microsoft Certificate Services (instalado como Enterprise root certificate authority [CA])

  Nota: Para obter mais informações, consulte o Manual passo a passo para configurar uma autoridade de certificação.

• Serviço DNS com Windows 2000 Server com Service Pack 3 e hotfix 323172

  Nota: Se tiver problemas com o servidor CA, instale a correção dinâmica 323172. O cliente do Windows 2000 SP3 exige o hotfix 313664 permitir a autenticação do IEEE 802.1X.

• Cisco Aironet 1200 Series Wireless Access Point 12.01T

• IBM ThinkPad T30 executando Windows XP Professional com Service Pack 1

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se você está trabalhando em uma rede viva, assegure-se de que você compreenda o impacto potencial do comando any antes do usar.

Material de Suporte

Tanto o EAP-TLS quanto o Protocolo protegido de autenticação extensível (PEAP) criam e utilizam um túnel TLS/Secure Socket Layer (SSL). O EAP-TLS usa a autenticação mútua, na qual tanto o servidor ACS (AAA - autenticação, autorização e relatório) quanto os clientes possuem certificados e comprovam suas identidades uns aos outros. O PEAP, contudo, usa somente a autenticação do lado de servidor; somente o server tem um certificado e prova sua identidade ao cliente.

Convenções

Para obter mais informações sobre das convenções de documento, veja as convenções dos dicas técnicas da Cisco.

Diagrama de Rede

Este documento utiliza a instalação de rede mostrada no diagrama abaixo.

Configurando o Cisco Secure ACS for Windows v3.2

Siga os passos abaixo para configurar o ACS 3.2.

1. Obtenha um certificado para o servidor de ACS.

2. Configure o ACS para utilizar um certificado do armazenamento.

3. Especifique autoridades de certificação adicionais nas quais o ACS deve confiar.

4. Reinicie o serviço e configure as definições PEAP no ACS.

5. Especifique e configure o ponto de acesso como um cliente AAA.

6. Configure os bancos de dados de usuário externo.

7. Reinicie o serviço.

Obtenha um certificado para o servidor ACS

Siga estes passos para obter um certificado.

1. No servidor ACS, abra um web browser, e entre em http:// CA-ip-address/certsrv a fim alcançar o server CA.

2. Efetuar logon no domínio como Administrador.

   

3. Selecione o pedido um certificado, e clique-o então em seguida.

   

4. Selecione a solicitação Avançado e clique em Avançar.

   

5. Selecione Enviar uma solicitação de certificado para este CA, utilizando um formulário e, em seguida, clique em Avançar.

   

6. Configurar as opções do certificado:

   1. Selecione o servidor de Web como o molde de certificado, e dê entrada com o nome do servidor ACS.

      

   2. Incorpore 1024 ao campo do tamanho chave, e verifique as chaves de Mark como exportable e use caixas de seleção da loja de máquina local.

   3. Configure outras opções, conforme necessário e, em seguida, clique em Enviar.

      

      Nota: Se a caixa de diálogo Scripting potencial da violação aparece, clique sim para continuar.

      

7. Clique em Instalar este certificado.

   

   Nota: Se a caixa de diálogo Scripting potencial da violação aparece, clique sim para continuar.

   

8. Se a instalação é bem sucedida, a mensagem instalada certificado aparece.

   

Configurar o ACS para utilizar um certificado do armazenamento

Termine estas etapas a fim configurar ACS para usar o certificado no armazenamento.

1. Abra um web browser, e entre em http:// ACS-ip-address:2002/ a fim alcançar o servidor ACS.

2. Clique em System Configuration e, em seguida, em ACS Certificate Setup.

3. Clique em Install ACS Certificate (Instalar certificado ACS).

4. Clique o certificado do uso do botão de rádio do armazenamento.

5. No campo NC do certificado, dê entrada com o nome do certificado que você atribuiu na etapa 5a de obter um certificado do ACS Serversection deste original.

6. Clique em Submit.

   

   Uma vez que a configuração está completa, um mensagem de confirmação aparece que indique que a configuração do servidor ACS esteve mudada.

   Nota: Você não precisa reiniciar o ACS desta vez.

