Introducción
Los dispositivos móviles son cada vez más potentes desde el punto de vista de la informática y son más populares entre los consumidores. Millones de estos dispositivos se venden a consumidores con Wi-Fi de alta velocidad para que los usuarios puedan comunicarse y colaborar. Los consumidores ya están acostumbrados a la mejora de la productividad que suponen estos dispositivos móviles en sus vidas y buscan trasladar su experiencia personal al espacio de trabajo. Esto crea las necesidades funcionales de una solución BYOD (Bring Your Own Device) en el lugar de trabajo.
Este documento proporciona la implementación en sucursal para la solución BYOD. Un empleado se conecta a un identificador de conjunto de servicios (SSID) corporativo con su nuevo iPad y se le redirige a un portal de autorregistro. Cisco Identity Services Engine (ISE) autentica al usuario frente a Active Directory (AD) corporativo y descarga un certificado con una dirección MAC y un nombre de usuario de iPad integrados en el iPad, junto con un perfil de solicitante que exige el uso del protocolo de autenticación extensible-seguridad de la capa de transporte (EAP-TLS) como método para la conectividad dot1x. De acuerdo con la política de autorización de ISE, el usuario puede conectarse mediante dot1x y acceder a los recursos adecuados.
Las funcionalidades de ISE de las versiones del software Cisco Wireless LAN Controller anteriores a la 7.2.110.0 no eran compatibles con los clientes de switching locales que se asocian a través de puntos de acceso (AP) FlexConnect. La versión 7.2.110.0 es compatible con estas funcionalidades de ISE para AP FlexConnect para switching local y clientes autenticados centralmente. Además, la versión 7.2.110.0 integrada con ISE 1.1.1 proporciona (sin limitarse a ello) estas funciones de la solución BYOD para redes inalámbricas:
- Perfil y estado del dispositivo
- Registro de dispositivos y aprovisionamiento de suplicantes
- Incorporación de dispositivos personales (dispositivos iOS o Android)
Nota: aunque son compatibles, otros dispositivos, como ordenadores portátiles y estaciones de trabajo inalámbricos PC o Mac, no se incluyen en esta guía.
Prerequisites
Requirements
No hay requisitos específicos para este documento.
Componentes Utilizados
La información que contiene este documento se basa en las siguientes versiones de software y hardware.
- Switches Cisco Catalyst
- Controladores de LAN inalámbrica (WLAN) de Cisco
- Software Cisco WLAN Controller (WLC) versión 7.2.110.0 y posteriores
- AP 802.11n en modo FlexConnect
- Software Cisco ISE versión 1.1.1 y posteriores
- Windows 2008 AD con autoridad certificadora (CA)
- Servidor DHCP
- Servidor del Sistema de nombres de dominio (DNS)
- Network Time Protocol (NTP)
- Portátil cliente inalámbrico, smartphone y tablets (Apple iOS, Android, Windows y Mac)
Nota: Consulte Release Notes for Cisco Wireless LAN Controllers and Lightweight Access Points for Release 7.2.110.0 para obtener información importante sobre esta versión de software. Inicie sesión en el sitio Cisco.com para obtener las últimas notas de la versión antes de cargar y probar el software.
La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). If your network is live, make sure that you understand the potential impact of any command.
Topología
Se requiere una configuración de red mínima, como se muestra en este diagrama, para implementar y probar correctamente estas funciones:
![byod-flexconnect-dg-001.gif byod-flexconnect-dg-001.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-001.gif)
Para esta simulación, necesita una red con un AP FlexConnect, un sitio local/remoto con DHCP local, DNS, el WLC y el ISE. El AP de FlexConnect está conectado a un tronco para probar el switching local con varias VLAN.
Registro de dispositivos y aprovisionamiento de suplicantes
Se debe registrar un dispositivo para que su suplicante nativo pueda aprovisionarse para la autenticación dot1x. De acuerdo con la política de autenticación adecuada, el usuario se redirige a la página de invitado y se autentica mediante las credenciales del empleado. El usuario ve la página de registro del dispositivo, que solicita la información del dispositivo. A continuación, comienza el proceso de aprovisionamiento de dispositivos. Si el sistema operativo (SO) no es compatible con el aprovisionamiento, el usuario se redirige al portal de registro de recursos para marcar ese dispositivo para el acceso de omisión de autenticación MAC (MAB). Si el sistema operativo es compatible, el proceso de inscripción comienza y configura el suplicante nativo del dispositivo para la autenticación dot1x.
Portal de registro de recursos
El portal de registro de activos es el elemento de la plataforma ISE que permite a los empleados iniciar la incorporación de terminales a través de un proceso de autenticación y registro.
Los administradores pueden eliminar recursos de la página de identidades de terminales. Cada empleado puede editar, eliminar y poner en una lista negra los activos que ha registrado. Los extremos de la lista negra se asignan a un grupo de identidades de la lista negra y se crea una política de autorización para impedir el acceso a la red por parte de los extremos de la lista negra.
Portal de autorregistro
En el flujo de Central Web Authentication (CWA), los empleados son redirigidos a un portal que les permite introducir sus credenciales, autenticarse e introducir los datos específicos del activo concreto que desean registrar. Este portal se denomina portal de autoaprovisionamiento y es similar al portal de registro de dispositivos. Permite a los empleados introducir la dirección MAC, así como una descripción significativa del terminal.
Autenticación y aprovisionamiento
Una vez que los empleados seleccionan el portal de autorregistro, se les solicita que proporcionen un conjunto de credenciales de empleado válidas para continuar con la fase de aprovisionamiento. Después de una autenticación correcta, el terminal se puede aprovisionar en la base de datos de terminales y se genera un certificado para el terminal. Un enlace en la página permite al empleado descargar el Asistente de cabecera de suplicante (SPW).
Nota: Consulte el artículo de Cisco FlexConnect Feature Matrix para ver la matriz de funciones más reciente de FlexConnect para BYOD.
Aprovisionamiento para iOS (iPhone/iPad/iPod)
Para la configuración de EAP-TLS, ISE sigue el proceso de inscripción de Apple Over-the-Air (OTA):
- Después de una autenticación correcta, el motor de evaluación evalúa las políticas de aprovisionamiento de clientes, lo que da como resultado un perfil de solicitante.
