Comprensión y configuración de EAP-TLS con un WLC e ISE

Actualizado:6 de noviembre de 2023
ID del documento:213543

Lenguaje no discriminatorio

El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.

Acerca de esta traducción

Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).

    Introducción

    Este documento describe cómo configurar una red de área local inalámbrica (WLAN) con 802.1X y protocolo de autenticación extensible EAP-TLS.

      

    Prerequisites

    Requirements

    Cisco recomienda que tenga conocimiento sobre estos temas:

    • Proceso de autenticación 802.1X
    • Certificados

    Componentes Utilizados

    La información que contiene este documento se basa en las siguientes versiones de software y hardware.

    • WLC 3504 versión 8.10
    • Identity Services Engine (ISE) versión 2.7

    La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si tiene una red en vivo, asegúrese de entender el posible impacto de cualquier comando.

    Antecedentes

    Flujo de EAP-TLS

    Topology - EAP-TLS Flow

    Pasos del flujo EAP-TLS

    1. El cliente inalámbrico se asocia al punto de acceso (AP). El AP no permite que el cliente envíe ningún dato en este punto y envía una solicitud de autenticación.El solicitante responde entonces con una identidad de respuesta EAP. El WLC luego comunica la información de la ID de usuario al servidor de autenticación. El servidor RADIUS responde al cliente con un paquete de inicio EAP-TLS. La conversación EAP-TLS comienza en este punto.
    2. El par envía una respuesta EAP al servidor de autenticación que contiene un mensaje de intercambio de señales client_hello, un cifrado que se establece en NULL
    3. El servidor de autenticación responde con un paquete de desafío de acceso que contiene:
    TLS server_hello
handshake message
certificate
server_key_exchange
certificate request
server_hello_done.

    4. El cliente responde con un mensaje EAP-Response que contiene:

    Certificate ¬ Server can validate to verify that it is trusted.

client_key_exchange

certificate_verify ¬ Verifies the server is trusted

change_cipher_spec

TLS finished

    5. Una vez que el cliente se autentica correctamente, el servidor RADIUS responde con un desafío de acceso, que contiene el mensaje change_cipher_spec y entrada en contacto finalizada.

    6. Cuando recibe esto, el cliente verifica el hash para autenticar el servidor RADIUS.

    7. Una nueva clave de cifrado se deriva dinámicamente del secreto durante el intercambio de señales TLS.

    8/9. Finalmente, EAP-Success se envía del servidor al autenticador, que luego se pasa al solicitante.

    En este momento, el cliente inalámbrico con EAP-TLS activado puede acceder a la red inalámbrica.

    Configurar

    Controlador de LAN inalámbrica de Cisco

    Paso 1. El primer paso es configurar el servidor RADIUS en el WLC de Cisco. Para agregar un servidor RADIUS, navegue hasta Seguridad > RADIUS > Autenticación. Haga clic en Nuevo como se muestra en la imagen.

    Wireless LAN Controller - Configure RADIUS Server

    Paso 2. Aquí, debe ingresar la dirección IP y el secreto compartido <password> que se utiliza para validar el WLC en el ISE. Haga clic en Aplicar para continuar como se muestra en la imagen.

    Wireless LAN Controller - Enter Shared IP Address and Shared Password

    Paso 3. Cree la WLAN para la autenticación RADIUS.

    Ahora puede crear una nueva WLAN y configurarla para utilizar el modo WPA-Enterprise, de modo que pueda utilizar RADIUS para la autenticación.

    Paso 4. Seleccione WLANs en el menú principal, elija Create New y haga clic en Go como se muestra en la imagen.

    Wireless LAN Controller - Select WLANs from Main Menu and Create New

    Paso 5. Asigne al nuevo WLAN el nombre EAP-TLS. Haga clic en Aplicar para continuar como se muestra en la imagen.

    Wireless LAN Controller - Name the New WLAN EAP-TLS

    Paso 6. Haga clic en General y asegúrese de que el estado es Enabled. Las políticas de seguridad predeterminadas son la autenticación 802.1X y WPA2, como se muestra en la imagen.

    Wireless LAN Controller - Ensure the Status is Enabled

    Paso 7. Ahora, navegue hasta Security> AAA Servers, seleccione el servidor RADIUS que acaba de configurar como se muestra en la imagen.

    Wireless LAN Controller - Select the RADIUS Server You Configured

    note-icon

    Nota: Es una buena idea verificar que puede alcanzar el servidor RADIUS del WLC antes de continuar. RADIUS utiliza el puerto UDP 1812 (para la autenticación), por lo que debe asegurarse de que este tráfico no se bloquee en ninguna parte de la red.

    ISE con Cisco WLC

    Configuración de EAP-TLS

      

    Para crear la política, debe crear la lista de protocolos permitidos para utilizar en nuestra política. Dado que se escribe una política dot1x, especifique el tipo de EAP permitido en función de la configuración de la política.

