Secure ACS für Windows v3.2 mit EAP-TLS-Authentifizierung

Einleitung

In diesem Dokument wird die Konfiguration von EAP-TLS (Extensible Authentication Protocol-Transport Layer Security) mit dem Cisco Secure Access Control System (ACS) für Windows 3.2 beschrieben.

Hinweis: Die Computerauthentifizierung wird von der Novell Certificate Authority (CA) nicht unterstützt. ACS kann EAP-TLS verwenden, um die Computerauthentifizierung für Microsoft Windows Active Directory zu unterstützen. Der Endbenutzer-Client kann das Protokoll für die Benutzerauthentifizierung auf dasselbe Protokoll beschränken, das für die Computerauthentifizierung verwendet wird. Dies bedeutet, dass für die Verwendung von EAP-TLS für die Computerauthentifizierung möglicherweise EAP-TLS für die Benutzerauthentifizierung erforderlich ist. Weitere Informationen zur Authentifizierung von Computern finden Sie im Abschnitt Authentifizierung von Computern im Benutzerhandbuch für Cisco Secure Access Control Server 4.1.

Hinweis: Wenn ACS für die Authentifizierung von Computern über EAP-TLS eingerichtet und ACS für die Authentifizierung von Computern eingerichtet wurde, muss der Client so konfiguriert sein, dass er nur die Authentifizierung von Computern ausführt. Weitere Informationen finden Sie unter Aktivieren der reinen Computerauthentifizierung für ein 802.1X-basiertes Netzwerk in Windows Vista, Windows Server 2008 und Windows XP Service Pack 3.

Voraussetzungen

Anforderungen

Es sind keine besonderen Voraussetzungen erforderlich, um den Inhalt dieses Dokuments nachzuvollziehen.

Verwendete Komponenten

Die Informationen in diesem Dokument basieren auf folgenden Software- und Hardware-Versionen:

• Cisco Secure ACS für Windows Version 3.2

• Microsoft Certificate Services (als Enterprise-Stammzertifizierungsstelle installiert)

  Hinweis: Weitere Informationen finden Sie im schrittweisen Leitfaden zur Einrichtung einer Zertifizierungsstelle.

• DNS-Dienst mit Windows 2000 Server mit Service Pack 3 und Hotfix 323172

  Hinweis: Wenn Probleme mit dem CA-Server auftreten, installieren Sie Hotfix 323172. Der Windows 2000 SP3 Client erfordert Hotfix 31364 , um die IEEE 802.1x-Authentifizierung zu aktivieren.

• Cisco Aironet Wireless Access Point der Serie 1200 12.01T

• IBM ThinkPad T30 mit Windows XP Professional mit Service Pack 1

Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn sich Ihr Netzwerk in der Produktionsumgebung befindet, müssen Sie sich bei jedem Befehl zunächst dessen potenzielle Auswirkungen vor Augen führen.

Hintergrundtheorie

Sowohl EAP-TLS als auch PEAP (Protected Extensible Authentication Protocol) erstellen einen TLS/SSL-Tunnel (Secure Socket Layer) und verwenden diesen. EAP-TLS verwendet die gegenseitige Authentifizierung, bei der sowohl der ACS-Server (Authentication, Authorization, Accounting [AAA]) als auch die Clients über Zertifikate verfügen und ihre Identität gegenseitig nachweisen. PEAP verwendet jedoch nur die serverseitige Authentifizierung; nur der Server verfügt über ein Zertifikat und stellt seine Identität dem Client gegenüber unter Beweis.

Konventionen

Weitere Informationen zu Dokumentkonventionen finden Sie unter Cisco Technical Tips Conventions (Technische Tipps von Cisco zu Konventionen).

Netzwerkdiagramm

In diesem Dokument wird die in der folgenden Abbildung gezeigte Netzwerkeinrichtung verwendet.

Konfigurieren von Cisco Secure ACS für Windows v3.2

Führen Sie die unten aufgeführten Schritte aus, um ACS 3.2 zu konfigurieren.

1. Holen Sie sich ein Zertifikat für den ACS-Server.

2. Konfigurieren Sie ACS so, dass ein Zertifikat aus dem Speicher verwendet wird.

3. Geben Sie zusätzliche Zertifizierungsstellen an, denen der ACS vertrauen soll.

4. Starten Sie den Dienst neu, und konfigurieren Sie die PEAP-Einstellungen auf dem ACS.

5. Geben Sie den Access Point an, und konfigurieren Sie ihn als AAA-Client.

6. Konfigurieren Sie die externen Benutzerdatenbanken.

7. Starten Sie den Dienst neu.

Anfordern eines Zertifikats für den ACS Server

Führen Sie die folgenden Schritte aus, um ein Zertifikat zu erhalten.