   

Especifique as autoridades de certificado adicionais em que o ACS deve confiar

O ACS confia automaticamente o CA que emitiu seu próprio certificado. Se os certificados de cliente são emitidos pelo CAs adicional, você deve terminar estas etapas:

1. Clique em System Configuration e, em seguida, em ACS Certificate Setup.

2. Clique em ACS Certificate Authority Setup para adicionar CAs à lista de certificados confiáveis.

3. No campo para o arquivo do certificado de CA, digite a localização do certificado e, em seguida, clique em Submit.

   

4. Clique em Edit Certificate Trust List.

5. Selecione todas as CAs nas quais o ACS deve confiar e desmarque todas as CAs nas quais o ACS não deve confiar.

6. Clique em Submit.

   

Reiniciar o serviço e definir as configurações EAP-TLS no ACS

Termine estas etapas a fim reiniciar o serviço e configurar ajustes do EAP-TLS:

1. Clique em System Configuration e, depois, em Service Control.

2. Clique o reinício a fim reiniciar o serviço.

3. A fim configurar ajustes do EAP-TLS, clique a configuração de sistema, e clique então a instalação global da autenticação.

4. Marque Allow EAP-TLS e, em seguida, marque uma ou mais comparações de certificado.

5. Clique em Submit.

   

Especifique e configure o ponto de acesso como um cliente AAA

Termine estas etapas a fim configurar o Access Point (AP) como um cliente de AAA:

1. Clique em Network Configuration.

2. Em AAA Clients, clique em Add Entry.

   

3. Incorpore o nome de host do Access point ao campo do hostname do cliente de AAA e o IP address no campo do IP address do cliente de AAA.

4. Incorpore uma chave secreta compartilhada para o ACS e o Access point ao campo chave.

5. Escolha o RAIO (Cisco Aironet) como o método de autenticação, e o clique submete-se.

   

Configure o banco de dados de usuário externo

Termine estas etapas a fim configurar as bases de dados de usuário externo.

1. Clique em Bancos de dados do usuário externo e, em seguida, em Configuração do banco de dados.

2. Clique em Windows Database.

   Nota: Se não houver um banco de dados do Windows já definido, clique em Create New Configuration e, em seguida, clique em Submit.

3. Clique em Configurar.

4. Em Configure Domain List, mova o domínio SEC-SYD de Available Domains para Domain List.

   

5. Na área dos ajustes de Windows EAP, clique a caixa de verificação da autenticação da máquina do EAP-TLS da licença a fim permitir a autenticação da máquina.

   Nota:  Não altere o prefixo do nome de autenticação da máquina. A Microsoft usa atualmente "/host" (o valor padrão) para distinguir entre autenticação de usuário e de máquina.

6. Opcionalmente, você pode verificar a caixa de verificação do Domain Name da tira do EAP-TLS a fim permitir a faixa de domínio.

7. Clique em Submit.

   

8. Clique em External User Databases e, em seguida, clique em Unknown User Policy (Política de usuário desconhecida).

9. Clique a verificação o seguinte botão de rádio das bases de dados de usuário externo.

10. Mova o base de dados do Windows dos bases de dados externos alistam aos bases de dados selecionado a lista.

11. Clique em Submit.

    

Reinicie o serviço

Quando você terminou configurar o ACS, termine estas etapas a fim reiniciar o serviço:

1. Clique em System Configuration e, depois, em Service Control.

2. Clique em Reiniciar.

Configurando a inscrição automática no MS Certificate Machine

Termine estas etapas a fim configurar o domínio para o registro automático do certificado da máquina:

1. Vão ao Control Panel > as ferramentas administrativas > usuários e computadores abertos de diretório ativo.

2. o domínio SEC-syd do Direito-clique, e escolhe propriedades.

3. Clique a aba da política do grupo.

4. Clique em Política de domínio padrão e em Editar.

5. Vão à configuração de computador > aos ajustes do > segurança dos ajustes de Windows > às políticas da chave pública > os ajustes automáticos do pedido do certificado.