- Si el perfil del solicitante es para la configuración de EAP-TLS, el proceso OTA determina si ISE está usando firma automática o firmada por una CA desconocida. Si se cumple una de las condiciones, se solicita al usuario que descargue el certificado de ISE o CA antes de que pueda comenzar el proceso de inscripción.
- Para otros métodos EAP, ISE envía el perfil final cuando la autenticación es correcta.
Aprovisionamiento para Android
Por motivos de seguridad, el agente de Android se debe descargar del sitio de Android Marketplace y no se puede aprovisionar desde ISE. Cisco carga una versión candidata a lanzamiento del asistente en Android Marketplace a través de la cuenta de editor de Cisco Android Marketplace.
Este es el proceso de aprovisionamiento de Android:
- Cisco utiliza el Kit de desarrollo de software (SDK) para crear el paquete de Android con una extensión .apk.
- Cisco carga un paquete en Android Marketplace.
- El usuario configura la política en el aprovisionamiento del cliente con los parámetros apropiados.
- Después del registro del dispositivo, el usuario final se redirige al servicio de aprovisionamiento del cliente cuando falla la autenticación dot1x.
- La página del portal de aprovisionamiento proporciona un botón que redirige al usuario al portal de Android Marketplace, donde puede descargar el SPW.
- Se inicia Cisco SPW y realiza el aprovisionamiento del solicitante:
- SPW detecta el ISE y descarga el perfil de ISE.
- SPW crea un par certificado/clave para EAP-TLS.
- SPW realiza una llamada de solicitud de proxy de protocolo simple de inscripción de certificados (SCEP) a ISE y obtiene el certificado.
- SPW aplica los perfiles inalámbricos.
- SPW activa la reautenticación si los perfiles se aplican correctamente.
- El SPW sale.
Registro automático de BYOD inalámbrico con SSID dual
Este es el proceso para el autorregistro de BYOD inalámbrico con SSID dual:
- El usuario se asocia al SSID de invitado.
- El usuario abre un navegador y se le redirige al portal de invitados de ISE CWA.
- El usuario introduce un nombre de usuario y una contraseña de empleado en el portal de invitados.
- ISE autentica al usuario y, basándose en el hecho de que se trata de un empleado y no de un invitado, redirige al usuario a la página de invitados de registro de dispositivos del empleado.
- La dirección MAC se rellena automáticamente en la página de invitado Device Registration para DeviceID. El usuario introduce una descripción y acepta la política de uso aceptable (AUP) si es necesario.
- El usuario selecciona Accept y comienza a descargar e instalar el SPW.
- El solicitante del dispositivo de ese usuario se suministra junto con los certificados.
- Se produce CoA y el dispositivo se vuelve a asociar al SSID corporativo (CORP) y se autentica con EAP-TLS (u otro método de autorización en uso para ese solicitante).
Registro automático de BYOD inalámbrico SSID único
En esta situación, existe un único SSID para el acceso corporativo (CORP) que admite tanto el protocolo de autenticación ampliable protegido (PEAP) como EAP-TLS. No hay SSID de invitado.
Este es el proceso para el autorregistro de BYOD inalámbrico con un solo SSID:
- El usuario se asocia a CORP.
- El usuario introduce un nombre de usuario y una contraseña de empleado en el solicitante para la autenticación PEAP.
- ISE autentica al usuario y, en función del método PEAP, proporciona una política de autorización de aceptar con redirigir a la página de invitados Registro de dispositivos de empleados.
- El usuario abre un navegador y se le redirige a la página de invitados Registro de dispositivo de empleado.
- La dirección MAC se rellena automáticamente en la página de invitado Device Registration para DeviceID. El usuario introduce una descripción y acepta la PUA.
- El usuario selecciona Accept y comienza a descargar e instalar el SPW.
- El solicitante del dispositivo de ese usuario se suministra junto con los certificados.
- Se produce CoA y el dispositivo se vuelve a asociar al SSID CORP y se autentica con EAP-TLS.
Configuración de funciones
Complete estos pasos para comenzar la configuración:
- Para esta guía, asegúrese de que la versión del WLC es 7.2.110.0 o posterior.
![byod-flexconnect-dg-002.gif byod-flexconnect-dg-002.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-002.gif)
- Navegue hasta Seguridad > RADIUS > Autenticación, y agregue el servidor RADIUS al WLC.
![byod-flexconnect-dg-003.gif byod-flexconnect-dg-003.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-003.gif)
- Agregue ISE 1.1.1 al WLC:
- Introduzca una clave secreta compartida.
- Establezca Support for RFC 3576 en Enabled.
![byod-flexconnect-dg-004.gif byod-flexconnect-dg-004.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-004.gif)
- Agregue el mismo servidor ISE que un servidor de cuentas RADIUS.
![byod-flexconnect-dg-005.gif byod-flexconnect-dg-005.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-005.gif)
- Cree una ACL previa a la autenticación WLC para usarla en la política ISE más adelante. Navegue hasta WLC > Security > Access Control Lists > FlexConnect ACL y cree una nueva ACL de FlexConnect denominada ACL-REDIRECT (en este ejemplo).
![byod-flexconnect-dg-006.gif byod-flexconnect-dg-006.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-006.gif)
- En las reglas de ACL, permita todo el tráfico hacia/desde el ISE y permita el tráfico del cliente durante el aprovisionamiento del solicitante.
- Para la primera regla (secuencia 1):
- Establezca Source en Any.
- Establecer IP (dirección ISE)/máscara de red 255.255.255.255.
- Establezca Acción en Permitir.
![byod-flexconnect-dg-007.gif byod-flexconnect-dg-007.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-007.gif)
- Para la segunda regla (secuencia 2), establezca la IP de origen (dirección ISE)/ máscara 255.255.255.255 en Any y la acción en Permit.
![byod-flexconnect-dg-008.gif byod-flexconnect-dg-008.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-008.gif)
- Cree un nuevo grupo de FlexConnect denominado Flex1 (en este ejemplo):
- Vaya a la pestaña FlexConnect Group > WebPolicies.
- En el campo WebPolicy ACL, haga clic en Add y seleccione ACL-REDIRECT o la ACL de FlexConnect creada anteriormente.
- Confirme que rellena el campo Listas de control de acceso de WebPolicy.
![byod-flexconnect-dg-009.gif byod-flexconnect-dg-009.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-009.gif)
- Haga clic en Apply y Save Configuration.
Configuración de WLAN
Complete estos pasos para configurar el WLAN:
- Cree un SSID de WLAN abierto para el ejemplo de SSID dual:
- Introduzca un nombre WLAN: DemoCWA (en este ejemplo).