1. Öffnen Sie auf dem ACS-Server einen Webbrowser, und geben Sie http://CA-ip-address/certsrv ein, um auf den CA-Server zuzugreifen.

2. Melden Sie sich als Administrator bei der Domäne an.

   

3. Wählen Sie Zertifikat anfordern aus, und klicken Sie dann auf Weiter.

   

4. Wählen Sie Erweiterte Anforderung aus, und klicken Sie dann auf Weiter.

   

5. Wählen Sie Zertifikatsanforderung über ein Formular an diese Zertifizierungsstelle senden aus, und klicken Sie dann auf Weiter.

   

6. Konfigurieren Sie die Zertifikatoptionen:

   1. Wählen Sie Webserver als Zertifikatvorlage aus, und geben Sie den Namen des ACS-Servers ein.

      

   2. Geben Sie im Feld Schlüsselgröße 1024 ein, und aktivieren Sie die Kontrollkästchen Schlüssel als exportierbar markieren und Lokalen Computerspeicher verwenden.

   3. Konfigurieren Sie nach Bedarf weitere Optionen, und klicken Sie dann auf Senden.

      

      Hinweis: Wenn das Dialogfeld "Mögliche Skriptverletzung" angezeigt wird, klicken Sie auf Ja, um fortzufahren.

      

7. Klicken Sie auf Dieses Zertifikat installieren.

   

   Hinweis: Wenn das Dialogfeld "Mögliche Skriptverletzung" angezeigt wird, klicken Sie auf Ja, um fortzufahren.

   

8. Wenn die Installation erfolgreich war, wird die Meldung Certificate Installed (Zertifikat installiert) angezeigt.

   

Konfigurieren von ACS zur Verwendung eines Zertifikats vom Speicher

Führen Sie diese Schritte aus, um ACS für die Verwendung des Zertifikats im Speicher zu konfigurieren.

1. Öffnen Sie einen Webbrowser, und geben Sie http://ACS-ip-address:2002/ ein, um auf den ACS-Server zuzugreifen.

2. Klicken Sie auf Systemkonfiguration, und klicken Sie dann auf ACS Certificate Setup.

3. Klicken Sie auf ACS-Zertifikat installieren.

4. Klicken Sie auf das Optionsfeld Zertifikat aus Speicher verwenden.

5. Geben Sie im Feld Certificate CN (Zertifikats-CN) den Namen des Zertifikats ein, das Sie in Schritt 5a des Abschnitts Obaining a Certificate From the ACS Server (Zertifikatsabruf vom ACS-Server) zugewiesen haben.

6. Klicken Sie auf Senden.

   

   Nach Abschluss der Konfiguration wird eine Bestätigungsmeldung angezeigt, die angibt, dass die Konfiguration des ACS-Servers geändert wurde.

   Hinweis: Sie müssen den ACS zu diesem Zeitpunkt nicht neu starten.

   

Geben Sie zusätzliche Zertifizierungsstellen an, denen der ACS vertrauen soll.

Der ACS vertraut automatisch der Zertifizierungsstelle, die ihr eigenes Zertifikat ausgestellt hat. Wenn die Clientzertifikate von zusätzlichen Zertifizierungsstellen ausgestellt werden, müssen Sie die folgenden Schritte ausführen:

1. Klicken Sie auf Systemkonfiguration, und klicken Sie dann auf ACS Certificate Setup.

2. Klicken Sie auf ACS Certificate Authority Setup (ACS-Zertifizierungsstelleneinrichtung), um der Liste der vertrauenswürdigen Zertifikate Zertifizierungsstellen hinzuzufügen.

3. Geben Sie im Feld für die CA-Zertifikatdatei den Speicherort des Zertifikats ein, und klicken Sie dann auf Senden.

   

4. Klicken Sie auf Zertifikatvertrauensliste bearbeiten.

5. Markieren Sie alle CAs, denen der ACS vertrauen soll, und deaktivieren Sie alle CAs, denen der ACS nicht vertrauen soll.

6. Klicken Sie auf Senden.

   

Starten Sie den Dienst neu, und konfigurieren Sie die EAP-TLS-Einstellungen auf dem ACS.

Führen Sie die folgenden Schritte aus, um den Dienst neu zu starten und die EAP-TLS-Einstellungen zu konfigurieren:

1. Klicken Sie auf Systemkonfiguration und dann auf Dienststeuerung.

2. Klicken Sie auf Neu starten, um den Dienst neu zu starten.

3. Um die EAP-TLS-Einstellungen zu konfigurieren, klicken Sie auf Systemkonfiguration und dann auf Einrichtung der globalen Authentifizierung.