    Si utiliza el valor predeterminado, permite la mayoría de los tipos de EAP para autenticación que no son preferibles si necesita bloquear el acceso a un tipo de EAP específico.

    Paso 1. Vaya a Policy > Policy Elements > Results > Authentication > Allowed Protocols y haga clic en Add como se muestra en la imagen.

    Define Allowed Protocols Lists on ISE

      

    Paso 2. En esta lista de protocolos permitidos, puede introducir el nombre de la lista. En este caso, la casilla Allow EAP-TLS está marcada y las demás casillas están desmarcadas como se muestra en la imagen. 

    Enter the Name for the List

    Configuración de WLC en ISE

    Paso 1. Abra la consola de ISE y navegue hasta Administration > Network Resources > Network Devices > Add como se muestra en la imagen.

    ISE Network Devices Page

    Paso 2. Introduzca los valores como se muestra en la imagen.

    ISE - Shared Secret Password

      

    Creación de un usuario nuevo en ISE

    Paso 1. Vaya a Administración > Administración de identidades > Identidades > Usuarios > Agregar como se muestra en la imagen.

    Network Access Users

    Paso 2. Introduzca la información tal y como se muestra en la imagen.

    Create a New Network User

    Certificado de confianza en ISE

    Paso 1. Vaya a Administration > System > Certificates > Certificate Management > Trusted certificates.

    Haga clic en Importar para importar un certificado a ISE. Una vez que agrega un WLC y crea un usuario en ISE, necesita hacer la parte más importante de EAP-TLS que es confiar en el certificado en ISE. Para eso necesitamos generar la RSE.

    Paso 2. Vaya a Administration > Certificates > Certificate Signing Requests > Generate Certificate Signing Requests (CSR) como se muestra en la imagen.

    Enter Information

    Paso 3. Para generar CSR, navegue hasta Usage y desde Certificate(s) are used for seleccione EAP Authentication como se muestra en la imagen.

    Certificate Signing Requests

    Paso 4. Se puede ver la CSR generada en ISE. Haga clic en View como se muestra en la imagen.

    Generated CSR on ISE

    Paso 5. Una vez que se genere CSR, busque el servidor de la CA y haga clic en Solicitar un certificado, como se muestra en la imagen:

    Windows Server CA Homepage

    Paso 6. Una vez que solicite un certificado, obtendrá las opciones User Certificate y advanced certificate request, haga clic en advanced certificate request como se muestra en la imagen.

    Submit a CSR Request in Windows Server

    Paso 7. Pegue la CSR generada en la solicitud de certificado codificado en Base-64. En la opción desplegable Plantilla de certificado:, elija Servidor web y haga clic en Enviar como se muestra en la imagen.

    Chose the CSR Details on Windows Server

    Paso 8. Una vez que haga clic en Submit, tendrá la opción de seleccionar el tipo de certificado, seleccionar Base-64 encoded y hacer clic en Download certificate chain como se muestra en la imagen.

    Windows Server Listing Certificates Issued

    Paso 9. La descarga del certificado se completa para el servidor ISE. Puede extraer el certificado, el certificado contiene dos certificados, un certificado raíz y otro intermedio. El certificado raíz se puede importar en Administration > Certificates > Trusted certificates > Import como se muestra en las imágenes.

    Import Trusted Certificates on ISE

    Import a New Certificate on ISE

    Paso 10. Una vez que haga clic en Submit, el certificado se agregará a la lista de certificados de confianza. Además, el certificado intermedio es necesario para enlazar con CSR como se muestra en la imagen.

    Bind Certificate on ISE

    Paso 11. Una vez que haga clic en Enlazar certificado, existe la opción de elegir el archivo de certificado guardado en el escritorio. Busque el certificado intermedio y haga clic en Submit como se muestra en la imagen.

    Bind CA Signed Certificate on ISE

    Paso 12. Para ver el certificado, navegue hasta Administration > Certificates > System Certificates como se muestra en la imagen.

    System Certificates on ISE

    Cliente para EAP-TLS

    Descargar certificado de usuario en el equipo cliente (escritorio de Windows)

    Paso 1. Para autenticar un usuario inalámbrico a través de EAP-TLS, debe generar un certificado de cliente. Conecte el ordenador con Windows a la red para poder acceder al servidor. Abra un navegador web e ingrese esta dirección: https://sever ip addr/certsrv—

    Paso 2. Observe que la CA debe ser la misma con la que se descargó el certificado para ISE.

    Para ello, debe buscar el mismo servidor de CA que utilizó para descargar el certificado para el servidor. En la misma CA, haga clic en Solicitar un certificado como se hizo anteriormente; sin embargo, esta vez debe seleccionar Usuario como la Plantilla de certificado, como se muestra en la imagen.

    Submit the CSR

    Paso 3. A continuación, haga clic en Descargar cadena de certificados como se hizo anteriormente para el servidor.

