本文转自:https://www.cisco.com/c/zh_cn/support/docs/wireless/mobility-express/213579-understand-and-configure-eap-tls-with-mo.html

Contents

IntroductionPrerequisitesRequirementsComponents Used背景信息EAP-TLS流在EAP-TLS流的步骤ConfigureCisco Mobility Express与Cisco Mobility Express的ISEEAP-TLS设置移动性在ISE的Express设置在ISE的信任认证EAP-TLS的客户端在客户端机器(Windows桌面)的下载用户证书EAP-TLS的无线配置文件VerifyTroubleshoot

Introduction

本文描述如何设置一个无线局域网(WLAN)以在移动性Express控制器的802.1x安全。本文特别地也解释使用可扩展的认证协议(EAP) -传输层安全(TLS)。

Prerequisites

Requirements

Cisco 建议您了解以下主题:

  • 移动性Express初始建立
  • 802.1x认证过程
  • 证书

Components Used

本文档中的信息基于以下软件和硬件版本:

  • WLC 5508版本8.5
  • 身份服务引擎(ISE)版本2.1

The information in this document was created from the devices in a specific lab environment.All of the devices used in this document started with a cleared (default) configuration.如果您的网络处于活动状态,请确保您了解所有命令的潜在影响。

背景信息

EAP-TLS流

213579-understand-and-configure-eap-tls-with-mo-00.png

在EAP-TLS流的步骤

  1. 无线客户端与接入点(AP)有关联。
  2. AP不允许客户端这时发送任何数据并且发送认证请求。
  3. 请求方然后回应EAP回应身份。WLC然后传达用户ID信息到认证服务器。
  4. RADIUS服务器回应回到有EAP-TLS启动信息包的客户端。EAP-TLS会话这时开始。
  5. 对等体送回一种EAP回应到包含一个“client_hello”握手消息的认证服务器,为NULL设置的密码。
  6. 认证服务器回应包含的访问挑战信息包:
TLS server_hello
handshake message
certificate
server_key_exchange
certificate request
server_hello_done. 
  1. 客户端回应包含的EAP回应消息:
Certificate ¬ Server can validate to verify that it is trusted.

client_key_exchange

certificate_verify ¬ Verifies the server is trusted

change_cipher_spec

TLS finished
  1. 在客户端成功后验证, RADIUS服务器回应访问挑战,包含“change_cipher_spec”和握手被完成的消息。当接受此后,客户端验证哈希为了验证RADIUS服务器。在TLS握手期间,新的加密密钥从主机密动态地派生。
  2. 这时, EAP-TLS被启用的无线客户端能访问无线网络。

