Introduction
Este documento descreve como configurar uma WLAN (Wireless Local Area Network) com segurança 802.1x e com o uso do EAP (Extensible Authentication Protocol) - TLS (Transport Layer Security).
Prerequisites
Requirements
A Cisco recomenda que você tenha conhecimento destes tópicos:
- processo de autenticação 802.1X
- Certificados
Componentes Utilizados
As informações neste documento são baseadas nestas versões de software e hardware:
- WLC 5508 versão 8.3
- Identity Services Engine (ISE) versão 2.1
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Se a rede estiver ativa, certifique-se de que você entenda o impacto potencial de qualquer comando.
Informações de Apoio
Fluxo EAP-TLS

Etapas do fluxo EAP-TLS
- O cliente sem fio é associado ao ponto de acesso (AP).
- O AP não permite que o cliente envie dados neste momento e envia uma solicitação de autenticação.
- Em seguida, o requerente responde com uma identidade EAP-Response. Em seguida, a WLC comunica as informações de ID de usuário ao Servidor de autenticação.
- O servidor RADIUS responde de volta ao cliente com um pacote de início EAP-TLS. A conversação EAP-TLS começa neste ponto.
- O peer envia uma Resposta EAP de volta ao servidor de autenticação que contém uma mensagem de handshake "client_hello", uma cifra definida para NULL.
- O servidor de autenticação responde com um pacote de desafio de acesso que contém:
TLS server_hello
handshake message
certificate
server_key_exchange
certificate request
server_hello_done.
- O cliente responde com uma mensagem EAP-Response que contém:
Certificate ¬ Server can validate to verify that it is trusted.
client_key_exchange
certificate_verify ¬ Verifies the server is trusted
change_cipher_spec
TLS finished
- Depois que o cliente se autentica com êxito, o servidor RADIUS responde com um desafio de acesso, que contém a mensagem "change_cipher_spec" e handshake concluído. Ao receber isso, o cliente verifica o hash para autenticar o servidor radius. Uma nova chave de criptografia é derivada dinamicamente do segredo durante o handshake TLS.
- Neste ponto, o cliente sem fio EAP-TLS ativado pode acessar a rede sem fio.
Configurar
Controlador de LAN sem fio da Cisco
Etapa 1. A primeira etapa é configurar o servidor RADIUS no Cisco WLC. Para adicionar um servidor RADIUS, navegue até Security > RADIUS > Authentication. Clique em Novo conforme mostrado na imagem.

Etapa 2. Aqui, você precisa digitar o endereço IP e o segredo compartilhado <password> que é usado para validar a WLC no ISE. Clique em Apply para continuar como mostrado na imagem.

Etapa 3. Criar WLAN para autenticação RADIUS.
Agora, você pode criar uma nova WLAN e configurá-la para usar o modo WPA-enterprise, para que ela possa usar RADIUS para autenticação.
Etapa 4. Selecione WLANs no menu principal, escolha Create New e clique em Go como mostrado na imagem.

Etapa 5. Nomeie o novo WLAN EAP. Clique em Apply para continuar como mostrado na imagem.

Etapa 6. Clique em Geral e verifique se o Status está Habilitado. As políticas de segurança padrão são a autenticação 802.1X e WPA2, como mostrado na imagem.

Passo 7. Agora, navegue até a guia Security > AAA Servers, selecione o servidor RADIUS que você acabou de configurar e como mostrado na imagem.

Note: É recomendável verificar se você pode acessar o servidor RADIUS da WLC antes de continuar. O RADIUS usa a porta UDP 1812 (para autenticação), portanto, você precisa garantir que esse tráfego não seja bloqueado em nenhum lugar da rede.
ISE com Cisco WLC
Configurações EAP-TLS
Para criar a política, você precisa criar a lista de protocolos permitidos para usar em nossa política. Como uma política dot1x é gravada, especifique o tipo de EAP permitido com base em como a política é configurada.
Se você usar o padrão, você permitirá a maioria dos tipos de EAP para autenticação que não são preferenciais se precisar bloquear o acesso a um tipo específico de EAP.
Etapa 1. Navegue paraPolítica > Elementos de política > Resultados > Autenticação > Protocolos permitidos e clique emAdicionar conforme mostrado na imagem.