4. Aktivieren Sie EAP-TLS zulassen, und überprüfen Sie dann einen oder mehrere Zertifikatvergleiche.

5. Klicken Sie auf Senden.

   

Angeben und Konfigurieren des Access Points als AAA-Client

Gehen Sie wie folgt vor, um den Access Point (AP) als AAA-Client zu konfigurieren:

1. Klicken Sie auf Netzwerkkonfiguration.

2. Klicken Sie unter AAA Clients auf Add Entry (Eintrag hinzufügen).

   

3. Geben Sie den Hostnamen des Access Points in das Feld "AAA Client Hostname" und die IP-Adresse in das Feld "AAA Client IP Address" ein.

4. Geben Sie im Feld Schlüssel einen gemeinsamen geheimen Schlüssel für den ACS und den Access Point ein.

5. Wählen Sie RADIUS (Cisco Aironet) als Authentifizierungsmethode aus, und klicken Sie auf Submit (Senden).

   

Externe Benutzerdatenbanken konfigurieren

Führen Sie diese Schritte aus, um die externen Benutzerdatenbanken zu konfigurieren.

1. Klicken Sie auf Externe Benutzerdatenbanken, und klicken Sie dann auf Datenbankkonfiguration.

2. Klicken Sie auf Windows-Datenbank.

   Hinweis: Wenn noch keine Windows-Datenbank definiert ist, klicken Sie auf Neue Konfiguration erstellen und dann auf Senden.

3. Klicken Sie auf Configure (Konfigurieren).

4. Verschieben Sie unter Configure Domain List (Domänenliste konfigurieren) die SEC-SYD-Domäne von Available Domains (Verfügbare Domänen) in Domain List (Domänenliste).

   

5. Klicken Sie im Bereich Windows EAP Settings (Windows-EAP-Einstellungen) auf das Kontrollkästchen Permit EAP-TLS machine authentication (EAP-TLS-Computerauthentifizierung zulassen), um die Computerauthentifizierung zu aktivieren.

   Hinweis: Ändern Sie das Präfix für den Authentifizierungsnamen des Computers nicht. Microsoft verwendet derzeit "/host" (den Standardwert), um zwischen Benutzer- und Computerauthentifizierung zu unterscheiden.

6. Optional können Sie das Kontrollkästchen EAP-TLS Strip Domain Name (Domänennamen entfernen) aktivieren, um das Domain-Stripping zu aktivieren.

7. Klicken Sie auf Senden.

   

8. Klicken Sie auf Externe Benutzerdatenbanken, und klicken Sie dann auf Unbekannte Benutzerrichtlinie.

9. Klicken Sie auf das Optionsfeld Folgende externe Benutzerdatenbanken überprüfen.

10. Windows-Datenbank aus der Liste Externe Datenbanken in die Liste Ausgewählte Datenbanken verschieben.

11. Klicken Sie auf Senden.

    

Dienst neu starten

Wenn Sie die ACS-Konfiguration abgeschlossen haben, führen Sie die folgenden Schritte aus, um den Service neu zu starten:

1. Klicken Sie auf Systemkonfiguration und dann auf Dienststeuerung.

2. Klicken Sie auf Neu starten.

Konfigurieren der automatischen Registrierung von MS-Zertifikatsmaschinen

Führen Sie die folgenden Schritte aus, um die Domäne für die automatische Registrierung von Computerzertifikaten zu konfigurieren:

1. Gehen Sie zu Systemsteuerung > Verwaltung > Öffnen Sie Active Directory-Benutzer und -Computer.

2. Klicken Sie mit der rechten Maustaste auf Domain sec-syd, und wählen Sie Eigenschaften.

3. Klicken Sie auf die Registerkarte Gruppenrichtlinie.

4. Klicken Sie auf Standard-Domänenrichtlinie und dann auf Bearbeiten.

5. Gehen Sie zu Computer Configuration > Windows Settings > Security Settings > Public Key Policies > Automatic Certificate Request Settings.

   

6. Wechseln Sie in der Menüleiste zu Aktion > Neu > Automatische Zertifikatanforderung, und klicken Sie auf Weiter.

7. Wählen Sie Computer aus, und klicken Sie auf Weiter.

8. Überprüfen Sie in diesem Beispiel die Zertifizierungsstelle "Unsere TAC-Zertifizierungsstelle".

9. Klicken Sie auf Weiter und dann auf Fertig stellen.

Konfigurieren des Cisco Access Points

Führen Sie die folgenden Schritte aus, um den Access Point so zu konfigurieren, dass er den ACS als Authentifizierungsserver verwendet:

1. Öffnen Sie einen Webbrowser, und geben Sie http://AP-ip-address/certsrv ein, um auf den Access Point zuzugreifen.