   

6. Na barra de menus, vai à ação > o pedido do certificado novo > automático, e clica em seguida.

7. Escolha o computador, e clique-o em seguida.

8. Verifique o Certificate Authority, “nosso TAC CA,” neste exemplo.

9. Clique em Avançar e, em seguida, clique em Concluir.

Configurando o Ciscso Access Point

Termine estas etapas a fim configurar o AP para usar o ACS como o Authentication Server:

1. Abra um web browser, e entre em http:// AP-ip-address/certsrv a fim alcançar o AP.

2. Na barra de ferramentas, clique em Setup.

3. Sob serviços, clique a Segurança, e clique então o Authentication Server.

   Nota: Se você configurou contas no AP, você deve entrar.

4. Incorpore os ajustes de configuração do autenticador:

   • Escolha 802.1x-2001 para a versão do protocolo do 802.1x (para a autenticação de EAP).

   • Digite o endereço IP do servidor ACS no campo Server Name/IP.

   • Escolha o RAIO como o tipo de servidor.

   • Digite 1645 ou 1812 no campo Porta.

   • Incorpore a chave secreta compartilhada que você especificou dentro especifica e configura o Access point como um cliente de AAA.

   • Verifique a opção para ver se há a autenticação de EAP a fim especificar como o server deve ser usado.

5. Quando terminar, clique em OK.

   

6. Clique em Radio Data Encryption (WEP).

7. Introduza as configurações internas de criptografia de dados.

   • Escolha a criptografia total do Use of Data Encryption por estações é lista de drop-down a fim ajustar o nível da criptografia de dados.

   • Para o tipo do autenticação Accept, verifique a caixa de verificação aberta a fim ajustar o tipo de autenticação aceitado, e verifique a Rede EAP a fim permitir o PULO.

   • Para Require EAP, verifique a caixa de verificação aberta a fim exigir o EAP.

   • Incorpore uma chave de criptografia ao campo chave de Encription, e escolha o 128 mordido da lista de drop-down do tamanho chave.

8. Quando terminar, clique em OK.

   

9. Vá à rede > aos conjuntos de serviço > selecionam o SSID Idx a fim confirmar que o Service Set Identifier (SSID) correto está usado.

10. Clique em OK.

    

Configurando o cliente Wireless

Termine estas etapas a fim configurar ACS 3.2:

1. Junte-se ao domínio.

2. Obtenha um certificado para o usuário.

3. Configure a rede Wireless.

Unir ao domínio

Termine estas etapas a fim adicionar o cliente Wireless ao domínio.

Nota: A fim terminar estas etapas, o cliente Wireless deve ter a Conectividade ao CA, através de uma conexão ligada com fio ou através da conexão Wireless com Segurança do 802.1x desabilitada.

1. Inicie sessão no Windows XP como administrador local.

2. Vá ao Control Panel > ao desempenho e à manutenção > ao sistema.

3. Clique a aba do nome de computador, e clique então a mudança.

4. Dê entrada com o nome do host no campo do nome de computador.

5. Escolha o domínio, e dê entrada com então o nome do domínio (SEC-SYD neste exemplo).

6. Clique em OK.

   

7. Quando a caixa de diálogo do início de uma sessão aparece, entre dentro com uma conta com permissão adequada juntar-se ao domínio.

8. Quando o computador tiver se unido com êxito ao domínio, reinicie-o.

   A máquina assenta bem em um membro do domínio. Desde que o registro automático de máquina é configurado, a máquina tem um certificado para o CA instalado assim como um certificado para a autenticação da máquina.

Obter um certificado para o usuário

Termine estas etapas a fim obter um certificado para o usuário.

1. Entre a Windows XP e ao domínio (SEC-SYD) no cliente Wireless (portátil) como a conta que exige um certificado.

2. Abra um web browser, e entre em http:// CA-ip-address/certsrv a fim alcançar o server CA.

3. Entre ao server CA sob a mesma conta.

   Nota: O certificado é armazenado no cliente Wireless sob o perfil de usuário atual; consequentemente, você deve usar a mesma conta a fim entrar a Windows e ao CA.

   

4. Clique o pedido um botão de rádio do certificado, e clique-o então em seguida.

   

5. Clique o botão de rádio do pedido avançado, e clique-o então em seguida.

   

6. Clique a submissão um botão de rádio do pedido de certificado para este CA usando um formulário, e clique-a então em seguida.