- Seleccione la opción Activado para Estado.
![byod-flexconnect-dg-010.gif byod-flexconnect-dg-010.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-010.gif)
- Navegue hasta la pestaña Seguridad > pestaña Capa 2 y establezca estos atributos:
- Seguridad de capa 2: ninguna
- Filtrado de MAC: habilitado (la casilla está activada)
- Transición rápida: Desactivada (la casilla no está activada)
![byod-flexconnect-dg-011.gif byod-flexconnect-dg-011.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-011.gif)
- Vaya a la pestaña AAA Servers y establezca estos atributos:
- Servidores de cuentas y autenticación: Habilitado
- Servidor 1: <dirección IP de ISE>
![byod-flexconnect-dg-012.gif byod-flexconnect-dg-012.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-012.gif)
- Desplácese hacia abajo desde la pestaña AAA Servers. En Orden de prioridad de autenticación para el usuario de autenticación web, asegúrese de que RADIUS se utiliza para la autenticación y de que no se utilizan los demás.
![byod-flexconnect-dg-013.gif byod-flexconnect-dg-013.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-013.gif)
- Vaya a la pestaña Advanced y establezca estos atributos:
- Permitir Sustitución de AAA: Activado
- Estado de NAC: Radius NAC
![byod-flexconnect-dg-014.gif byod-flexconnect-dg-014.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-014.gif)
Nota: El control de admisión a la red (NAC) de RADIUS no se admite cuando el punto de acceso de FlexConnect está en modo desconectado. Por lo tanto, si el AP de FlexConnect está en modo autónomo y pierde la conexión con el WLC, todos los clientes se desconectan y el SSID ya no se anuncia.
- Desplácese hacia abajo en la ficha Advanced (Opciones avanzadas) y establezca FlexConnect Local Switching en Enabled.
![byod-flexconnect-dg-015.gif byod-flexconnect-dg-015.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-015.gif)
- Haga clic en Apply y Save Configuration.
![byod-flexconnect-dg-016.gif byod-flexconnect-dg-016.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-016.gif)
- Cree un SSID de WLAN 802.1X denominado Demo1x (en este ejemplo) para escenarios de SSID único y dual.
![byod-flexconnect-dg-017.gif byod-flexconnect-dg-017.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-017.gif)
- Navegue hasta la pestaña Seguridad > pestaña Capa 2 y establezca estos atributos:
- Seguridad de capa 2: WPA+WPA2
- Transición rápida: Desactivada (la casilla no está activada)
- Administración de claves de autenticación: 802.lX: Habilitar
![byod-flexconnect-dg-018.gif byod-flexconnect-dg-018.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-018.gif)
- Vaya a la pestaña Advanced y establezca estos atributos:
- Permitir Sustitución de AAA: Activado
- Estado de NAC: Radius NAC
![byod-flexconnect-dg-019.gif byod-flexconnect-dg-019.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-019.gif)
- Desplácese hacia abajo en la pestaña Advanced y establezca FlexConnect Local Switching en Enabled.
![byod-flexconnect-dg-020.gif byod-flexconnect-dg-020.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-020.gif)
- Haga clic en Apply y Save Configuration.
![byod-flexconnect-dg-021.gif byod-flexconnect-dg-021.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-021.gif)
- Confirme que ambas WLANs nuevas fueron creadas.
![byod-flexconnect-dg-022.gif byod-flexconnect-dg-022.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-022.gif)
Configuración AP de FlexConnect
Complete estos pasos para configurar el AP de FlexConnect:
- Navegue hasta WLC > Wireless, y haga clic en el AP FlexConnect de destino.
![byod-flexconnect-dg-023.gif byod-flexconnect-dg-023.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-023.gif)
- Haga clic en la pestaña FlexConnect.
![byod-flexconnect-dg-024.gif byod-flexconnect-dg-024.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-024.gif)
- Habilite el Soporte de VLAN (la casilla está marcada), establezca el ID de VLAN nativa y haga clic en Asignaciones de VLAN.
![byod-flexconnect-dg-025.gif byod-flexconnect-dg-025.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-025.gif)
- Establezca el ID de VLAN en 21 (en este ejemplo) para el SSID para la conmutación local.
![byod-flexconnect-dg-026.gif byod-flexconnect-dg-026.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-026.gif)
- Haga clic en Apply y Save Configuration.
Configuración de ISE
Complete estos pasos para configurar el ISE:
- Inicie sesión en el servidor de ISE: <https://ise>.
![byod-flexconnect-dg-027.gif byod-flexconnect-dg-027.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-027.gif)
- Vaya a Administration > Identity Management > External Identity Sources.
![byod-flexconnect-dg-028.gif byod-flexconnect-dg-028.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-028.gif)
- Haga clic en Active Directory.
![byod-flexconnect-dg-029.gif byod-flexconnect-dg-029.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-029.gif)
- En la ficha Conexión:
- Agregue el nombre de dominio corp.rf-demo.com (en este ejemplo) y cambie el valor predeterminado del nombre de almacén de identidad a AD1.
- Haga clic en Save Configuration.
- Haga clic en Unirse y proporcione el nombre de usuario y la contraseña de la cuenta de administrador de AD necesarios para unirse.
- El estado debe ser verde. Habilitar Conectado a: (la casilla está activada).
![byod-flexconnect-dg-030.gif byod-flexconnect-dg-030.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-030.gif)
- Realice una prueba de conexión básica al AD con un usuario de dominio actual.
![byod-flexconnect-dg-031.gif byod-flexconnect-dg-031.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-031.gif)
- Si la conexión a AD se realiza correctamente, un cuadro de diálogo confirma que la contraseña es correcta.
![byod-flexconnect-dg-032.gif byod-flexconnect-dg-032.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-032.gif)
- Navegue hasta Administración > Administración de identidades > Orígenes de identidades externas:
- Haga clic en Perfil de autenticación de certificado.
- Haga clic en Agregar para obtener un nuevo perfil de autenticación de certificados (CAP).
![byod-flexconnect-dg-033.gif byod-flexconnect-dg-033.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-033.gif)
- Ingrese un nombre de CertAuth (en este ejemplo) para el CAP; para el Atributo Principal Username X509, seleccione Nombre Común; luego, haga clic en Enviar.