2. Klicken Sie in der Symbolleiste auf Setup.

3. Klicken Sie unter Dienste auf Sicherheit, und klicken Sie dann auf Authentifizierungsserver.

   Hinweis: Wenn Sie Konten auf dem Access Point konfiguriert haben, müssen Sie sich anmelden.

4. Geben Sie die Authentifizierer-Konfigurationseinstellungen ein:

   • Wählen Sie 802.1x-2001 als 802.1x-Protokollversion (für EAP-Authentifizierung) aus.

   • Geben Sie die IP-Adresse des ACS Servers in das Feld Servername/IP ein.

   • Wählen Sie RADIUS als Servertyp aus.

   • Geben Sie 1645 oder 1812 in das Feld Port ein.

   • Geben Sie den Schlüssel für den gemeinsamen geheimen Schlüssel ein, den Sie unter Festlegen und Konfigurieren des Access Points als AAA-Client angegeben haben.

   • Aktivieren Sie die Option für die EAP-Authentifizierung, um anzugeben, wie der Server verwendet werden soll.

5. Wenn Sie fertig sind, klicken Sie auf OK.

   

6. Klicken Sie auf Radio Data Encryption (WEP).

7. Geben Sie die Einstellungen für die interne Datenverschlüsselung ein.

   • Wählen Sie Vollständige Verschlüsselung aus der Dropdown-Liste Verwendung der Datenverschlüsselung durch Stationen is aus, um die Ebene der Datenverschlüsselung festzulegen.

   • Aktivieren Sie unter Accept Authentication Type (Authentifizierungstyp akzeptieren) das Kontrollkästchen Open (Öffnen), um den akzeptierten Authentifizierungstyp festzulegen, und aktivieren Sie Network-EAP, um LEAP zu aktivieren.

   • Aktivieren Sie für Require EAP das Kontrollkästchen Open (Öffnen), um EAP zu benötigen.

   • Geben Sie einen Verschlüsselungsschlüssel in das Feld Verschlüsselungsschlüssel ein, und wählen Sie in der Dropdown-Liste Schlüsselgröße die Option 128 Bit aus.

8. Wenn Sie fertig sind, klicken Sie auf OK.

   

9. Gehen Sie zu Network > Service Sets > Select the SSID Idx, um sicherzustellen, dass der richtige Service Set Identifier (SSID) verwendet wird.

10. Klicken Sie auf OK.

    

Konfigurieren des Wireless-Clients

Gehen Sie wie folgt vor, um ACS 3.2 zu konfigurieren:

1. Treten Sie der Domäne bei.

2. Holen Sie sich ein Zertifikat für den Benutzer.

3. Konfigurieren Sie das Wireless-Netzwerk.

Der Domäne beitreten

Führen Sie diese Schritte aus, um der Domäne den Wireless-Client hinzuzufügen.

Hinweis: Um diese Schritte ausführen zu können, muss der Wireless-Client über eine Verbindung mit der CA verfügen, entweder über eine kabelgebundene Verbindung oder über die Wireless-Verbindung mit deaktivierter 802.1x-Sicherheit.

1. Melden Sie sich bei Windows XP als lokaler Administrator an.

2. Gehen Sie zu Systemsteuerung > Leistung und Wartung > System.

3. Klicken Sie auf die Registerkarte Computername und dann auf Ändern.

4. Geben Sie den Hostnamen in das Feld Computername ein.

5. Wählen Sie Domain (Domäne) aus, und geben Sie dann den Namen der Domäne ein (in diesem Beispiel SEC-SYD).

6. Klicken Sie auf OK.

   

7. Wenn das Dialogfeld Anmelden angezeigt wird, melden Sie sich mit einem Konto an, das über die entsprechende Berechtigung verfügt, um der Domäne beizutreten.

8. Wenn der Computer der Domäne erfolgreich beigetreten ist, starten Sie den Computer neu.

   Der Computer wird Mitglied der Domäne. Da die automatische Registrierung des Computers konfiguriert ist, verfügt der Computer über ein Zertifikat für die installierte Zertifizierungsstelle sowie ein Zertifikat für die Authentifizierung des Computers.

Holen Sie ein Zertifikat für den Benutzer

Führen Sie diese Schritte aus, um ein Zertifikat für den Benutzer zu erhalten.

1. Melden Sie sich bei Windows XP und der Domäne (SEC-SYD) auf dem Wireless-Client (Laptop) als Konto an, für das ein Zertifikat erforderlich ist.

2. Öffnen Sie einen Webbrowser, und geben Sie http://CA-ip-address/certsrv ein, um auf den CA-Server zuzugreifen.