Etapa 2. Nessa lista de Protocolos Permitidos, você pode digitar o nome da lista. Nesse caso, a caixa Permitir EAP-TLS está marcada e outras caixas estão desmarcadas, como mostrado na imagem.

Configurações de WLC no ISE
Etapa 1. Abra o console do ISE e navegue até Administration > Network Resources > Network Devices > Add, como mostrado na imagem.

Etapa 2. Insira os valores como mostrado na imagem.

Criar novo usuário no ISE
Etapa 1. Navegue até Administração > Gerenciamento de identidade > Identidades > Usuários > Adicionar , conforme mostrado na imagem.

Etapa 2. Insira as informações conforme mostrado na imagem.

Certificado de Confiança no ISE
Etapa 1. Navegue até Administração > Sistema > Certificados > Gerenciamento de Certificados > Certificados Confiáveis.
Clique em Importar para importar um certificado para o ISE. Depois de adicionar uma WLC e criar um usuário no ISE, você precisa fazer a parte mais importante do EAP-TLS que é confiar no certificado no ISE. Para isso, precisamos gerar CSR.
Etapa 2. Navegue até Administrador > Certificados > Solicitações de assinatura de certificado > Gerar solicitações de assinatura de certificado (CSR) conforme mostrado na imagem.

Etapa 3. Para gerar CSR, navegue até Usage e, a partir dos certificados, os certificados são usados para as opções suspensas, selecione EAP Authentication como mostrado na imagem.

Etapa 4. O CSR gerado no ISE pode ser visualizado. Clique em Exibir conforme mostrado na imagem.

Etapa 5. Depois que o CSR for gerado, procure o servidor CA e clique em Solicitar um certificado conforme mostrado na imagem:

Etapa 6. Depois de solicitar um certificado, você obtém opções para Certificado do usuário e solicitação de certificado avançado, clique em solicitação de certificado avançado como mostrado na imagem.

Passo 7. Cole o CSR gerado na solicitação de certificado codificada em Base 64. Do Modelo de Certificado: selecione Servidor Web e clique em Enviar conforme mostrado na imagem.

Etapa 8. Depois de clicar em Enviar, você terá a opção de selecionar o tipo de certificado, selecionar Base 64 codificado e clicar em Baixar cadeia de certificados como mostrado na imagem.

Etapa 9. O download do certificado foi concluído para o servidor ISE. Você pode extrair o certificado, o certificado contém dois certificados, um certificado raiz e outro intermediário. O certificado raiz pode ser importado em Administração > Certificados > Certificados Confiáveis > Importar como mostrado nas imagens.


Etapa 10. Depois de clicar em Enviar, o certificado é adicionado à lista de certificados fidedignos. Além disso, o certificado intermediário é necessário para se vincular ao CSR, como mostrado na imagem.

Etapa 11. Depois de clicar em Vincular certificado, há uma opção para escolher o arquivo de certificado salvo em sua área de trabalho. Navegue até o certificado intermediário e clique em Enviar conforme mostrado na imagem.

Etapa 12. Para visualizar o certificado, navegue para Administração > Certificados > Certificados do Sistema, conforme mostrado na imagem.

Cliente para EAP-TLS
Fazer download do certificado do usuário na máquina cliente (Windows Desktop)
Etapa 1. Para autenticar um usuário sem fio por meio do EAP-TLS, você precisa gerar um certificado de cliente. Conecte seu computador Windows à rede para que você possa acessar o servidor. Abra um navegador da Web e digite este endereço: https://sever ip addr/certsrv—
Etapa 2. Observe que a CA deve ser a mesma com a qual o certificado foi baixado para o ISE.
Para isso, você precisa procurar o mesmo servidor CA que você usou para baixar o certificado para o servidor. Na mesma CA, clique em Solicitar um certificado como feito anteriormente, mas desta vez você precisa selecionar Usuário como o Modelo de certificado como mostrado na imagem.

