Contents
IntroductionPrerequisitesRequirementsComponents Used背景信息EAP-TLS流在EAP-TLS流的步骤ConfigureCisco Mobility Express与Cisco Mobility Express的ISEEAP-TLS设置移动性在ISE的Express设置在ISE的信任认证EAP-TLS的客户端在客户端机器(Windows桌面)的下载用户证书EAP-TLS的无线配置文件VerifyTroubleshoot
Introduction
本文描述如何设置一个无线局域网(WLAN)以在移动性Express控制器的802.1x安全。本文特别地也解释使用可扩展的认证协议(EAP) -传输层安全(TLS)。
Prerequisites
Requirements
Cisco 建议您了解以下主题:
- 移动性Express初始建立
- 802.1x认证过程
- 证书
Components Used
本文档中的信息基于以下软件和硬件版本:
- WLC 5508版本8.5
- 身份服务引擎(ISE)版本2.1
The information in this document was created from the devices in a specific lab environment.All of the devices used in this document started with a cleared (default) configuration.如果您的网络处于活动状态,请确保您了解所有命令的潜在影响。
背景信息
EAP-TLS流
在EAP-TLS流的步骤
- 无线客户端与接入点(AP)有关联。
- AP不允许客户端这时发送任何数据并且发送认证请求。
- 请求方然后回应EAP回应身份。WLC然后传达用户ID信息到认证服务器。
- RADIUS服务器回应回到有EAP-TLS启动信息包的客户端。EAP-TLS会话这时开始。
- 对等体送回一种EAP回应到包含一个“client_hello”握手消息的认证服务器,为NULL设置的密码。
- 认证服务器回应包含的访问挑战信息包:
TLS server_hello handshake message certificate server_key_exchange certificate request server_hello_done.
- 客户端回应包含的EAP回应消息:
Certificate ¬ Server can validate to verify that it is trusted. client_key_exchange certificate_verify ¬ Verifies the server is trusted change_cipher_spec TLS finished
- 在客户端成功后验证, RADIUS服务器回应访问挑战,包含“change_cipher_spec”和握手被完成的消息。当接受此后,客户端验证哈希为了验证RADIUS服务器。在TLS握手期间,新的加密密钥从主机密动态地派生。
- 这时, EAP-TLS被启用的无线客户端能访问无线网络。
Configure
Cisco Mobility Express
第 1 步:第一步将创建在移动性Express的一WLAN。如镜像所显示,为了创建WLAN,请连接对WLAN >Add新的WLAN。
Step 2.一旦点击添加新的WLAN,一个新的弹出窗口将出现。如镜像所显示,为了创建配置文件名字,请连接添加新的WLAN >General。
步骤3.如镜像所显示,配置认证类型作为802.1x的WPA企业并且配置RADIUS服务器下添加新的WLAN > WLAN安全。
步骤4.点击添加RADIUS验证服务器并且提供RADIUS服务器的IP地址,并且必须完全地匹配的共有的秘密什么在ISE被配置了然后点击如镜像所显示,适用。
与Cisco Mobility Express的ISE
EAP-TLS设置
为了建立策略,您在您的策略需要建立允许的协议列表使用。因为dot1x策略被写,请指定根据如何的允许的EAP类型配置策略。
如果使用默认值,您允许也许不被偏好的认证的多数EAP类型是否需要锁定在对一种特定EAP类型的访问下。
步骤1.如镜像所显示,连接对策略>Policy元素>结果>认证>允许的协议并且点击添加。
Step 2.在此允许的协议列表,您能输入名字对于列表。在这种情况下,请允许EAP-TLS机箱被检查如镜像所显示,并且其他机箱非选定。
移动性在ISE的Express设置
步骤1.如镜像所显示,打开ISE控制台并且连接对Administration >网络资源>网络Devices > Add。
步骤2.如镜像所显示,输入信息。
在ISE的信任认证
步骤1.连接对管理>System >证书> Certificate Management >信任证书。
点击导入为了导入认证ISE。一旦添加一WLC并且创建ISE的一个用户,您需要执行是委托在ISE的认证EAP-TLS的重要部分。为此,您需要生成CSR。
步骤2.如镜像所显示,连接对Administrauon >证书>认证署名请求>生成Certificate Signing Requests (CSR)。
步骤3.为了生成CSR,请连接对使用方法如镜像所显示,并且从认证将使用为下降下来选项挑选EAP验证。
第 4 步:在ISE生成的CSR可以查看。如镜像所显示,点击视图。
第 5 步:一旦CSR生成,如镜像所显示,为CA服务器请访问并且点击请求认证:
第6.步。一旦请求认证,您获得用户证书的选项如镜像所显示,并且先进的证书请求,点击先进的证书请求。
步骤7.粘贴在Base-64编码的证书请求生成的CSR。从认证模板: 如镜像所显示,下降下来选项,选择Web服务器并且点击提交。
第8.步。一旦点击提交,您获得中的选项,选择Base-64编码的认证的种类,并且如镜像所显示,请点击下载证书链。
第9.步。认证下载为ISE服务器完成。您能提取认证,认证将包含两证书、一个根证明和其他中间。如镜像所显示,根证明可以被导入在Administration > Certifictes >信任证书>导入下。
第10.步。一旦点击请提交,认证被添加到信任证书列表。并且,如镜像所显示,中间证书是需要的为了捆绑与CSR。
第11.步。一旦点击捆绑认证,有证书文件在您的桌面保存的选择的选项。如镜像所显示,访问对中间证书并且点击提交。
步骤12。如镜像所显示,为了查看认证,连接对Administration >证书>System证书。