3. Melden Sie sich unter demselben Konto beim CA-Server an.

   Hinweis: Das Zertifikat wird auf dem Wireless-Client unter dem Profil des aktuellen Benutzers gespeichert. Daher müssen Sie das gleiche Konto verwenden, um sich bei Windows und der Zertifizierungsstelle anzumelden.

   

4. Klicken Sie auf das Optionsfeld Zertifikat anfordern, und klicken Sie dann auf Weiter.

   

5. Klicken Sie auf das Optionsfeld Erweiterte Anforderung und dann auf Weiter.

   

6. Klicken Sie auf das Optionsfeld Zertifikatsanforderung über ein Formular an diese Zertifizierungsstelle senden, und klicken Sie dann auf Weiter.

   

7. Wählen Sie Benutzer aus der Zertifikatvorlage aus, und geben Sie im Feld Schlüsselgröße den Wert 1024 ein.

8. Konfigurieren Sie nach Bedarf weitere Optionen, und klicken Sie auf Senden.

   

   Hinweis: Wenn das Dialogfeld "Mögliche Skriptverletzung" angezeigt wird, klicken Sie auf Ja, um fortzufahren.

   

9. Klicken Sie auf Dieses Zertifikat installieren.

   

   Hinweis: Wenn das Dialogfeld "Mögliche Skriptverletzung" angezeigt wird, klicken Sie auf Ja, um fortzufahren.

   

   Hinweis: Möglicherweise wird der Stammzertifikatsspeicher angezeigt, wenn das Zertifikat der Zertifizierungsstelle nicht bereits auf dem Wireless-Client gespeichert ist. Klicken Sie auf Ja, um das Zertifikat im lokalen Speicher zu speichern.

   

   Wenn die Installation erfolgreich war, wird eine Bestätigungsmeldung angezeigt.

   

Konfigurieren des Wireless-Netzwerks

Gehen Sie wie folgt vor, um die Optionen für Wireless-Netzwerke festzulegen:

1. Melden Sie sich bei der Domäne als Domänenbenutzer an.

2. Gehen Sie zu Systemsteuerung > Netzwerk- und Internetverbindungen > Netzwerkverbindungen.

3. Klicken Sie mit der rechten Maustaste auf Drahtlose Verbindung, und wählen Sie Eigenschaften aus.

4. Klicken Sie auf die Registerkarte Drahtlose Netzwerke.

5. Wählen Sie das Wireless-Netzwerk aus der Liste der verfügbaren Netzwerke aus, und klicken Sie dann auf Konfigurieren.

   

6. Aktivieren Sie auf der Registerkarte Authentifizierung das Kontrollkästchen IEEE 802.1x-Authentifizierung für dieses Netzwerk aktivieren.

7. Wählen Sie Smartcard oder sonstiges Zertifikat aus der Dropdown-Liste EAP-Typ aus, und klicken Sie dann auf Eigenschaften.

   Hinweis: Um die Computerauthentifizierung zu aktivieren, aktivieren Sie das Kontrollkästchen Als Computer authentifizieren, wenn Computerinformationen zur Verfügung stehen.

   

8. Klicken Sie auf das Optionsfeld Zertifikat auf diesem Computer verwenden, und aktivieren Sie dann das Kontrollkästchen Auswahl für einfaches Zertifikat verwenden.

9. Aktivieren Sie das Kontrollkästchen Serverzertifikat validieren, und klicken Sie auf OK.

   Hinweis: Wenn der Client der Domäne beitritt, wird das Zertifikat der Zertifizierungsstelle automatisch als vertrauenswürdige Stammzertifizierungsstelle installiert. Der Client vertraut automatisch der Zertifizierungsstelle, die das Zertifikat des Clients signiert hat. Zusätzliche Zertifizierungsstellen können vertrauenswürdig sein, indem sie in der Liste der vertrauenswürdigen Stammzertifizierungsstellen überprüft werden.

   

10. Aktivieren Sie auf der Registerkarte Zuordnung des Fensters Netzwerkeigenschaften die Kontrollkästchen Datenverschlüsselung (WEP aktiviert) und Der Schlüssel wird automatisch bereitgestellt.

11. Klicken Sie auf OK, und klicken Sie dann erneut auf OK, um das Fenster für die Netzwerkkonfiguration zu schließen.

    

Überprüfung

In diesem Abschnitt finden Sie Informationen, mit denen Sie überprüfen können, ob Ihre Konfiguration ordnungsgemäß funktioniert.

