Compreenda e configurar o EAP-TLS usando WLC e ISE

Introdução

Isto documenta descreve como estabelecer um Wireless Local Area Network (WLAN) com Segurança do 802.1x e com o uso do Extensible Authentication Protocol (EAP) - o Transport Layer Security (TLS).

  

Pré-requisitos

Requisitos

A Cisco recomenda que você tenha conhecimento destes tópicos:

• processo de autenticação do 802.1x
• Certificados

Componentes Utilizados

As informações neste documento são baseadas nestas versões de software e hardware:

• Versão 8.3 WLC 5508
• Versão 2.1 do Identity Services Engine (ISE)

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a rede estiver ativa, certifique-se de que você entenda o impacto potencial de qualquer comando.

Informações de Apoio

Fluxo do EAP-TLS

Etapas no fluxo do EAP-TLS

1. O cliente Wireless obtém associado com o Access Point (AP).

2. O AP não permite o cliente enviar neste momento nenhuns dados e envia um pedido de autenticação.

3. O suplicante responde então com uma identidade da EAP-resposta. O WLC comunica então a informação USER-identificação ao Authentication Server.

4. O servidor Radius responde de volta ao cliente com um pacote do começo do EAP-TLS. Os começos da conversação do EAP-TLS neste momento.

5. O par envia uma EAP-resposta de volta ao Authentication Server que contém uma mensagem do aperto de mão do “client_hello”, uma cifra que seja ajustada para o ZERO.

6. O Authentication Server responde com um pacote do Acesso-desafio que contenha:

TLS server_hello
handshake message
certificate
server_key_exchange
certificate request
server_hello_done. 

7. O cliente responde com uma mensagem da EAP-resposta que contenha:

Certificate ¬ Server can validate to verify that it is trusted.

client_key_exchange

certificate_verify ¬ Verifies the server is trusted

change_cipher_spec

TLS finished

8. Depois que o cliente autentica com sucesso, o servidor Radius responde com um Acesso-desafio, que contenha o “change_cipher_spec” e a mensagem terminada aperto de mão. Em cima de receber isto, o cliente verifica a mistura a fim autenticar o servidor Radius. Uma chave de criptografia nova é derivada dinamicamente do segredo mestre durante o handshake de TLS.

9. Neste momento, o cliente Wireless permitido EAP-TLS pode alcançar a rede Wireless.

Configurar

Controlador de LAN do Cisco Wireless

Etapa1. A primeira etapa é configurar o servidor Radius em Cisco WLC. A fim adicionar um servidor Radius, navegue à Segurança > ao RAIO > à autenticação. Clique novo segundo as indicações da imagem.

Etapa 2. Aqui, você precisa de entrar no IP address e no <password> secreto compartilhado que é usado a fim validar o WLC no ISE. O clique aplica-se a fim continuar segundo as indicações da imagem.

Etapa 3. Crie o WLAN para a autenticação RADIUS.

Agora, você pode criar um WLAN novo e configurar-lo para usar o modo da WPA-empresa, assim que pode usar o RAIO para a autenticação.

Etapa 4. Selecione WLAN do menu principal, escolha-os criam novo e o clique vai segundo as indicações da imagem.

Etapa 5. Deixe-nos nomear o WLAN novo EAP. O clique aplica-se a fim continuar segundo as indicações da imagem.

Etapa 6. Clique o general e assegure-se de que o estado esteja permitido. As políticas de segurança padrão são autenticação do 802.1X e WPA2 segundo as indicações da imagem.

Passo 7. Agora, navegue à Segurança > aos servidores AAA aba, selecionam o servidor Radius que você apenas configurou e segundo as indicações da imagem.

Nota: É uma boa ideia verificar que você pode alcançar o servidor Radius do WLC antes que você continue. O RAIO usa a porta 1812 UDP (para a autenticação), assim que você precisa de assegurar-se de que este tráfego não obtenha obstruído em qualquer lugar na rede.

ISE com Cisco WLC

Ajustes do EAP-TLS

  

A fim construir a política, você precisa de criar a lista permitida do protocolo para usar-se em nossa política. Desde que uma política do dot1x é escrita, especifique o tipo permitido EAP baseado em como a política é configurada.