    Una vez que obtenga los certificados, siga estos pasos para importar el certificado en el equipo portátil con Windows:

    Paso 4. Para importar el certificado, debe tener acceso a él desde Microsoft Management Console (MMC).

    1. Para abrir MMC navegue hasta Inicio > Ejecutar > MMC.
    2. Vaya a Archivo > Agregar o quitar complemento
    3. Haga doble clic en Certificates.
    4. Seleccione Cuenta de equipo.
    5. Seleccione Equipo local > Finalizar
    6. Haga clic en Aceptar para salir de la ventana Snap-In.
    7. Haga clic en [+] junto a Certificados > Personal > Certificados.
    8. Haga clic con el botón derecho del ratón en Certificados y seleccione Todas las tareas> Importar.
    9. Haga clic en Next (Siguiente).
    10. Haga clic en Browse.
    11. Seleccione el archivo .cer, .crt, o .pfx que desee importar. 
    12. Haga clic en Abrir.
    13. Haga clic en Next (Siguiente).
    14. Seleccione Seleccionar automáticamente el almacén de certificados según el tipo de certificado.
    15. Haga clic en Finalizar y aceptar

    Una vez que se haya realizado la importación del certificado, debe configurar el cliente inalámbrico (escritorio de Windows, en este ejemplo) para EAP-TLS.

    Perfil inalámbrico para EAP-TLS

    Paso 1. Cambie el perfil inalámbrico que se creó anteriormente para el protocolo de autenticación extensible protegido (PEAP) para utilizar el EAP-TLS en su lugar. Haga clic en Perfil inalámbrico EAP.

      

    Paso 2. Seleccione Microsoft: Tarjeta inteligente u otro certificado y haga clic en Aceptar que se muestra en la imagen.

    Chose EAP-TLS Type of Authentication

    Paso 3. Haga clic en Settings y seleccione el certificado raíz emitido desde el servidor de la CA como se muestra en la imagen.

    Enable Trusted CAs

    Paso 4. Haga clic en Advanced Settings y seleccione User o computer authentication en la ficha 802.1x settings (Parámetros avanzados), como se muestra en la imagen.

    Choose User or Computer Authentication

    Paso 5. Ahora, intente conectarse de nuevo a la red inalámbrica, seleccione el perfil correcto (EAP, en este ejemplo) y Connect. Está conectado a la red inalámbrica como se muestra en la imagen.

    List of SSIDs

    Verificación

    Utilize esta sección para confirmar que su configuración funcione correctamente.

    Paso 1. El estado del administrador de políticas de cliente debe mostrarse como RUN. Esto significa que el cliente ha completado la autenticación, obtenido la dirección IP y está listo para pasar el tráfico que se muestra en la imagen.

    Client Details : Policy Manager

    Paso 2. Verifique también el método EAP correcto en el WLC en la página de detalles del cliente como se muestra en la imagen.

    EAP Type Mentioned in the Client Details

    Paso 3. Estos son los detalles del cliente de la CLI del controlador (salida recortada):

    (Cisco Controller-Standby) >show client detail 34:02:86:96:2f:b7
Client MAC Address............................... 34:02:86:96:2f:b7
Client Username ................................. Administrator
AP MAC Address................................... 00:d7:8f:52:db:a0
AP Name.......................................... Alpha2802_3rdfloor 
AP radio slot Id................................. 0 
Client State..................................... Associated 
Wireless LAN Id.................................. 5 
Wireless LAN Network Name (SSID)................. EAP
Wireless LAN Profile Name........................ EAP
Hotspot (802.11u)................................ Not Supported
BSSID............................................ 00:d7:8f:52:db:a4 
Connected For ................................... 48 secs
Channel.......................................... 1 
IP Address....................................... 10.106.32.239
Gateway Address.................................. 10.106.32.1
Netmask.......................................... 255.255.255.0
Policy Manager State............................. RUN
Policy Type...................................... WPA2
Authentication Key Management.................... 802.1x
Encryption Cipher................................ CCMP-128 (AES)
Protected Management Frame ...................... No
Management Frame Protection...................... No
EAP Type......................................... EAP-TLS

    Paso 4. En ISE, navegue hasta Visibilidad del contexto > Terminales > Atributos, como se muestra en las imágenes.

    Rule MatchedCertificate Issuer Details

    Identity Store is Displayed in the Live Logs Details

    Troubleshoot

    Actualmente no hay información específica disponible para resolver problemas de esta configuración.

      

    Historial de revisiones

    Revisión Fecha de publicación Comentarios
    3.0
    06-Nov-2023
    Traducción automática, descripción de artículo, texto alternativo y formato actualizados.
    1.0
    01-Aug-2018
    Versión inicial
    TAC Authored

    Con la colaboración de ingenieros de Cisco

    • Bharti Khatri
      Cisco TAC Engineer

    ¿Resultó útil este documento?

    FeedbackComentarios

    Contacte a Cisco

    Este documento se aplica a estos productos