Etapa 3. Em seguida, clique em baixar a cadeia de certificados como foi feito anteriormente para o servidor.
Depois de obter os certificados, siga estas etapas para importar o certificado no windows laptop:
Etapa 4. Para importar o certificado, você precisa acessá-lo do Console de Gerenciamento da Microsoft (MMC).
- Para abrir o MMC, navegue até Start > Run > MMC.
- Navegue até Arquivo > Adicionar/remover snap-in
- Clique Duas Vezes Em Certificados.
- SelecioneConta do computador.
- Selecione Computador local > Concluir
- Clique em OK para sair da janela Snap-In.
- Clique em [+] ao lado de Certificados > Pessoal > Certificados.
- Clique com o botão direito em Certificados e selecione Todas as Tarefas > Importar.
- Clique em Next.
- Clique em Procurar.
- Selecione o .cer, .crt ou .pfx que deseja importar.
- Clique em Abrir.
- Clique em Next.
- Selecione Selecionar automaticamente o arquivo de certificados com base no tipo de certificado.
- Clique em Concluir e OK
Quando a importação do certificado estiver concluída, você precisará configurar seu cliente sem fio (desktop do windows neste exemplo) para EAP-TLS.
Perfil sem fio para EAP-TLS
Etapa 1. Altere o perfil sem fios criado anteriormente para o Protected Extensible Authentication Protocol (PEAP) para utilizar o EAP-TLS. Clique em EAP wireless profile.
Etapa 2. Selecione Microsoft: Smart Card ou outro certificado e clique em OK mostrado na imagem.

Etapa 3. Clique em configurações e selecione o certificado raiz emitido do servidor CA como mostrado na imagem.

Etapa 4. Clique em Configurações avançadas e selecione Autenticação de usuário ou computador na guia Configurações 802.1x, conforme mostrado na imagem.

Etapa 5. Agora, tente se conectar novamente à rede sem fio, selecione o perfil correto (EAP neste exemplo) e Conecte. Você está conectado à rede sem fio conforme mostrado na imagem.

Verificar
Use esta seção para confirmar se a sua configuração funciona corretamente.
Etapa 1. O estado do gerenciador de políticas do cliente deve ser exibido como RUN. Isso significa que o cliente concluiu a autenticação, obteve o endereço IP e está pronto para passar o tráfego mostrado na imagem.

Etapa 2. Verifique também o método EAP correto na WLC na página de detalhes do cliente, conforme mostrado na imagem.

Etapa 3. Aqui estão os detalhes do cliente da CLI da controladora (saída recortada):
(Cisco Controller-Standby) >show client detail 34:02:86:96:2f:b7
Client MAC Address............................... 34:02:86:96:2f:b7
Client Username ................................. Administrator
AP MAC Address................................... 00:d7:8f:52:db:a0
AP Name.......................................... Alpha2802_3rdfloor
AP radio slot Id................................. 0
Client State..................................... Associated
Wireless LAN Id.................................. 5
Wireless LAN Network Name (SSID)................. EAP
Wireless LAN Profile Name........................ EAP
Hotspot (802.11u)................................ Not Supported
BSSID............................................ 00:d7:8f:52:db:a4
Connected For ................................... 48 secs
Channel.......................................... 1
IP Address....................................... 10.106.32.239
Gateway Address.................................. 10.106.32.1
Netmask.......................................... 255.255.255.0
Policy Manager State............................. RUN
Policy Type...................................... WPA2
Authentication Key Management.................... 802.1x
Encryption Cipher................................ CCMP-128 (AES)
Protected Management Frame ...................... No
Management Frame Protection...................... No
EAP Type......................................... EAP-TLS
Etapa 4. No ISE, navegue até Context Visbility > End Points > Attributes, como mostrado nas imagens.



Troubleshoot
Atualmente, não existem informações disponíveis específicas sobre Troubleshooting para esta configuração.