• Führen Sie die folgenden Schritte aus, um zu überprüfen, ob der Wireless-Client authentifiziert wurde:

  1. Gehen Sie auf dem Wireless-Client zu Systemsteuerung > Netzwerk- und Internetverbindungen > Netzwerkverbindungen.

  2. Gehen Sie in der Menüleiste zu Ansicht > Kacheln.

  Die Wireless-Verbindung sollte die Meldung "Authentication successfully" (Authentifizierung erfolgreich) anzeigen.

• Um zu überprüfen, ob die Wireless-Clients authentifiziert wurden, gehen Sie zu Reports and Activity > Passed Authentications > Passed Authentications active.csv auf der ACS-Webschnittstelle.

Fehlerbehebung

In diesem Abschnitt finden Sie Informationen zur Behebung von Fehlern in Ihrer Konfiguration.

• Stellen Sie sicher, dass MS Certificate Services als Enterprise-Stammzertifizierungsstelle auf einem Windows 2000 Advanced Server mit Service Pack 3 installiert wurde.

• Stellen Sie sicher, dass Sie Cisco Secure ACS für Windows Version 3.2 mit Windows 2000 und Service Pack 3 verwenden.

• Wenn die Computerauthentifizierung auf dem Wireless-Client fehlschlägt, besteht keine Netzwerkverbindung auf der Wireless-Verbindung. Nur Konten, deren Profile auf dem Wireless-Client zwischengespeichert sind, können sich bei der Domäne anmelden. Der Computer muss an ein kabelgebundenes Netzwerk angeschlossen oder für eine Wireless-Verbindung ohne 802.1x-Sicherheit konfiguriert sein.

• Wenn die automatische Registrierung bei der CA fehlschlägt, wenn diese der Domäne beitritt, überprüfen Sie die Ereignisanzeige aus möglichen Gründen.

• Wenn das Benutzerprofil des Wireless-Clients nicht über ein gültiges Zertifikat verfügt, können Sie sich weiterhin beim Computer und bei der Domäne anmelden, wenn das Kennwort richtig ist. Beachten Sie jedoch, dass die Wireless-Verbindung keine Verbindung hat.

• Wenn das ACS-Zertifikat auf dem Wireless-Client ungültig ist (dies hängt vom gültigen Datum "von" und "bis", von den Datums- und Zeiteinstellungen des Clients und von der CA-Vertrauensstellung ab), lehnt der Client es ab, und die Authentifizierung schlägt fehl. Der ACS protokolliert die fehlgeschlagene Authentifizierung in der Webschnittstelle unter Berichte und Aktivität > Fehlgeschlagene Versuche > Fehlgeschlagene Versuche XXX.csv mit dem Authentifizierungsfehlercode ähnlich wie "EAP-TLS- oder PEAP-Authentifizierung während SSL-Handshake fehlgeschlagen". Die erwartete Fehlermeldung in der Datei CSAuth.log ähnelt der folgenden Meldung:

  AUTH 06/04/2003 14:56:41 E 0345 1644 EAP: buildEAPRequestMsg: 
  other side probably didn't accept our certificate

• Wenn das Clientzertifikat auf dem ACS ungültig ist (was von den gültigen Daten "von" und "bis", den Einstellungen für Datum und Uhrzeit des Servers und der Zertifizierungsstellenvertrauensstellung abhängt), lehnt der Server das Zertifikat ab, und die Authentifizierung schlägt fehl. Der ACS protokolliert die fehlgeschlagene Authentifizierung in der Webschnittstelle unter Berichte und Aktivität > Fehlgeschlagene Versuche > Fehlgeschlagene Versuche XXX.csv mit dem Authentifizierungsfehlercode ähnlich wie "EAP-TLS- oder PEAP-Authentifizierung während SSL-Handshake fehlgeschlagen". Wenn der ACS das Client-Zertifikat zurückweist, weil der ACS der CA nicht vertraut, entspricht die erwartete Fehlermeldung in der Datei CSAuth.log der folgenden Meldung:

  AUTH 06/04/2003 15:47:43 E 0345 1696 EAP: ProcessResponse:
  SSL handshake failed, status = 3 (SSL alert fatal:unknown CA certificate)

  Wenn der ACS das Client-Zertifikat zurückweist, weil das Zertifikat abgelaufen ist, entspricht die erwartete Fehlermeldung in der Datei CSAuth.log etwa dieser Meldung:

  AUTH 06/04/2005 15:02:08 E 0345 1692 EAP: ProcessResponse:
  SSL handshake failed, status = 3 (SSL alert fatal:certificate expired)

• In den Protokollen auf der ACS-Webschnittstelle werden unter Reports und Activity > Passed Authentications > Passed Authentications XXX.csv und Reports and Activity > Failed Attempts > Failed Attempts XXX.csv EAP-TLS-Authentifizierungen im Format <Benutzer-ID>@<Domäne> angezeigt. PEAP-Authentifizierungen werden im Format <DOMÄNE>\<Benutzer-ID> angezeigt.