![byod-flexconnect-dg-034.gif byod-flexconnect-dg-034.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-034.gif)
- Confirme que se ha agregado el nuevo CAP.
![byod-flexconnect-dg-035.gif byod-flexconnect-dg-035.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-035.gif)
- Navegue hasta Administration > Identity Management > Identity Source Sequences, y haga clic en Add .
![byod-flexconnect-dg-036.gif byod-flexconnect-dg-036.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-036.gif)
- Asigne a la secuencia el nombre TestSequence (en este ejemplo).
![byod-flexconnect-dg-037.gif byod-flexconnect-dg-037.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-037.gif)
- Desplácese hacia abajo hasta Autenticación basada en certificados:
- Habilitar Seleccionar perfil de autenticación de certificado (casilla activada).
- Seleccione CertAuth (u otro perfil CAP creado anteriormente).
![byod-flexconnect-dg-038.gif byod-flexconnect-dg-038.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-038.gif)
- Desplácese hacia abajo hasta Authentication Search List:
- Mover AD1 de Disponible a Seleccionado.
- Haga clic en el botón arriba para mover AD1 a la prioridad superior.
![byod-flexconnect-dg-039.gif byod-flexconnect-dg-039.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-039.gif)
- Haga clic en Enviar para guardar.
![byod-flexconnect-dg-040.gif byod-flexconnect-dg-040.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-040.gif)
- Confirme que se ha agregado la nueva secuencia de origen de identidad.
![byod-flexconnect-dg-041.gif byod-flexconnect-dg-041.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-041.gif)
- Utilice AD para autenticar el portal Mis dispositivos. Vaya a ISE > Administration > Identity Management > Identity Source Sequence y edite MyDevices_Portal_Sequence.
![byod-flexconnect-dg-042.gif byod-flexconnect-dg-042.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-042.gif)
- Agregue AD1 a la lista Selected y haga clic en el botón arriba para mover AD1 a la prioridad superior.
![byod-flexconnect-dg-043.gif byod-flexconnect-dg-043.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-043.gif)
- Click Save.
![byod-flexconnect-dg-044.gif byod-flexconnect-dg-044.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-044.gif)
- Confirme que la secuencia del almacén de identidades para MyDevices_Portal_Sequence contiene AD1.
![byod-flexconnect-dg-045.gif byod-flexconnect-dg-045.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-045.gif)
- Repita los pasos 16-19 para agregar AD1 para Guest_Portal_Sequence y haga clic en Save.
![byod-flexconnect-dg-046.gif byod-flexconnect-dg-046.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-046.gif)
- Confirme que Guest_Portal_Sequence contiene AD1.
![byod-flexconnect-dg-047.gif byod-flexconnect-dg-047.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-047.gif)
- Para agregar el WLC al dispositivo de acceso a la red (WLC), navegue hasta Administración > Recursos de red > Dispositivos de red, y haga clic Agregar.
![byod-flexconnect-dg-048.gif byod-flexconnect-dg-048.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-048.gif)
- Agregue el nombre del WLC, la dirección IP, la máscara de subred, etc.
![byod-flexconnect-dg-049.gif byod-flexconnect-dg-049.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-049.gif)
- Desplácese hasta Configuración de autenticación e introduzca la clave secreta compartida. Debe coincidir con el secreto compartido del WLC RADIUS.
![byod-flexconnect-dg-050.gif byod-flexconnect-dg-050.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-050.gif)
- Haga clic en Submit (Enviar).
- Vaya a ISE > Policy > Policy Elements > Results.
![byod-flexconnect-dg-051.gif byod-flexconnect-dg-051.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-051.gif)
- Expanda Resultados y Autorización, haga clic en Perfiles de Autorización, y haga clic en Agregar para obtener un nuevo perfil.
![byod-flexconnect-dg-052.gif byod-flexconnect-dg-052.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-052.gif)
- Proporcione a este perfil estos valores:
- Nombre: CWA
![byod-flexconnect-dg-053.gif byod-flexconnect-dg-053.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-053.gif)
- Habilitar autenticación Web (casilla activada):
- Autenticación web: centralizada
- ACL: ACL-REDIRECT (Debe coincidir con el nombre de ACL de autenticación previa del WLC.)
- Redirigir: Predeterminado
![byod-flexconnect-dg-054.gif byod-flexconnect-dg-054.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-054.gif)
- Haga clic en Submit y confirme que se ha agregado el perfil de autorización de CWA.
![byod-flexconnect-dg-055.gif byod-flexconnect-dg-055.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-055.gif)
- Haga clic en Agregar para crear un nuevo perfil de autorización.
![byod-flexconnect-dg-056.gif byod-flexconnect-dg-056.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-056.gif)
- Proporcione a este perfil estos valores:
- Nombre: Provisión
![byod-flexconnect-dg-057.gif byod-flexconnect-dg-057.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-057.gif)
- Habilitar autenticación Web (casilla activada):
- Valor de autenticación web: aprovisionamiento de suplicante
![byod-flexconnect-dg-058.gif byod-flexconnect-dg-058.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-058.gif)
- ACL: ACL-REDIRECT (Debe coincidir con el nombre de ACL de autenticación previa del WLC.)
![byod-flexconnect-dg-059.gif byod-flexconnect-dg-059.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-059.gif)
- Haga clic en Submit y confirme que se ha agregado el perfil de autorización de provisiones.
![byod-flexconnect-dg-060.gif byod-flexconnect-dg-060.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-060.gif)
- Desplácese hacia abajo en Resultados, expanda Aprovisionamiento del cliente y haga clic en Recursos.
![byod-flexconnect-dg-061.gif byod-flexconnect-dg-061.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-061.gif)
- Seleccione Native Supplicant Profile.
![byod-flexconnect-dg-062.gif byod-flexconnect-dg-062.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-062.gif)
- Dé al perfil el nombre de WirelessSP (en este ejemplo).
![byod-flexconnect-dg-063.gif byod-flexconnect-dg-063.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-063.gif)
- Introduzca estos valores:
- Tipo de conexión: inalámbrica
- SSID: Demo1x (este valor proviene de la configuración WLAN WLC 802.1x)
- Protocolo permitido: TLS
- Tamaño de clave: 1024
![byod-flexconnect-dg-064.gif byod-flexconnect-dg-064.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-064.gif)
- Haga clic en Submit (Enviar).
- Click Save.
![byod-flexconnect-dg-065.gif byod-flexconnect-dg-065.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-065.gif)
- Confirme que se ha agregado el nuevo perfil.
