Verständnis und Konfiguration von EAP-TLS mit einem WLC und der ISE

Aktualisiert:6. November 2023
Dokument-ID:213543

Inklusive Sprache

In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.

Informationen zu dieser Übersetzung

Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.

    Einleitung

    In diesem Dokument wird die Einrichtung eines Wireless Local Area Network (WLAN) mit 802.1X und Extensible Authentication Protocol EAP-TLS beschrieben.

      

    Voraussetzungen

    Anforderungen

    Cisco empfiehlt, dass Sie über Kenntnisse in folgenden Bereichen verfügen:

    • 802.1X-Authentifizierungsprozess
    • Zertifikate

    Verwendete Komponenten

    Die Informationen in diesem Dokument basierend auf folgenden Software- und Hardware-Versionen:

    • WLC 3504 Version 8.10
    • Identity Services Engine (ISE) Version 2.7

    Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die möglichen Auswirkungen aller Befehle kennen.

    Hintergrundinformationen

    EAP-TLS-Fluss

    Topology - EAP-TLS Flow

    Schritte im EAP-TLS-Fluss

    1. Der Wireless-Client wird mit dem Access Point (AP) verknüpft. AP erlaubt dem Client an dieser Stelle nicht, Daten zu senden und sendet eine Authentifizierungsanforderung.Der Supplicant antwortet dann mit einer EAP-Response-Identität. Der WLC übermittelt dann die Benutzer-ID-Informationen an den Authentifizierungsserver. Der RADIUS-Server antwortet mit einem EAP-TLS-Startpaket auf den Client. Die EAP-TLS-Konversation beginnt an diesem Punkt.
    2. Der Peer sendet eine EAP-Antwort zurück an den Authentifizierungsserver, die eine client_hello-Handshake-Nachricht enthält, eine Chiffre, die auf NULL gesetzt ist
    3. Der Authentifizierungsserver antwortet mit einem Access-Challenge-Paket, das Folgendes enthält:
    TLS server_hello
handshake message
certificate
server_key_exchange
certificate request
server_hello_done.

    4. Der Client antwortet mit einer EAP-Antwortnachricht, die Folgendes enthält:

    Certificate ¬ Server can validate to verify that it is trusted.

client_key_exchange

certificate_verify ¬ Verifies the server is trusted

change_cipher_spec

TLS finished

    5. Nachdem der Client erfolgreich authentifiziert wurde, antwortet der RADIUS-Server mit einer Access-Challenge, die die Meldung change_cipher_spec und handshake finished enthält.

    6. Wenn er dies erhält, überprüft der Client den Hash, um den Radius-Server zu authentifizieren.

    7. Ein neuer Verschlüsselungsschlüssel wird während des TLS-Handshakes dynamisch aus dem Schlüssel abgeleitet.

    8/9. EAP-Success wird schließlich vom Server an den Authentifikator gesendet, der dann an den Supplicant weitergeleitet wird.

    An diesem Punkt kann der EAP-TLS-fähige Wireless-Client auf das Wireless-Netzwerk zugreifen.

    Konfigurieren

    Cisco Wireless LAN-Controller

    Schritt 1: Der erste Schritt besteht in der Konfiguration des RADIUS-Servers auf dem Cisco WLC. Um einen RADIUS-Server hinzuzufügen, navigieren Sie zu Security > RADIUS > Authentication. Klicken Sie wie im Bild dargestellt auf Neu.

    Wireless LAN Controller - Configure RADIUS Server

    Schritt 2: Hier müssen Sie die IP-Adresse und den gemeinsamen geheimen Schlüssel <Kennwort> eingeben, der zur Validierung des WLC auf der ISE verwendet wird. Klicken Sie auf Apply (Übernehmen), um fortzufahren, wie im Bild dargestellt.

    Wireless LAN Controller - Enter Shared IP Address and Shared Password

    Schritt 3: Erstellen eines WLAN für die RADIUS-Authentifizierung

    Jetzt können Sie ein neues WLAN erstellen und es so konfigurieren, dass es den WPA-Enterprise-Modus verwendet, sodass es RADIUS für die Authentifizierung verwenden kann.

    Schritt 4: Wählen Sie im Hauptmenü WLANs aus, wählen Sie Create New (Neu erstellen) aus, und klicken Sie auf Go (Weiter), wie im Bild gezeigt.

    Wireless LAN Controller - Select WLANs from Main Menu and Create New

    Schritt 5: Nennen Sie das neue WLAN EAP-TLS. Klicken Sie auf Apply (Übernehmen), um fortzufahren, wie im Bild dargestellt.