   

7. Escolha o usuário do molde de certificado, e incorpore 1024 ao campo do tamanho chave.

8. Configurar outras opções como necessárias, e o clique submete-se.

   

   Nota: Se a caixa de diálogo Scripting potencial da violação aparece, clique sim para continuar.

   

9. Clique em Instalar este certificado.

   

   Nota: Se a caixa de diálogo Scripting potencial da violação aparece, clique sim para continuar.

   

   Nota: A loja do certificado de raiz pôde aparecer se próprio certificado do Ca não salvar no cliente Wireless já. Clique sim a fim salvar o certificado ao armazenamento local.

   

   Se a instalação é bem sucedida, um mensagem de confirmação aparece.

   

Configure a rede Wireless

Termine estas etapas a fim ajustar as opções para a rede de comunicação Wireless:

1. Inicie a sessão no domínio como usuário de domínio.

2. Vá ao Control Panel > à rede e às conexões com o Internet > às conexões de rede.

3. a conexão Wireless do Direito-clique, e escolhe propriedades.

4. Clique a aba das redes Wireless.

5. Escolha a rede Wireless da lista de redes disponíveis, e clique-a então configuram.

   

6. Na aba da autenticação, verifique a autenticação do IEEE 802.1X da possibilidade para ver se há esta caixa de verificação da rede.

7. Escolha a placa inteligente ou o outro certificado do tipo lista de drop-down EAP, e clique então propriedades.

   Nota: A fim permitir a autenticação da máquina, verifique a autenticação como o computador quando a informação do computador é caixa de verificação disponível.

   

8. Clique o uso um certificado neste botão de rádio do computador, e verifique então a caixa de verificação simples da seleção do certificado do uso.

9. Verifique a caixa do certificatecheck do server da validação, e clique a APROVAÇÃO.

   Nota: Quando o cliente se junta ao domínio, o certificado de Ca está instalado automaticamente como uma Autoridade de certificação de raiz confiável. O cliente automaticamente confia implicitamente o CA que assinou o certificado de cliente. As CAs adicionais podem ser confiáveis, verificando-as na lista Trusted Root Certification Authorities.

   

10. Na aba da associação do indicador das propriedades de rede, verifique a criptografia de dados (WEP permitido) e a chave é fornecida para mim automaticamente caixas de seleção.

11. Clique a APROVAÇÃO, e clique então a APROVAÇÃO outra vez a fim fechar o indicador da configuração de rede.

    

Verificar

Esta seção fornece a informação que você pode se usar a fim confirmar sua configuração está trabalhando corretamente.

• A fim verificar que o cliente Wireless esteve autenticado, termine estas etapas:

  1. No cliente Wireless, vá ao Control Panel > à rede e às conexões com o Internet > às conexões de rede.

  2. Na barra de menus, vá à vista > às telhas.

  A conexão Wireless deve indicar a mensagem sucedida “autenticação”.

• A fim verificar que os clientes Wireless estiveram autenticados, vá aos relatórios e à atividade > autenticações passadas > active.csv passado das autenticações na interface da WEB ACS.

Troubleshooting

Esta seção fornece informações que podem ser usadas para o troubleshooting da sua configuração.

• Verifique que os serviços certificados MS estiveram instalados como uma CA raiz da empresa em Windows 2000 Advanced Server com pacote de serviços 3.

• Verifique se você está usando o Cisco Secure ACS for Windows versão 3.2 com Windows 2000 e Service Pack 3.

• Se a autenticação da máquina falhar no cliente wireless, não haverá conectividade de rede na conexão sem fio. Somente as contas com perfis em cache no cliente wireless serão capazes de iniciar uma sessão no domínio. A máquina deve ser obstruída dentro a uma rede ligada com fio ou a um grupo para a conexão Wireless sem a Segurança do 802.1x.

• Se o registro automático com o CA falha quando se junta ao domínio, verifique o visualizador de eventos para ver se há razões possíveis.

• Se o perfil de usuário do cliente Wireless não tem um certificado válido, você pode ainda entrar à máquina e ao domínio se a senha está correta, mas notar que a conexão Wireless não terá a Conectividade.