EAP-TLS的客户端
在客户端机器(Windows桌面)的下载用户证书
步骤1.为了通过EAP-TLS验证无线用户,您必须生成客户端证书。连接您的Windows计算机到网络,以便您能访问服务器。打开Web浏览器并且输入此地址:https://sever ip地址/certsrv—
Step 2.注意CA必须是认证为ISE下载的相同的。
对于此,您需要为您使用下载服务器的认证的同一个CA服务器访问。在同样CA,请点击请求认证如以前执行,如镜像所显示,然而这次您需要选择用户作为认证模板。
第 3 步:然后,请点击下载证书链和为服务器以前执行。
一旦获得证书,请遵从这些步骤为了导入在窗口膝上型计算机的认证。
步骤4.为了导入认证,您需要从微软管理控制台(MMC)访问它。
- 为了打开MMC请连接对Start > Run > MMC。
- 连接对File>添加/去除短冷期
- 双击证书。
- 选择计算机帐户。
- 选择本地计算机>完成
- 点击OK键为了退出卡扣式窗口。
- 在证书旁边点击[+] >私有>证书。
- 用鼠标右键单击在证书并且选择所有任务>导入。
- 单击 Next。
- 点击访问。
- 选择您希望导入的.cer、.crt或者.pfx。
- 点击开放。
- 单击 Next。
- 自动地选择精选根据认证的种类的证书存储。
- 点击完成& OK
一旦认证导入完成,您需要配置您的无线客户端(在本例中的Windows桌面) EAP-TLS的。
EAP-TLS的无线配置文件
步骤1.更改为Protected Extensible Authentication Protocol (PEAP)被创建前为了使用EAP-TLS的无线配置文件。点击EAP无线配置文件。
步骤2.选择Microsoft :如镜像所显示,智能卡或其他认证和点击OK键。
步骤3.点击设置并且选择根证明被发行从CA服务器如镜像所显示。
步骤4.点击先进的设置并且选择用户或计算机认证从802.1x Settings选项如镜像所显示。
第 5 步:现在,请设法再连接到无线网络,选择正确的配置文件(在本例中的EAP)并且连接。如镜像所显示,您被联络到无线网络。
Verify
使用本部分可确认配置能否正常运行。
第 1 步:客户端EAP类型必须是EAP-TLS。这意味着如镜像所显示,客户端完成了认证,与使用EAP-TLS,获得的IP地址并且准备通过数据流。
Step 2.这是从控制器(截去的输出的) CLI的客户端详细资料:
(Cisco Controller) >?show client detail 34:02:86:96:2f:b7 Client MAC Address............................... 34:02:86:96:2f:b7 Client Username ................................. Administrator AP MAC Address................................... c8:f9:f9:83:47:b0 AP Name.......................................... AP442b.03a9.7f72 AP radio slot Id................................. 1 Client State..................................... Associated Client User Group................................ Administrator Client NAC OOB State............................. Access Wireless LAN Id.................................. 6 Wireless LAN Network Name (SSID)................. ME_EAP Wireless LAN Profile Name........................ ME_EAP Hotspot (802.11u)................................ Not Supported BSSID............................................ c8:f9:f9:83:47:ba Connected For ................................... 18 secs Channel.......................................... 56 IP Address....................................... 10.127.209.55 Gateway Address.................................. 10.127.209.49 Netmask.......................................... 255.255.255.240 IPv6 Address..................................... fe80::2818:15a4:65f9:842 --More-- or (q)uit Security Policy Completed........................ Yes Policy Manager State............................. RUN Policy Type...................................... WPA2 Authentication Key Management.................... 802.1x Encryption Cipher................................ CCMP-128 (AES) Protected Management Frame ...................... No Management Frame Protection...................... No EAP Type......................................... EAP-TLS
第 3 步:如镜像所显示,在ISE,请连接对上下文Visbility >端点>属性。
Troubleshoot
目前没有针对此配置的故障排除信息。
评论