• Sie können das Zertifikat und die Vertrauenswürdigkeit des ACS-Servers wie folgt überprüfen.

  1. Melden Sie sich bei Windows auf dem ACS-Server mit einem Konto mit Administratorrechten an.

  2. Gehen Sie zu Start > Ausführen, geben Sie mmc ein, und klicken Sie auf OK, um die Microsoft Management-Konsole zu öffnen.

  3. Gehen Sie in der Menüleiste zu Konsole > Snap-In hinzufügen/entfernen, und klicken Sie auf Hinzufügen.

  4. Wählen Sie Zertifikate aus, und klicken Sie auf Hinzufügen.

  5. Wählen Sie Computerkonto aus, klicken Sie auf Weiter, und wählen Sie dann Lokaler Computer (der Computer, auf dem diese Konsole ausgeführt wird).

  6. Klicken Sie auf Fertig stellen, klicken Sie auf Schließen, und klicken Sie dann auf OK.

  7. Um zu überprüfen, ob der ACS-Server über ein gültiges serverseitiges Zertifikat verfügt, gehen Sie zu Console Root > Certificates (Local Computer) > Personal > Certificates, und überprüfen Sie, ob ein Zertifikat für den ACS-Server (in diesem Beispiel OurACS) vorhanden ist.

  8. Öffnen Sie das Zertifikat, und überprüfen Sie Folgendes:

     • Es wird nicht darauf hingewiesen, dass das Zertifikat nicht für alle vorgesehenen Zwecke verifiziert wurde.

     • Es gibt keine Warnung, dass das Zertifikat nicht vertrauenswürdig ist.

     • "Dieses Zertifikat soll - die Identität eines Remotecomputers sicherstellen."

     • Das Zertifikat ist nicht abgelaufen und ist gültig geworden (prüfen Sie, ob ein gültiges "Von"- und "Bis"-Datum vorliegt).

     • "Sie haben einen privaten Schlüssel, der diesem Zertifikat entspricht."

  9. Überprüfen Sie auf der Registerkarte Details, ob das Feld Version den Wert V3 aufweist und das Feld Erweiterte Schlüsselverwendung über die Serverauthentifizierung (1.3.6.1.5.5.7.3.1) verfügt.

  10. Um zu überprüfen, ob der ACS-Server dem CA-Server vertraut, gehen Sie zu Console Root > Certificates (Local Computer) > Trusted Root Certification Authorities > Certificates, und überprüfen Sie, ob ein Zertifikat für den CA-Server vorhanden ist (in diesem Beispiel Unsere TAC-CA).

  11. Öffnen Sie das Zertifikat, und überprüfen Sie Folgendes:

      • Es wird nicht darauf hingewiesen, dass das Zertifikat nicht für alle vorgesehenen Zwecke verifiziert wurde.

      • Es gibt keine Warnung, dass das Zertifikat nicht vertrauenswürdig ist.

      • Der beabsichtigte Zweck des Zertifikats ist richtig.

      • Das Zertifikat ist nicht abgelaufen und ist gültig geworden (prüfen Sie, ob ein gültiges "Von"- und "Bis"-Datum vorliegt).

      Wenn der ACS und der Client nicht dieselbe Stammzertifizierungsstelle verwendet haben, stellen Sie sicher, dass die gesamte Kette von Zertifikaten der Zertifizierungsstellenserver installiert wurde. Gleiches gilt, wenn das Zertifikat von einer Unterzertifizierungsstelle erworben wurde.

• Sie können das Computerzertifikat und die Vertrauenswürdigkeit des Wireless-Clients überprüfen, indem Sie die folgenden Schritte ausführen.

  1. Melden Sie sich bei Windows auf dem ACS-Server mit einem Konto mit Administratorrechten an. Öffnen Sie Microsoft Management Console, indem Sie Start > Ausführen aufrufen, mmc eingeben und auf OK klicken.

  2. Gehen Sie in der Menüleiste zu Konsole > Snap-In hinzufügen/entfernen, und klicken Sie dann auf Hinzufügen.

  3. Wählen Sie Zertifikate aus, und klicken Sie auf Hinzufügen.

  4. Wählen Sie Computerkonto aus, klicken Sie auf Weiter, und wählen Sie dann Lokaler Computer aus (der Computer, auf dem diese Konsole ausgeführt wird).