![byod-flexconnect-dg-066.gif byod-flexconnect-dg-066.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-066.gif)
- Vaya a Policy > Client Provisioning.
![byod-flexconnect-dg-067.gif byod-flexconnect-dg-067.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-067.gif)
- Introduzca estos valores para la regla de aprovisionamiento de dispositivos iOS:
- Nombre de regla: iOS
- Grupos de identidad: Cualquiera
![byod-flexconnect-dg-068.gif byod-flexconnect-dg-068.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-068.gif)
- Sistemas operativos: Mac iOS Todo
![byod-flexconnect-dg-069.gif byod-flexconnect-dg-069.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-069.gif)
- Resultados: WirelessSP (este es el perfil de suplicante nativo creado anteriormente)
![byod-flexconnect-dg-070.gif byod-flexconnect-dg-070.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-070.gif)
- Vaya a Results > Wizard Profile (Lista desplegable) > WirelessSP.
![byod-flexconnect-dg-071.gif byod-flexconnect-dg-071.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-071.gif)
![byod-flexconnect-dg-072.gif byod-flexconnect-dg-072.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-072.gif)
- Confirme que se ha agregado el perfil de abastecimiento de iOS.
![byod-flexconnect-dg-073.gif byod-flexconnect-dg-073.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-073.gif)
- En el lado derecho de la primera regla, localice la lista desplegable Acciones y seleccione Duplicar a continuación (o arriba).
![byod-flexconnect-dg-074.gif byod-flexconnect-dg-074.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-074.gif)
- Cambie el nombre de la nueva regla a Android.
![byod-flexconnect-dg-075.gif byod-flexconnect-dg-075.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-075.gif)
- Cambie los sistemas operativos a Android.
![byod-flexconnect-dg-076.gif byod-flexconnect-dg-076.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-076.gif)
- No modifique otros valores.
- Haga clic en Save (pantalla inferior izquierda).
![byod-flexconnect-dg-077.gif byod-flexconnect-dg-077.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-077.gif)
- Vaya a ISE > Policy > Authentication.
![byod-flexconnect-dg-078.gif byod-flexconnect-dg-078.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-078.gif)
- Modifique la condición para incluir Wireless_MAB y expanda Wired_MAB.
![byod-flexconnect-dg-079.gif byod-flexconnect-dg-079.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-079.gif)
- Haga clic en la lista desplegable Nombre de condición.
![byod-flexconnect-dg-080.gif byod-flexconnect-dg-080.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-080.gif)
- Seleccione Diccionarios > Condición compuesta.
![byod-flexconnect-dg-081.gif byod-flexconnect-dg-081.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-081.gif)
- Seleccione Wireless_MAB.
![byod-flexconnect-dg-082.gif byod-flexconnect-dg-082.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-082.gif)
- A la derecha de la regla, seleccione la flecha para expandir.
![byod-flexconnect-dg-083.gif byod-flexconnect-dg-083.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-083.gif)
- Seleccione estos valores en la lista desplegable:
- Origen de identidad: TestSequence (este es el valor creado anteriormente)
- Si falla la autenticación: Rechazar
- Si no se encuentra el usuario: Continuar
- Si el proceso ha fallado: Eliminar
![byod-flexconnect-dg-084.gif byod-flexconnect-dg-084.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-084.gif)
- Vaya a la regla Dot1X y cambie estos valores:
![byod-flexconnect-dg-085.gif byod-flexconnect-dg-085.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-085.gif)
- Click Save.
![byod-flexconnect-dg-088.gif byod-flexconnect-dg-088.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-088.gif)
- Vaya a ISE > Policy > Authorization.
![byod-flexconnect-dg-089.gif byod-flexconnect-dg-089.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-089.gif)
- Las reglas predeterminadas (como Lista negra predeterminada, Perfil y Predeterminada) ya están configuradas desde la instalación; las dos primeras se pueden omitir; la regla predeterminada se editará más adelante.
![byod-flexconnect-dg-090.gif byod-flexconnect-dg-090.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-090.gif)
- A la derecha de la segunda regla (Teléfonos IP de Cisco con perfil), haga clic en la flecha hacia abajo junto a Editar y seleccione Insertar nueva regla debajo.
![byod-flexconnect-dg-091.gif byod-flexconnect-dg-091.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-091.gif)
Se agrega un nuevo nº de regla estándar.
![byod-flexconnect-dg-092.gif byod-flexconnect-dg-092.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-092.gif)
- Cambie el nombre de la regla de nº de regla estándar a OpenCWA. Esta regla inicia el proceso de registro en la WLAN abierta (SSID dual) para los usuarios que llegan a la red de invitado para tener dispositivos aprovisionados.
![byod-flexconnect-dg-093.gif byod-flexconnect-dg-093.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-093.gif)
- Haga clic en el signo más (+) de Condición(s) y haga clic en Seleccionar condición existente de la biblioteca.
![byod-flexconnect-dg-094.gif byod-flexconnect-dg-094.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-094.gif)
- Seleccione Condiciones compuestas > Wireless_MAB.
![byod-flexconnect-dg-095.gif byod-flexconnect-dg-095.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-095.gif)
- En el perfil AuthZ, haga clic en el signo más (+) y seleccione Standard.
![byod-flexconnect-dg-096.gif byod-flexconnect-dg-096.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-096.gif)
- Seleccione el CWA estándar (este es el perfil de autorización creado anteriormente).
![byod-flexconnect-dg-097.gif byod-flexconnect-dg-097.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-097.gif)
- Confirme que la regla se ha agregado con las condiciones y la autorización correctas.
![byod-flexconnect-dg-098.gif byod-flexconnect-dg-098.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-098.gif)
- Haga clic en Finalizado (en el lado derecho de la regla).
![byod-flexconnect-dg-099.gif byod-flexconnect-dg-099.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-099.gif)
- A la derecha de la misma regla, haga clic en la flecha hacia abajo junto a Editar y seleccione Insertar nueva regla debajo.
![byod-flexconnect-dg-100.gif byod-flexconnect-dg-100.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-100.gif)
- Cambie el nombre de la regla de n.º de regla estándar a PEAPrule (en este ejemplo). Esta regla es para PEAP (también se utiliza para el escenario SSID único) para comprobar que la autenticación de 802.1X sin seguridad de la capa de transporte (TLS) y el aprovisionamiento del suplicante de red se inicia con el perfil de autorización de provisión creado anteriormente.