Se você usa o padrão, você permite a maioria de tipos EAP para a autenticação que não pôde ser preferida se você precisa de travar abaixo do acesso a um tipo específico EAP.

Etapa 1. Navegue o toPolicy > os elementos > os resultados > a autenticação da política > clickAdd permitido de Protocolsand segundo as indicações da imagem.

  

Etapa 2. Nesta lista permitida do protocolo, você pode dar entrada com o nome para a lista. Neste caso, permita a caixa do EAP-TLS é verificado e outras caixas são não-verificados segundo as indicações da imagem. 

Ajustes WLC no ISE

Etapa 1. Abra o console ISE e navegue ao > Add da administração > dos recursos de rede > dos dispositivos de rede segundo as indicações da imagem.

Etapa 2. Incorpore os valores segundo as indicações da imagem.

  

Crie o novo usuário no ISE

Etapa 1. Navegue ao > Add da administração > do Gerenciamento de identidades > das identidades > dos usuários segundo as indicações da imagem.

Etapa 2. Incorpore a informação segundo as indicações da imagem.

Certificado de confiança no ISE

Etapa 1. Navegue à administração > ao sistema > aos Certificados > ao gerenciamento certificado > aos certificados confiáveis.

Clique a importação a fim importar um certificado ao ISE. Uma vez que você adiciona um WLC e cria um usuário no ISE, você precisa de fazer a maioria de parte importante de EAP-TLS que é confiar o certificado no ISE. Para isso nós precisamos de gerar o CSR.

Etapa 2. Navegue a Administrauon > a Certificados > a solicitações de assinatura de certificado > gerenciem as solicitações de assinatura de certificado (CSR) segundo as indicações da imagem.

Etapa 3. A fim gerar o CSR, navegue ao uso e dos certificados será usado para deixam cair para baixo a autenticação de EAP seleta das opções segundo as indicações da imagem.

Etapa 4. O CSR gerado no ISE pode ser visto. Opinião do clique segundo as indicações da imagem.

Etapa 5. Uma vez que o CSR é gerado, consulte para o server CA e clique o pedido um certificado segundo as indicações da imagem:

Etapa 6. Uma vez que você pede um certificado, você obtém opções para o certificado de usuário e o pedido do certificado avançado, clica pedido do certificado avançado segundo as indicações da imagem.

Etapa 7. Cole o CSR gerado no pedido do certificado codificado Base-64. Do molde de certificado: deixe cair para baixo a opção, escolha o servidor de Web e o clique submete-se segundo as indicações da imagem.

Etapa 8. Uma vez que você clique se submete, você consegue a opção selecionar o tipo de certificado, de Base-64 seleto codificado e de certificate chain da transferência do clique segundo as indicações da imagem.

Etapa 9. A transferência do certificado é terminada para o server ISE. Você pode extrair o certificado, o certificado conterá dois Certificados, um certificado de raiz e o outro intermediário. O certificado de raiz pode ser importado sob a administração > Certifictes > certificados confiáveis > importação segundo as indicações das imagens.

Etapa 10. Uma vez que você clique se submete, o certificado está adicionado à lista do certificado confiável. Também, o certificado intermediário é precisado a fim ligar com o CSR segundo as indicações da imagem.

Etapa 11. Uma vez que você clica sobre o certificado do ligamento, há uma opção para escolher o arquivo certificado salvar em seu desktop. Consulte ao certificado intermediário e o clique submete-se segundo as indicações da imagem.

Etapa 12. A fim ver o certificado, navegue à administração > aos Certificados > aos Certificados do sistema segundo as indicações da imagem.

Cliente para o EAP-TLS

Certificado de usuário da transferência na máquina cliente (área de trabalho do Windows)

Etapa 1. A fim autenticar um usuário Wireless com o EAP-TLS, você tem que gerar um certificado de cliente. Conecte seu computador Windows à rede de modo que você possa alcançar o server. Abra um web browser e incorpore este endereço: ADDR IP de https://sever/certsrv---

Etapa 2. Note que o CA deve ser o mesmo com que o certificado foi transferido para o ISE.