    Wireless LAN Controller - Name the New WLAN EAP-TLS

    Schritt 6: Klicken Sie auf Allgemein, und stellen Sie sicher, dass der Status Enabled (Aktiviert) lautet. Die Standard-Sicherheitsrichtlinien sind 802.1X-Authentifizierung und WPA2, wie im Bild gezeigt.

    Wireless LAN Controller - Ensure the Status is Enabled

    Schritt 7. Navigieren Sie jetzt zur Registerkarte Security> AAA Servers (Sicherheit > AAA-Server), und wählen Sie den RADIUS-Server aus, den Sie gerade wie im Bild dargestellt konfiguriert haben.

    Wireless LAN Controller - Select the RADIUS Server You Configured

    note-icon

    Hinweis: Es empfiehlt sich zu überprüfen, ob Sie den RADIUS-Server über den WLC erreichen können, bevor Sie fortfahren. RADIUS verwendet den UDP-Port 1812 (für die Authentifizierung), sodass Sie sicherstellen müssen, dass dieser Datenverkehr nicht irgendwo im Netzwerk blockiert wird.

    ISE mit Cisco WLC

    EAP-TLS-Einstellungen

      

    Um die Richtlinie zu erstellen, müssen Sie die Liste der zulässigen Protokolle erstellen, die in unserer Richtlinie verwendet werden dürfen. Da eine dot1x-Richtlinie geschrieben wurde, geben Sie den zulässigen EAP-Typ basierend auf der Konfiguration der Richtlinie an.

    Wenn Sie die Standardeinstellung verwenden, lassen Sie die meisten EAP-Typen für die Authentifizierung zu, die nicht bevorzugt werden, wenn Sie den Zugriff auf einen bestimmten EAP-Typ sperren müssen.

    Schritt 1: Navigieren Sie zuPolicy > Policy Elements > Results > Authentication > Allowed Protocols, und klicken Sie auf Add (Hinzufügen), wie im Bild dargestellt.

    Define Allowed Protocols Lists on ISE

      

    Schritt 2: In dieser Liste mit zulässigen Protokollen können Sie den Namen für die Liste eingeben. In diesem Fall ist das Kontrollkästchen EAP-TLS zulassen aktiviert, und andere Kontrollkästchen sind deaktiviert, wie im Bild gezeigt. 

    Enter the Name for the List

    WLC-Einstellungen auf der ISE

    Schritt 1: Öffnen Sie die ISE-Konsole, und navigieren Sie zu Administration > Network Resources > Network Devices > Add, wie im Bild dargestellt.

    ISE Network Devices Page

    Schritt 2: Geben Sie die im Bild angezeigten Werte ein.

    ISE - Shared Secret Password

      

    Neuen Benutzer auf ISE erstellen

    Schritt 1: Navigieren Sie zu Administration > Identity Management > Identities > Users > Add (Administration > Identitätsmanagement > Identitäten > Benutzer > Hinzufügen), wie in der Abbildung dargestellt.

    Network Access Users

    Schritt 2: Geben Sie die im Bild angezeigten Informationen ein.

    Create a New Network User

    Zertifikat auf ISE vertrauen

    Schritt 1: Navigieren Sie zu Administration > System > Certificates > Certificate Management > Trusted Certificates.

    Klicken Sie auf Importieren, um ein Zertifikat in die ISE zu importieren. Wenn Sie einen WLC hinzufügen und einen Benutzer auf der ISE erstellen, müssen Sie den wichtigsten Teil von EAP-TLS ausführen, d. h. dem Zertifikat auf der ISE vertrauen. Dafür müssen wir CSR generieren.

    Schritt 2: Navigieren Sie zu Administration > Certificates > Certificate Signing Requests > Generate Certificate Signing Requests (CSR), wie im Bild dargestellt.

    Enter Information

    Schritt 3: Um eine CSR-Anfrage zu erstellen, navigieren Sie zu Usage (Verwendung) und wählen Sie aus den Zertifikaten, die in den Dropdown-Optionen verwendet werden, EAP Authentication (EAP-Authentifizierung) aus, wie im Bild dargestellt.

    Certificate Signing Requests

    Schritt 4: Die von der ISE generierte CSR-Anfrage kann angezeigt werden. Klicken Sie wie im Bild dargestellt auf Ansicht.

    Generated CSR on ISE

    Schritt 5: Sobald der CSR generiert wurde, suchen Sie nach dem CA-Server, und klicken Sie auf Request a certificate (Zertifikat anfordern), wie im Bild gezeigt:

    Windows Server CA Homepage

    Schritt 6: Wenn Sie ein Zertifikat anfordern, erhalten Sie Optionen für Benutzerzertifikat und erweiterte Zertifikatanforderung. Klicken Sie auf Erweiterte Zertifikatanforderung, wie im Bild dargestellt.