Configure

Cisco Mobility Express

第 1 步:第一步将创建在移动性Express的一WLAN。如镜像所显示,为了创建WLAN,请连接对WLAN >Add新的WLAN

213579-understand-and-configure-eap-tls-with-mo-01.png

Step 2.一旦点击添加新的WLAN,一个新的弹出窗口将出现。如镜像所显示,为了创建配置文件名字,请连接添加新的WLAN >General

213579-understand-and-configure-eap-tls-with-mo-02.png

步骤3.如镜像所显示,配置认证类型作为802.1x的WPA企业并且配置RADIUS服务器下添加新的WLAN > WLAN安全

213579-understand-and-configure-eap-tls-with-mo-03.png

步骤4.点击添加RADIUS验证服务器并且提供RADIUS服务器的IP地址,并且必须完全地匹配的共有的秘密什么在ISE被配置了然后点击如镜像所显示,适用

213579-understand-and-configure-eap-tls-with-mo-04.png

与Cisco Mobility Express的ISE

EAP-TLS设置

为了建立策略,您在您的策略需要建立允许的协议列表使用。因为dot1x策略被写,请指定根据如何的允许的EAP类型配置策略。

如果使用默认值,您允许也许不被偏好的认证的多数EAP类型是否需要锁定在对一种特定EAP类型的访问下。

步骤1.如镜像所显示,连接对策略>Policy元素>结果>认证>允许的协议并且点击添加

213579-understand-and-configure-eap-tls-with-mo-05.png

Step 2.在此允许的协议列表,您能输入名字对于列表。在这种情况下,请允许EAP-TLS机箱被检查如镜像所显示,并且其他机箱非选定。

213579-understand-and-configure-eap-tls-with-mo-06.png

移动性在ISE的Express设置

步骤1.如镜像所显示,打开ISE控制台并且连接对Administration >网络资源>网络Devices > Add

213579-understand-and-configure-eap-tls-with-mo-07.png

步骤2.如镜像所显示,输入信息。

213579-understand-and-configure-eap-tls-with-mo-08.png

在ISE的信任认证

步骤1.连接对管理>System >证书> Certificate Management >信任证书

点击导入为了导入认证ISE。一旦添加一WLC并且创建ISE的一个用户,您需要执行是委托在ISE的认证EAP-TLS的重要部分。为此,您需要生成CSR。

步骤2.如镜像所显示,连接对Administrauon >证书>认证署名请求>生成Certificate Signing Requests (CSR)

213579-understand-and-configure-eap-tls-with-mo-10.png

步骤3.为了生成CSR,请连接对使用方法如镜像所显示,并且从认证将使用为下降下来选项挑选EAP验证

213579-understand-and-configure-eap-tls-with-mo-11.png

第 4 步:在ISE生成的CSR可以查看。如镜像所显示,点击视图

213579-understand-and-configure-eap-tls-with-mo-12.png

第 5 步:一旦CSR生成,如镜像所显示,为CA服务器请访问并且点击请求认证

213579-understand-and-configure-eap-tls-with-mo-13.png

第6.步。一旦请求认证,您获得用户证书的选项如镜像所显示,并且先进的证书请求,点击先进的证书请求

213579-understand-and-configure-eap-tls-with-mo-14.png

步骤7.粘贴在Base-64编码的证书请求生成的CSR。从认证模板: 如镜像所显示,下降下来选项,选择Web服务器并且点击提交

213579-understand-and-configure-eap-tls-with-mo-15.png

第8.步。一旦点击提交,您获得中的选项,选择Base-64编码的认证的种类,并且如镜像所显示,请点击下载证书链

213579-understand-and-configure-eap-tls-with-mo-16.png

第9.步。认证下载为ISE服务器完成。您能提取认证,认证将包含两证书、一个根证明和其他中间。如镜像所显示,根证明可以被导入在Administration > Certifictes >信任证书>导入下

213579-understand-and-configure-eap-tls-with-mo-17.png
213579-understand-and-configure-eap-tls-with-mo-18.png

第10.步。一旦点击请提交,认证被添加到信任证书列表。并且,如镜像所显示,中间证书是需要的为了捆绑与CSR。

213579-understand-and-configure-eap-tls-with-mo-19.png

第11.步。一旦点击捆绑认证,有证书文件在您的桌面保存的选择的选项。如镜像所显示,访问对中间证书并且点击提交

213579-understand-and-configure-eap-tls-with-mo-20.png

步骤12。如镜像所显示,为了查看认证,连接对Administration >证书>System证书

213579-understand-and-configure-eap-tls-with-mo-21.png

EAP-TLS的客户端

在客户端机器(Windows桌面)的下载用户证书

步骤1.为了通过EAP-TLS验证无线用户,您必须生成客户端证书。连接您的Windows计算机到网络,以便您能访问服务器。打开Web浏览器并且输入此地址:https://sever ip地址/certsrv—