  5. Klicken Sie auf Fertig stellen, klicken Sie auf Schließen, und klicken Sie dann auf OK.

  6. Überprüfen Sie, ob der Computer über ein gültiges clientseitiges Zertifikat verfügt. Wenn das Zertifikat ungültig ist, schlägt die Computerauthentifizierung fehl. Um das Zertifikat zu überprüfen, gehen Sie zu Konsolenstamm > Zertifikate (Lokaler Computer) > Persönlich > Zertifikate. Stellen Sie sicher, dass ein Zertifikat für den Computer vorhanden ist. Der Name hat das Format <Hostname>.<Domäne>. Öffnen Sie das Zertifikat, und überprüfen Sie die folgenden Elemente.

     • Es wird nicht darauf hingewiesen, dass das Zertifikat nicht für alle vorgesehenen Zwecke verifiziert wurde.

     • Es gibt keine Warnung, dass das Zertifikat nicht vertrauenswürdig ist.

     • "Dieses Zertifikat ist bestimmt für - Beweist Ihre Identität für einen Remotecomputer."

     • Das Zertifikat ist nicht abgelaufen und ist gültig geworden (prüfen Sie, ob ein gültiges "Von"- und "Bis"-Datum vorliegt).

     • "Sie haben einen privaten Schlüssel, der diesem Zertifikat entspricht."

• Überprüfen Sie auf der Registerkarte Details, ob das Feld Version den Wert V3 hat und ob das Feld Erweiterte Schlüsselverwendung mindestens den Wert Client-Authentifizierung (1.3.6.1.5.5.7.3.2) enthält. Es können weitere Zwecke aufgelistet werden. Stellen Sie sicher, dass das Feld "Subject" (Betreff) den Wert CN = <hostname>.<domain> enthält. Möglicherweise werden zusätzliche Werte aufgelistet. Überprüfen Sie, ob der Hostname und die Domäne mit den Angaben im Zertifikat übereinstimmen.

• Um zu überprüfen, ob das Profil des Clients dem Zertifizierungsstellenserver vertraut, gehen Sie zu Konsolenstamm > Zertifikate (aktueller Benutzer) > Vertrauenswürdige Stammzertifizierungsstellen > Zertifikate. Überprüfen Sie, ob ein Zertifikat für den Zertifizierungsstellenserver vorhanden ist (in diesem Beispiel Unsere TAC-Zertifizierungsstelle). Öffnen Sie das Zertifikat, und überprüfen Sie die folgenden Elemente.

  • Es wird nicht darauf hingewiesen, dass das Zertifikat nicht für alle vorgesehenen Zwecke verifiziert wurde.

  • Es gibt keine Warnung, dass das Zertifikat nicht vertrauenswürdig ist.

  • Der beabsichtigte Zweck des Zertifikats ist richtig.

  • Das Zertifikat ist nicht abgelaufen und ist gültig geworden (prüfen Sie, ob ein gültiges "Von"- und "Bis"-Datum vorliegt).

  Wenn der ACS und der Client nicht dieselbe Stammzertifizierungsstelle verwendet haben, stellen Sie sicher, dass die gesamte Kette von Zertifikaten der Zertifizierungsstellenserver installiert wurde. Gleiches gilt, wenn das Zertifikat von einer Unterzertifizierungsstelle erworben wurde.

• Überprüfen Sie die ACS-Einstellungen wie unter Konfigurieren von Cisco Secure ACS für Windows v3.2 beschrieben.

• Überprüfen Sie die Zertifizierungsstelleneinstellungen wie unter Konfigurieren der MS-Zertifikatdienste beschrieben.

• Überprüfen Sie die AP-Einstellungen wie unter Konfigurieren des Cisco Access Points beschrieben.

• Überprüfen Sie die Einstellungen des Wireless-Clients, wie unter Konfigurieren des Wireless-Clients beschrieben.

• Überprüfen Sie, ob das Benutzerkonto in der internen Datenbank des AAA-Servers oder in einer der konfigurierten externen Datenbanken vorhanden ist, und stellen Sie sicher, dass das Konto nicht deaktiviert wurde.

• Zertifikate, die von der CA auf der Grundlage des Secure Hash Algorithm 2 (SHA-2) ausgegeben werden, sind nicht mit Cisco Secure ACS kompatibel, da sie mit Java entwickelt wurden, das SHA-2 derzeit nicht unterstützt. Installieren Sie die Zertifizierungsstelle neu, und konfigurieren Sie sie so, dass sie Zertifikate mit SHA-1 ausstellt, um dieses Problem zu beheben.

Zugehörige Informationen

• Support-Seite für Cisco Secure ACS für Windows
• EAP-TLS-Implementierungsleitfaden für Wireless LAN-Netzwerke
• Abrufen von Versions- und AAA-Debugging-Informationen für Cisco Secure ACS für Windows
• Technischer Support – Cisco Systems