    Submit a CSR Request in Windows Server

    Schritt 7. Fügen Sie den in der Base-64-kodierten Zertifikatsanforderung generierten CSR ein. Wählen Sie aus dem Dropdown-Menü Zertifikatvorlage: die Option Webserver aus, und klicken Sie auf Senden, wie im Bild dargestellt.

    Chose the CSR Details on Windows Server

    Schritt 8: Wenn Sie auf Senden klicken, erhalten Sie die Option, den Zertifikattyp auszuwählen, Base-64-verschlüsselt auszuwählen und auf Zertifikatskette herunterladen zu klicken, wie im Bild gezeigt.

    Windows Server Listing Certificates Issued

    Schritt 9. Der Download des Zertifikats für den ISE-Server ist abgeschlossen. Sie können das Zertifikat extrahieren, das Zertifikat enthält zwei Zertifikate, ein Stammzertifikat und ein anderes Zwischenprodukt. Das Stammzertifikat kann importiert werden unter Administration > Certificates > Trusted Certificates > Import wie in den Bildern dargestellt.

    Import Trusted Certificates on ISE

    Import a New Certificate on ISE

    Schritt 10. Wenn Sie auf Senden klicken, wird das Zertifikat der Liste der vertrauenswürdigen Zertifikate hinzugefügt. Außerdem wird das Zwischenzertifikat benötigt, um eine Bindung mit dem CSR herzustellen, wie im Bild dargestellt.

    Bind Certificate on ISE

    Schritt 11. Wenn Sie auf Zertifikat binden klicken, können Sie die auf Ihrem Desktop gespeicherte Zertifikatsdatei auswählen. Navigieren Sie zum Zwischenzertifikat, und klicken Sie wie im Bild dargestellt auf Senden.

    Bind CA Signed Certificate on ISE

    Schritt 12: Um das Zertifikat anzuzeigen, navigieren Sie zu Administration > Certificates > System Certificates wie im Bild dargestellt.

    System Certificates on ISE

    Client für EAP-TLS

    Benutzerzertifikat auf Client-Computer herunterladen (Windows-Desktop)

    Schritt 1: Um einen Wireless-Benutzer über EAP-TLS zu authentifizieren, müssen Sie ein Client-Zertifikat generieren. Verbinden Sie den Windows-Computer mit dem Netzwerk, sodass Sie auf den Server zugreifen können. Öffnen Sie einen Webbrowser, und geben Sie die folgende Adresse ein: https://sever ip addr/certsrv—

    Schritt 2: Beachten Sie, dass es sich bei der Zertifizierungsstelle um dieselbe handeln muss, mit der das Zertifikat für die ISE heruntergeladen wurde.

    Dazu müssen Sie nach dem gleichen CA-Server suchen, den Sie zum Herunterladen des Zertifikats für den Server verwendet haben. Klicken Sie auf derselben Zertifizierungsstelle auf Zertifikat anfordern wie zuvor, diesmal müssen Sie jedoch Benutzer als Zertifikatvorlage auswählen, wie im Bild gezeigt.

    Submit the CSR

    Schritt 3: Klicken Sie dann auf Download Certificate Chain, wie zuvor für den Server geschehen.

    Nachdem Sie die Zertifikate erhalten haben, gehen Sie wie folgt vor, um das Zertifikat auf Windows Laptop zu importieren:

    Schritt 4: Um das Zertifikat zu importieren, müssen Sie von der Microsoft Management Console (MMC) darauf zugreifen.

    1. Um die MMC zu öffnen, navigieren Sie zu Start > Ausführen > MMC.
    2. Navigieren Sie zu Datei > Snap-In hinzufügen/entfernen
    3. Doppelklicken Sie auf Zertifikate.
    4. Wählen Sie Computerkonto aus.
    5. Wählen Sie Lokaler Computer > Fertig stellen aus.
    6. Klicken Sie auf OK, um das Snap-In-Fenster zu verlassen.
    7. Klicken Sie auf [+] neben Zertifikate > Persönlich > Zertifikate.
    8. Klicken Sie mit der rechten Maustaste auf Zertifikate, und wählen Sie Alle Aufgaben > Importieren aus.
    9. Klicken Sie auf Next (Weiter).
    10. Klicken Sie auf Durchsuchen.
    11. Wählen Sie die .cer-, .crt- oder .pfx-Datei aus, die Sie importieren möchten. 
    12. Klicken Sie auf Öffnen.
    13. Klicken Sie auf Next (Weiter).
    14. Wählen Sie den Zertifikatspeicher basierend auf dem Zertifikatstyp automatisch aus.
    15. Klicken Sie auf Fertig stellen und OK.