![byod-flexconnect-dg-101.gif byod-flexconnect-dg-101.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-101.gif)
- Cambie la condición a Wireless_802.1X.
![byod-flexconnect-dg-102.gif byod-flexconnect-dg-102.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-102.gif)
- Haga clic en el icono de engranaje en el lado derecho de la condición y seleccione Agregar atributo/valor. Se trata de una condición 'and', no 'or'.
![byod-flexconnect-dg-103.gif byod-flexconnect-dg-103.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-103.gif)
- Localice y seleccione Network Access.
![byod-flexconnect-dg-104.gif byod-flexconnect-dg-104.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-104.gif)
- Seleccione AuthenticationMethod e ingrese estos valores:
![byod-flexconnect-dg-105.gif byod-flexconnect-dg-105.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-105.gif)
- AuthenticationMethod: Igual a
![byod-flexconnect-dg-106.gif byod-flexconnect-dg-106.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-106.gif)
- Seleccione MSCHAPV2.
![byod-flexconnect-dg-107.gif byod-flexconnect-dg-107.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-107.gif)
Este es un ejemplo de la regla; asegúrese de confirmar que la condición es AND.
![byod-flexconnect-dg-108.gif byod-flexconnect-dg-108.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-108.gif)
- En AuthZ Profile, seleccione Standard > Provisioning (este es el perfil de autorización creado anteriormente).
![byod-flexconnect-dg-109.gif byod-flexconnect-dg-109.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-109.gif)
![byod-flexconnect-dg-110.gif byod-flexconnect-dg-110.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-110.gif)
- Haga clic en Done (Listo).
![byod-flexconnect-dg-099.gif byod-flexconnect-dg-099.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-099.gif)
- A la derecha de la regla PEAP, haga clic en la flecha hacia abajo junto a Editar y seleccione Insertar nueva regla debajo.
![byod-flexconnect-dg-111.gif byod-flexconnect-dg-111.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-111.gif)
- Cambie el Nombre de regla de Nº de regla estándar a AllowRule (en este ejemplo). Esta regla se utilizará para permitir el acceso a los dispositivos registrados con certificados instalados.
![byod-flexconnect-dg-112.gif byod-flexconnect-dg-112.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-112.gif)
- En Condición(s), seleccione Condiciones compuestas.
![byod-flexconnect-dg-113.gif byod-flexconnect-dg-113.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-113.gif)
- Seleccione Wireless_802.1X.
![byod-flexconnect-dg-114.gif byod-flexconnect-dg-114.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-114.gif)
- Agregue un atributo AND.
![byod-flexconnect-dg-115.gif byod-flexconnect-dg-115.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-115.gif)
- Haga clic en el icono de engranaje en el lado derecho de la condición y seleccione Agregar atributo/valor.
![byod-flexconnect-dg-116.gif byod-flexconnect-dg-116.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-116.gif)
- Localice y seleccione Radius.
![byod-flexconnect-dg-117.gif byod-flexconnect-dg-117.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-117.gif)
- Seleccione Calling-Station-ID—[31].
![byod-flexconnect-dg-118.gif byod-flexconnect-dg-118.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-118.gif)
- Seleccione Equals.
![byod-flexconnect-dg-119.gif byod-flexconnect-dg-119.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-119.gif)
- Vaya a CERTIFICATE y haga clic en la flecha derecha.
![byod-flexconnect-dg-123.gif byod-flexconnect-dg-123.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-123.gif)
- Seleccione Nombre alternativo del asunto.
![byod-flexconnect-dg-121.gif byod-flexconnect-dg-121.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-121.gif)
- Para el perfil AuthZ, seleccione Standard.
![byod-flexconnect-dg-122.gif byod-flexconnect-dg-122.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-122.gif)
- Seleccione Permitir acceso.
![byod-flexconnect-dg-123.gif byod-flexconnect-dg-123.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-123.gif)
- Haga clic en Done (Listo).
![byod-flexconnect-dg-099.gif byod-flexconnect-dg-099.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-099.gif)
Este es un ejemplo de la regla:
![byod-flexconnect-dg-124.gif byod-flexconnect-dg-124.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-124.gif)
- Busque la regla predeterminada para cambiar PermitAccess a DenyAccess.
![byod-flexconnect-dg-125.gif byod-flexconnect-dg-125.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-125.gif)
- Haga clic en Edit para editar la regla predeterminada.
![byod-flexconnect-dg-126.gif byod-flexconnect-dg-126.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-126.gif)
- Vaya al perfil AuthZ existente de PermitAccess.
![byod-flexconnect-dg-127.gif byod-flexconnect-dg-127.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-127.gif)
- Seleccione Estándar.
![byod-flexconnect-dg-128.gif byod-flexconnect-dg-128.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-128.gif)
- Seleccione Denegar acceso.
![byod-flexconnect-dg-129.gif byod-flexconnect-dg-129.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-129.gif)
- Confirme que la regla predeterminada tenga DenyAccess si no se encuentra ninguna coincidencia.
![byod-flexconnect-dg-130.gif byod-flexconnect-dg-130.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-130.gif)
- Haga clic en Done (Listo).
![byod-flexconnect-dg-099.gif byod-flexconnect-dg-099.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-099.gif)
Este es un ejemplo de las reglas principales requeridas para esta prueba; son aplicables para un escenario SSID único o SSID dual.
![byod-flexconnect-dg-131.gif byod-flexconnect-dg-131.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-131.gif)
- Click Save.
![byod-flexconnect-dg-132.gif byod-flexconnect-dg-132.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-132.gif)
- Navegue hasta ISE > Administration > System > Certificates para configurar el servidor ISE con un perfil SCEP.
![byod-flexconnect-dg-133.gif byod-flexconnect-dg-133.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-133.gif)
- En Operaciones de certificados, haga clic en Perfiles de CA de SCEP.
![byod-flexconnect-dg-134.gif byod-flexconnect-dg-134.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-134.gif)
- Haga clic en Add (Agregar).
![byod-flexconnect-dg-135.gif byod-flexconnect-dg-135.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-135.gif)
- Introduzca estos valores para este perfil:
- Nombre: mySCEP (en este ejemplo)
- URL: https://<ca-server>/CertSrv/mscep/ (Compruebe la configuración del servidor de la CA para obtener la dirección correcta).