• Se o certificado ACS no cliente Wireless é inválido (de que depende do certificado válido “” e “” às datas, aos ajustes da data e hora do cliente, e à confiança CA), a seguir o cliente rejeitá-la-á e a autenticação falhará. O ACS registrará a autenticação falha na interface da WEB sob relatórios e atividade > falhas de tentativa > XXX.csv das falhas de tentativa com o Código de falha da autenticação similar ao “EAP-TLS ou a autenticação de PEAP falhada durante o aperto de mão SSL.” O Mensagem de Erro previsto no arquivo de CSAuth.log é similar a esta mensagem:

  AUTH 06/04/2003 14:56:41 E 0345 1644 EAP: buildEAPRequestMsg: 
  other side probably didn't accept our certificate

• Se o certificado de cliente no ACS é inválido (de que depende do certificado válido “” e “” às datas, aos ajustes da data e hora do server, e à confiança CA), a seguir o server rejeitá-la-á e a autenticação falhará. O ACS registrará a autenticação falha na interface da WEB sob relatórios e atividade > falhas de tentativa > XXX.csv das falhas de tentativa com o Código de falha da autenticação similar ao “EAP-TLS ou a autenticação de PEAP falhada durante o aperto de mão SSL.” Se o ACS rejeita o certificado de cliente porque o ACS não confia o CA, o Mensagem de Erro previsto no arquivo de CSAuth.log é similar a esta mensagem:

  AUTH 06/04/2003 15:47:43 E 0345 1696 EAP: ProcessResponse:
  SSL handshake failed, status = 3 (SSL alert fatal:unknown CA certificate)

  Se o ACS rejeita o certificado de cliente porque o certificado expirou, o Mensagem de Erro previsto no arquivo de CSAuth.log é similar a esta mensagem:

  AUTH 06/04/2005 15:02:08 E 0345 1692 EAP: ProcessResponse:
  SSL handshake failed, status = 3 (SSL alert fatal:certificate expired)

• No entra a interface da WEB ACS, sob ambos os relatórios e a atividade > autenticações passadas > XXX.csv das autenticações e atividade de Reportsand > falhas de tentativa > XXX.csv passados das falhas de tentativa, autenticações EAP-TLS é mostrada no <user-id>@<domain> do formato. As autenticações de PEAP são mostradas no formato <DOMAIN> \ <user-id>.

• Você pode verificar o certificado e a confiança do servidor ACS seguindo as etapas descritas abaixo.

  1. Inicie a sessão no Windows no servidor ACS com uma conta que tenha privilégios de administrador.

  2. Vá ao começo > sido executado, datilografe o mmc, e clique a APROVAÇÃO a fim abrir o Microsoft Management Console.

  3. Na barra de menus, vá ao > Add do console/remova Pressão-em, e o clique adiciona.

  4. Escolha Certificados, e o clique adiciona.

  5. Escolha a conta do computador, clique-a em seguida, e escolha-a então o computador local (o computador que este console está executando sobre).

  6. Clique em Finish, em Close e, em seguida, em OK.

  7. A fim verificar que o servidor ACS tem um certificado do lado de servidor válido, vá ao fundamento de console > aos Certificados (computador local) > pessoal > Certificados, e verifique que há um certificado para o servidor ACS (OurACS Nomeado neste exemplo).

  8. Abra o certificado, e verifique estes artigos:

     • Não há advertência quanto ao certificado não estar sendo verificado para todos os seus propósitos pretendidos.

     • Não há advertência sobre o certificado não ser confiável.

     • Este certificado tem como objetivo garantir a identidade de um computador remoto.

     • O certificado não expirou e se tornou válido (verificar datas válidas “de” e “para”).

     • “Você tem uma chave privada que corresponde a esse certificado.”

  9. Na guia Detalhes, verifique se o campo Versão tem o valor V3 e se o campo Enhanced Key Usage tem autenticação de servidor (1.3.6.1.5.5.7.3.1).

  10. A fim verificar que o servidor ACS confia o server CA, vá ao fundamento de console > aos Certificados (computador local) > Autoridades de certificação de raiz confiável > Certificados, e verifique que há um certificado para o server CA (nomeado nosso TAC CA neste exemplo).

  11. Abra o certificado, e verifique estes artigos:

      • Não há advertência quanto ao certificado não estar sendo verificado para todos os seus propósitos pretendidos.

      • Não há advertência sobre o certificado não ser confiável.

      • O propósito pretendido do certificado está correto.