Para isto, você precisa de consultar para o mesmo server CA que você se usou para transferir o certificado para o server. No mesmo CA, pedido do clique um certificado como feito previamente, porém esta vez você precisa de selecionar o usuário como o molde de certificado segundo as indicações da imagem.

Etapa 3. Então, certificate chain da transferência do clique como foi feito previamente para o server.

Uma vez que você obtém os Certificados, siga estas etapas a fim importar o certificado no portátil dos indicadores:

Etapa 4. A fim importar o certificado, você precisa de alcançá-lo do Microsoft Management Console (MMC).

1. A fim abrir o MMC navegue para começar > sido executado > MMC.
2. Navegue para arquivar o > Add/remova a pressão dentro
3. Fazer duplo clique Certificados.
4. Conta de SelectComputer.
5. Computador local seleto > revestimento
6. APROVAÇÃO do clique a fim retirar Pressão-no indicador.
7. Clique o [+] ao lado dos Certificados > pessoal > Certificados.
8. Direito - clique sobre Certificados e selecione todas as tarefas > importação.
9. Clique em Next.
10. O clique consulta.
11. Selecione .cer, o .crt, ou o .pfx que você gostaria de importar. 
12. Clique aberto.
13. Clique em Next.
14. Selecione automaticamente seleto a loja do certificado baseada no tipo de certificado.
15. Clique o revestimento & a APROVAÇÃO

A importação do certificado é feita uma vez, você precisa de configurar seu cliente Wireless (área de trabalho do Windows neste exemplo) para o EAP-TLS.

Perfil sem fio para o EAP-TLS

Etapa 1. Mude o perfil sem fio que foi criado mais cedo para o protocolo extensible authentication protegido (PEAP) a fim usar pelo contrário o EAP-TLS. Clique o perfil do Sem fio EAP.

  

Etapa 2. Selecione Microsoft: Placa inteligente ou a outra APROVAÇÃO do certificado e do clique mostrada na imagem.

Etapa 3. Clique ajustes e selecione o certificado de raiz emitido do server CA segundo as indicações da imagem.

Etapa 4. Clique ajustes avançados e selecione a autenticação do usuário ou do computador da aba dos ajustes do 802.1x segundo as indicações da imagem.

Etapa 5. Agora, tente conectar outra vez à rede Wireless, selecionam o perfil correto (EAP neste exemplo) e conectam-no. Você é conectado à rede Wireless segundo as indicações da imagem.

Verificar

Use esta seção para confirmar se a sua configuração funciona corretamente.

Etapa1. O estado do gerente da política do cliente deve mostrar como SIDO EXECUTADO. Isto significa que o cliente terminou a autenticação, IP address obtido e está pronto para passar o tráfego mostrado na imagem.

Etapa 2. Igualmente verifique o método de EAP correto em WLC na página dos detalhes do cliente segundo as indicações da imagem.

Etapa 3. Está aqui o detalhe do cliente do CLI do controlador (saída grampeada):

(Cisco Controller-Standby) >show client detail 34:02:86:96:2f:b7
Client MAC Address............................... 34:02:86:96:2f:b7
Client Username ................................. Administrator
AP MAC Address................................... 00:d7:8f:52:db:a0
AP Name.......................................... Alpha2802_3rdfloor 
AP radio slot Id................................. 0 
Client State..................................... Associated 
Wireless LAN Id.................................. 5 
Wireless LAN Network Name (SSID)................. EAP
Wireless LAN Profile Name........................ EAP
Hotspot (802.11u)................................ Not Supported
BSSID............................................ 00:d7:8f:52:db:a4 
Connected For ................................... 48 secs
Channel.......................................... 1 
IP Address....................................... 10.106.32.239
Gateway Address.................................. 10.106.32.1
Netmask.......................................... 255.255.255.0
Policy Manager State............................. RUN
Policy Type...................................... WPA2
Authentication Key Management.................... 802.1x
Encryption Cipher................................ CCMP-128 (AES)
Protected Management Frame ...................... No
Management Frame Protection...................... No
EAP Type......................................... EAP-TLS

Etapa 4. No ISE, navegue ao contexto Visbility > pontos finais > atributos segundo as indicações das imagens.

Troubleshooting

Atualmente, não existem informações disponíveis específicas sobre Troubleshooting para esta configuração.