![byod-flexconnect-dg-136.gif byod-flexconnect-dg-136.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-136.gif)
- Haga clic en Probar Conectividad para probar la conectividad de la conexión SCEP.
![byod-flexconnect-dg-137.gif byod-flexconnect-dg-137.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-137.gif)
- Esta respuesta muestra que la conectividad del servidor se ha realizado correctamente.
![byod-flexconnect-dg-138.gif byod-flexconnect-dg-138.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-138.gif)
- Haga clic en Submit (Enviar).
![byod-flexconnect-dg-139.gif byod-flexconnect-dg-139.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-139.gif)
- El servidor responde que el perfil de la CA se creó correctamente.
![byod-flexconnect-dg-140.gif byod-flexconnect-dg-140.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-140.gif)
- Confirme que se ha agregado el perfil de CA de SCEP.
![byod-flexconnect-dg-141.gif byod-flexconnect-dg-141.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-141.gif)
Experiencia de usuario: aprovisionamiento de iOS
SSID doble
En esta sección se trata el SSID dual y se describe cómo conectarse al invitado que se va a aprovisionar y cómo conectarse a una WLAN 802.1x.
Complete estos pasos para aprovisionar iOS en el escenario de SSID dual:
- En el dispositivo iOS, vaya a Wi-Fi Networks, y seleccione DemoCWA (WLAN abierta configurada en WLC).
![byod-flexconnect-dg-142.gif byod-flexconnect-dg-142.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-142.gif)
- Abra el navegador Safari en el dispositivo con iOS y visite una URL accesible (por ejemplo, un servidor web interno/externo). ISE le redirige al portal. Haga clic en Continue (Continuar).
![byod-flexconnect-dg-143.gif byod-flexconnect-dg-143.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-143.gif)
- Se le redirigirá al portal de invitados para iniciar sesión.
![byod-flexconnect-dg-144.gif byod-flexconnect-dg-144.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-144.gif)
- Inicie sesión con una cuenta de usuario y una contraseña de AD. Instale el perfil de la CA cuando se le solicite.
![byod-flexconnect-dg-145.gif byod-flexconnect-dg-145.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-145.gif)
- Haga clic en Instalar certificado de confianza del servidor de la CA.
![byod-flexconnect-dg-146.gif byod-flexconnect-dg-146.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-146.gif)
- Haga clic en Finalizado una vez que el perfil esté completamente instalado.
![byod-flexconnect-dg-147.gif byod-flexconnect-dg-147.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-147.gif)
- Vuelva al explorador y haga clic en Register (Registrar). Anote el ID de dispositivo que contiene la dirección MAC del dispositivo.
![byod-flexconnect-dg-148.gif byod-flexconnect-dg-148.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-148.gif)
- Haga clic en Install para instalar el perfil verificado.
![byod-flexconnect-dg-149.gif byod-flexconnect-dg-149.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-149.gif)
- Haga clic en Instalar ahora.
![byod-flexconnect-dg-150.gif byod-flexconnect-dg-150.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-150.gif)
- Una vez finalizado el proceso, el perfil de WirelessSP confirma que el perfil está instalado. Haga clic en Done (Listo).
![byod-flexconnect-dg-151.gif byod-flexconnect-dg-151.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-151.gif)
- Vaya a Wi-Fi Networks y cambie la red a Demo1x. El dispositivo ya está conectado y utiliza TLS.
![byod-flexconnect-dg-152.gif byod-flexconnect-dg-152.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-152.gif)
- En ISE, vaya a Operaciones > Autenticaciones. Los eventos muestran el proceso en el que el dispositivo está conectado a la red abierta de invitados, pasa por el proceso de registro con aprovisionamiento de suplicante y se le permite el acceso a los permisos después del registro.
![byod-flexconnect-dg-153.gif byod-flexconnect-dg-153.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-153.gif)
- Vaya a ISE > Administration > Identity Management > Groups > Endpoint Identity Groups > RegisteredDevices. La dirección MAC se ha agregado a la base de datos.
![byod-flexconnect-dg-154.gif byod-flexconnect-dg-154.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-154.gif)
SSID único
En esta sección se trata un SSID único y se describe cómo conectarse directamente a una WLAN 802.1x, proporcionar un nombre de usuario/contraseña de AD para la autenticación PEAP, aprovisionar a través de una cuenta de invitado y volver a conectar con TLS.
Complete estos pasos para aprovisionar iOS en el escenario de SSID único:
- Si utiliza el mismo dispositivo iOS, elimine el terminal de los dispositivos registrados.
![byod-flexconnect-dg-155.gif byod-flexconnect-dg-155.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-155.gif)
- En el dispositivo con iOS, navegue hasta Configuración > Generales > Perfiles. Quite los perfiles instalados en este ejemplo.
![byod-flexconnect-dg-156.gif byod-flexconnect-dg-156.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-156.gif)
- Haga clic en Quitar para quitar los perfiles anteriores.
![byod-flexconnect-dg-157.gif byod-flexconnect-dg-157.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-157.gif)
![byod-flexconnect-dg-158.gif byod-flexconnect-dg-158.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-158.gif)
- Conéctese directamente al 802.1x con el dispositivo existente (desactivado) o con un nuevo dispositivo iOS.
- Conéctese a Dot1x, ingrese un nombre de usuario y contraseña, y haga clic en Unirse.
![byod-flexconnect-dg-159.gif byod-flexconnect-dg-159.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-159.gif)
- Repita los pasos 90 y siguientes desde la sección Configuración de ISE hasta que los perfiles adecuados estén completamente instalados.
- Navegue hasta ISE > Operaciones > Autenticaciones para monitorear el proceso. En este ejemplo se muestra el cliente que está conectado directamente a WLAN 802.1X mientras se aprovisiona, se desconecta y se vuelve a conectar a la misma WLAN con el uso de TLS.
![byod-flexconnect-dg-160.gif byod-flexconnect-dg-160.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-160.gif)
- Navegue hasta WLC > Monitor > [Client MAC]. En los detalles del cliente, observe que el cliente está en el estado RUN, que el switching de datos está configurado en local y que la autenticación es central. Esto se aplica a los clientes que se conectan a FlexConnect AP.
![](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-160.gif)
Experiencia de usuario: aprovisionamiento de Android
SSID doble
En esta sección se trata el SSID dual y se describe cómo conectarse al invitado que se va a aprovisionar y cómo conectarse a una WLAN 802.1x.