      • O certificado não expirou e se tornou válido (verificar datas válidas “de” e “para”).

      Se o ACS e o cliente não utilizaram o mesmo CA raiz, verifique se toda a cadeia de certificados de servidores de CA foi instalada. O mesmo se aplica se o certificado for obtido a partir de uma autoridade subcertificada.

• Você pode verificar a confiança e o certificado da máquina do cliente móvel, seguindo os passos descritos abaixo.

  1. Inicie a sessão no Windows no servidor ACS com uma conta que tenha privilégios de administrador. Abra o Microsoft Management Console indo começar > mmc executado, de datilografia, e APROVAÇÃO de clique.

  2. Na barra de menus, vá ao > Add do console/remova Pressão-em, e clique então adicionam.

  3. Selecione Certificates e clique em Add.

  4. Selecione Conta do computador, clique em Avançar e selecione Computador local (o computador em que este console está executando).

  5. Clique em Finish, em Close e, em seguida, em OK.

  6. Verifique se a máquina possui um certificado válido do lado cliente. Se o certificado é inválido, a autenticação da máquina falhará. Para verificar o certificado, vá ao fundamento de console > aos Certificados (computador local) > pessoal > Certificados. Verifique que há um certificado para a máquina; o nome estará no formato <host-name>.<domain>. Abra o certificado e verifique os seguintes itens.

     • Não há advertência quanto ao certificado não estar sendo verificado para todos os seus propósitos pretendidos.

     • Não há advertência sobre o certificado não ser confiável.

     • "Este certificado tem a finalidade de – Prova sua identidade a computador remoto".

     • O certificado não expirou e se tornou válido (verificar datas válidas “de” e “para”).

     • “Você tem uma chave privada que corresponde a esse certificado.”

• Nos detalhes catalogue, verifique que o campo da versão tem o valor V3 e que o campo do Enhanced Key Usage contém pelo menos a authenticação do cliente do valor (1.3.6.1.5.5.7.3.2); as finalidades adicionais podem estar listadas. Assegure-se de que o campo de assunto contenha o valor NC = <host-nome >.<domain>; os valores adicionais podem estar listados. Verifique se o nome do host e domínio correspondem ao que está especificado no certificado.

• Para verificar que o perfil do cliente confia o server CA, vá ao fundamento de console > aos Certificados (usuário atual) > Autoridades de certificação de raiz confiável > Certificados. Verifique se há um certificado para o servidor de CA (nomeado “Our TAC CA” neste exemplo). Abra o certificado e verifique os seguintes itens.

  • Não há advertência quanto ao certificado não estar sendo verificado para todos os seus propósitos pretendidos.

  • Não há advertência sobre o certificado não ser confiável.

  • O propósito pretendido do certificado está correto.

  • O certificado não expirou e se tornou válido (verificar datas válidas “de” e “para”).

  Se o ACS e o cliente não utilizaram o mesmo CA raiz, verifique se toda a cadeia de certificados de servidores de CA foi instalada. O mesmo se aplica se o certificado for obtido a partir de uma autoridade subcertificada.

• Verifique os ajustes ACS como descrito em configurar o Cisco Secure ACS for Windows v3.2.

• Verifique os ajustes CA como descrito em configurar serviços certificados MS.

• Verifique os ajustes AP como descrito em configurar o ponto de acesso da Cisco.

• Verifique os ajustes do cliente Wireless como descrito em configurar o cliente Wireless.

• Verifique que a conta de usuário existe no base de dados interno do servidor AAA ou em um dos bases de dados externos configurados, e assegure-se de que a conta não esteja desabilitada.

• Os Certificados emitidos pelo CA construído no algoritmo de mistura segura 2 (SHA-2) não são compatíveis com Cisco Secure ACS desde que são desenvolvidos com Java que não apoia SHA-2 a partir de agora. A fim resolver esta edição, reinstale o CA e configurar-lo para emitir Certificados com SHA-1.

Informações Relacionadas

• Cisco Secure ACS para página de suporte do Windows
• Guia de distribuição EAP-TLS para redes de Wireless LAN
• Obtendo a versão e informações sobre a depuração AAA para o Cisco Secure ACS para Windows
• Suporte Técnico - Cisco Systems