    Nach dem Import des Zertifikats müssen Sie Ihren Wireless-Client (in diesem Beispiel Windows Desktop) für EAP-TLS konfigurieren.

    Wireless-Profil für EAP-TLS

    Schritt 1: Ändern Sie das Wireless-Profil, das zuvor für das Protected Extensible Authentication Protocol (PEAP) erstellt wurde, um stattdessen EAP-TLS zu verwenden. Klicken Sie auf EAP-Drahtlosprofil.

      

    Schritt 2: Wählen Sie Microsoft: Smartcard oder ein anderes Zertifikat, und klicken Sie auf OK im Bild angezeigt.

    Chose EAP-TLS Type of Authentication

    Schritt 3: Klicken Sie auf Einstellungen, und wählen Sie das vom Zertifizierungsstellenserver ausgestellte Stammzertifikat aus, wie im Bild dargestellt.

    Enable Trusted CAs

    Schritt 4: Klicken Sie auf Erweiterte Einstellungen, und wählen Sie auf der Registerkarte mit den 802.1x-Einstellungen die Option Benutzer- oder Computerauthentifizierung aus, wie im Bild dargestellt.

    Choose User or Computer Authentication

    Schritt 5: Versuchen Sie nun, erneut eine Verbindung zum Wireless-Netzwerk herzustellen, wählen Sie das richtige Profil (in diesem Beispiel EAP) aus, und verbinden Sie. Sie sind wie im Bild dargestellt mit dem Wireless-Netzwerk verbunden.

    List of SSIDs

    Überprüfung

    Verwenden Sie diesen Abschnitt, um zu überprüfen, ob Ihre Konfiguration ordnungsgemäß funktioniert.

    Schritt 1: Der Status des Client Policy Managers muss als RUN angezeigt werden. Das bedeutet, dass der Client die Authentifizierung abgeschlossen und die IP-Adresse abgerufen hat und bereit ist, den im Bild angezeigten Datenverkehr weiterzuleiten.

    Client Details : Policy Manager

    Schritt 2: Überprüfen Sie außerdem die richtige EAP-Methode auf dem WLC auf der Seite mit den Client-Details, wie im Bild gezeigt.

    EAP Type Mentioned in the Client Details

    Schritt 3: Hier sind die Client-Details aus der CLI des Controllers (Ausgabe abgeschnitten):

    (Cisco Controller-Standby) >show client detail 34:02:86:96:2f:b7
Client MAC Address............................... 34:02:86:96:2f:b7
Client Username ................................. Administrator
AP MAC Address................................... 00:d7:8f:52:db:a0
AP Name.......................................... Alpha2802_3rdfloor 
AP radio slot Id................................. 0 
Client State..................................... Associated 
Wireless LAN Id.................................. 5 
Wireless LAN Network Name (SSID)................. EAP
Wireless LAN Profile Name........................ EAP
Hotspot (802.11u)................................ Not Supported
BSSID............................................ 00:d7:8f:52:db:a4 
Connected For ................................... 48 secs
Channel.......................................... 1 
IP Address....................................... 10.106.32.239
Gateway Address.................................. 10.106.32.1
Netmask.......................................... 255.255.255.0
Policy Manager State............................. RUN
Policy Type...................................... WPA2
Authentication Key Management.................... 802.1x
Encryption Cipher................................ CCMP-128 (AES)
Protected Management Frame ...................... No
Management Frame Protection...................... No
EAP Type......................................... EAP-TLS

    Schritt 4: Navigieren Sie auf der ISE zu Kontexttransparenz > Endpunkte > Attribute, wie in den Bildern gezeigt.

    Rule MatchedCertificate Issuer Details

    Identity Store is Displayed in the Live Logs Details

    Fehlerbehebung

    Es sind derzeit keine spezifischen Informationen zur Problembehebung für diese Konfiguration verfügbar.

      

    Revisionsverlauf

    Überarbeitung Veröffentlichungsdatum Kommentare
    3.0
    06-Nov-2023
    Aktualisierte maschinelle Übersetzung, Artikelbeschreibung, Alternativer Text und Formatierung.
    1.0
    01-Aug-2018
    Erstveröffentlichung
    TAC Authored

    Beiträge von Cisco Ingenieuren

    • Bharti Khatri
      Cisco TAC Engineer

    War dieses Dokument hilfreich?

    FeedbackFeedback

    Cisco kontaktieren

    Dieses Dokument gilt für folgende Produkte.