Step 2.注意CA必须是认证为ISE下载的相同的。

对于此,您需要为您使用下载服务器的认证的同一个CA服务器访问。在同样CA,请点击请求认证如以前执行,如镜像所显示,然而这次您需要选择用户作为认证模板。

213579-understand-and-configure-eap-tls-with-mo-22.png

第 3 步:然后,请点击下载证书链和为服务器以前执行。

一旦获得证书,请遵从这些步骤为了导入在窗口膝上型计算机的认证。

步骤4.为了导入认证,您需要从微软管理控制台(MMC)访问它。

  1. 为了打开MMC请连接对Start > Run > MMC
  2. 连接对File>添加/去除短冷期
  3. 双击证书
  4. 选择计算机帐户
  5. 选择本地计算机>完成
  6. 点击OK键为了退出卡扣式窗口。
  7. 证书旁边点击[+] >私有>证书
  8. 用鼠标右键单击在证书并且选择所有任务>导入
  9. 单击 Next
  10. 点击访问
  11. 选择您希望导入的.cer、.crt或者.pfx
  12. 点击开放
  13. 单击 Next
  14. 自动地选择精选根据认证的种类的证书存储
  15. 点击完成& OK

一旦认证导入完成,您需要配置您的无线客户端(在本例中的Windows桌面) EAP-TLS的。

EAP-TLS的无线配置文件

步骤1.更改为Protected Extensible Authentication Protocol (PEAP)被创建前为了使用EAP-TLS的无线配置文件。点击EAP无线配置文件

步骤2.选择Microsoft :如镜像所显示,智能卡或其他认证和点击OK键。

213579-understand-and-configure-eap-tls-with-mo-23.png

步骤3.点击设置并且选择根证明被发行从CA服务器如镜像所显示。

213579-understand-and-configure-eap-tls-with-mo-24.png

步骤4.点击先进的设置并且选择用户或计算机认证从802.1x Settings选项如镜像所显示。

213579-understand-and-configure-eap-tls-with-mo-25.png

第 5 步:现在,请设法再连接到无线网络,选择正确的配置文件(在本例中的EAP)并且连接。如镜像所显示,您被联络到无线网络。

213579-understand-and-configure-eap-tls-with-mo-26.png

Verify

使用本部分可确认配置能否正常运行。

第 1 步:客户端EAP类型必须是EAP-TLS。这意味着如镜像所显示,客户端完成了认证,与使用EAP-TLS,获得的IP地址并且准备通过数据流。

213579-understand-and-configure-eap-tls-with-mo-27.png
213579-understand-and-configure-eap-tls-with-mo-28.png

Step 2.这是从控制器(截去的输出的) CLI的客户端详细资料:

(Cisco Controller) >?show client detail 34:02:86:96:2f:b7
Client MAC Address............................... 34:02:86:96:2f:b7
Client Username ................................. Administrator
AP MAC Address................................... c8:f9:f9:83:47:b0
AP Name.......................................... AP442b.03a9.7f72 
AP radio slot Id................................. 1 
Client State..................................... Associated 
Client User Group................................ Administrator
Client NAC OOB State............................. Access
Wireless LAN Id.................................. 6 
Wireless LAN Network Name (SSID)................. ME_EAP
Wireless LAN Profile Name........................ ME_EAP
Hotspot (802.11u)................................ Not Supported
BSSID............................................ c8:f9:f9:83:47:ba 
Connected For ................................... 18 secs
Channel.......................................... 56 
IP Address....................................... 10.127.209.55
Gateway Address.................................. 10.127.209.49
Netmask.......................................... 255.255.255.240
IPv6 Address..................................... fe80::2818:15a4:65f9:842
--More-- or (q)uit
Security Policy Completed........................ Yes
Policy Manager State............................. RUN
Policy Type...................................... WPA2
Authentication Key Management.................... 802.1x
Encryption Cipher................................ CCMP-128 (AES)
Protected Management Frame ...................... No
Management Frame Protection...................... No
EAP Type......................................... EAP-TLS

第 3 步:如镜像所显示,在ISE,请连接对上下文Visbility >端点>属性

213579-understand-and-configure-eap-tls-with-mo-29.png
213579-understand-and-configure-eap-tls-with-mo-30.png
213579-understand-and-configure-eap-tls-with-mo-31.png

Troubleshoot

目前没有针对此配置的故障排除信息。