El proceso de conexión para el dispositivo Android es muy similar al de un dispositivo iOS (SSID único o dual). Sin embargo, una diferencia importante es que el dispositivo Android requiere acceso a Internet para acceder a Google Marketplace (ahora Google Play) y descargar el agente solicitante.
Complete estos pasos para aprovisionar un dispositivo Android (como el Samsung Galaxy en este ejemplo) en el escenario SSID dual:
- En el dispositivo Android, use Wi-Fi para conectarse a DemoCWA, y abra la WLAN de invitado.
![byod-flexconnect-dg-162.gif byod-flexconnect-dg-162.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-162.gif)
- Acepte cualquier certificado para conectarse a ISE.
![byod-flexconnect-dg-163.gif byod-flexconnect-dg-163.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-163.gif)
- Introduzca un nombre de usuario y una contraseña en el portal de invitados para iniciar sesión.
![byod-flexconnect-dg-164.gif byod-flexconnect-dg-164.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-164.gif)
- Haga clic en Register. El dispositivo intenta acceder a Internet para acceder a Google Marketplace. Agregue cualquier regla adicional a la ACL Pre-Auth (como ACL-REDIRECT) en el controlador para permitir el acceso a Internet.
![byod-flexconnect-dg-165.gif byod-flexconnect-dg-165.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-165.gif)
- Google enumera Cisco Network Setup como una aplicación para Android. Haga clic en INSTALL.
![byod-flexconnect-dg-166.gif byod-flexconnect-dg-166.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-166.gif)
- Inicie sesión en Google y haga clic en INSTALAR.
![byod-flexconnect-dg-167.gif byod-flexconnect-dg-167.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-167.gif)
- Click OK.
![byod-flexconnect-dg-168.gif byod-flexconnect-dg-168.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-168.gif)
- En el dispositivo Android, busque la aplicación Cisco SPW instalada y ábrala.
![byod-flexconnect-dg-169.gif byod-flexconnect-dg-169.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-169.gif)
- Asegúrese de que sigue conectado al portal de invitados desde su dispositivo Android.
- Haga clic en Start para iniciar el Wi-Fi Setup Assistant.
![byod-flexconnect-dg-170.gif byod-flexconnect-dg-170.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-170.gif)
- Cisco SPW comienza a instalar certificados.
![byod-flexconnect-dg-171.gif byod-flexconnect-dg-171.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-171.gif)
- Cuando se le solicite, establezca una contraseña para el almacenamiento de credenciales.
![byod-flexconnect-dg-172.gif byod-flexconnect-dg-172.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-172.gif)
- Cisco SPW devuelve con un nombre de certificado, que contiene la clave de usuario y el certificado de usuario. Haga clic en Aceptar para confirmar.
![byod-flexconnect-dg-173.gif byod-flexconnect-dg-173.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-173.gif)
- Cisco SPW continúa y solicita otro nombre de certificado, que contiene el certificado de la CA. Ingrese el nombre iseca (en este ejemplo), luego haga clic en Aceptar para continuar.
![byod-flexconnect-dg-174.gif byod-flexconnect-dg-174.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-174.gif)
- El dispositivo Android ya está conectado.
![byod-flexconnect-dg-175.gif byod-flexconnect-dg-175.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-175.gif)
Portal Mis dispositivos
El portal Mis dispositivos permite a los usuarios incluir en una lista negra los dispositivos registrados anteriormente en caso de pérdida o robo. También permite a los usuarios volver a inscribirse si es necesario.
Complete estos pasos para poner en la lista negra un dispositivo:
- Para iniciar sesión en el portal Mis dispositivos, abra un explorador, conéctese a https://ise-server:8443/mydevices (observe el número de puerto 8443) e inicie sesión con una cuenta de AD.
![byod-flexconnect-dg-176.gif byod-flexconnect-dg-176.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-176.gif)
- Localice el dispositivo bajo Device ID, y haga clic en Lost? para iniciar la lista negra de un dispositivo.
![byod-flexconnect-dg-177.gif byod-flexconnect-dg-177.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-177.gif)
- Cuando ISE solicite una advertencia, haga clic en Yes para continuar.
![byod-flexconnect-dg-178.gif byod-flexconnect-dg-178.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-178.gif)
- ISE confirma que el dispositivo está marcado como perdido.
![byod-flexconnect-dg-179.gif byod-flexconnect-dg-179.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-179.gif)
- Se bloquea cualquier intento de conexión a la red con el dispositivo registrado anteriormente, incluso si hay instalado un certificado válido. Este es un ejemplo de un dispositivo en la lista negra que falla la autenticación:
![byod-flexconnect-dg-180.gif byod-flexconnect-dg-180.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-180.gif)
- Un administrador puede navegar hasta ISE > Administration > Identity Management > Groups, hacer clic en Endpoint Identity Groups > Blacklist y ver que el dispositivo está en la lista negra.
![byod-flexconnect-dg-181.gif byod-flexconnect-dg-181.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-181.gif)
Complete estos pasos para restablecer un dispositivo en la lista negra:
- En el portal Mis dispositivos, haga clic en Restablecer para ese dispositivo.
![byod-flexconnect-dg-182.gif byod-flexconnect-dg-182.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-182.gif)
- Cuando ISE solicite una advertencia, haga clic en Yes para continuar.
![byod-flexconnect-dg-183.gif byod-flexconnect-dg-183.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-183.gif)
- ISE confirma que el dispositivo se ha restablecido correctamente. Conecte el dispositivo restablecido a la red para probar que el dispositivo ahora estará permitido.
![byod-flexconnect-dg-184.gif byod-flexconnect-dg-184.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-184.gif)
Referencia - Certificados
ISE no solo requiere un certificado raíz de CA válido, sino también un certificado válido firmado por CA.
Complete estos pasos para agregar, vincular e importar el nuevo certificado de CA de confianza:
- Vaya a ISE > Administration > System > Certificates, haga clic en Local Certificates y luego en Add.
![byod-flexconnect-dg-185.gif byod-flexconnect-dg-185.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-185.gif)
- Seleccione Generar solicitud de firma de certificado (CSR).
![byod-flexconnect-dg-186.gif byod-flexconnect-dg-186.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-186.gif)
- Introduzca el asunto del certificado CN=<ISE-SERVER hostname.FQDN>. Para los demás campos, puede utilizar el valor predeterminado o los valores requeridos por la configuración de CA. Haga clic en Submit (Enviar).
![byod-flexconnect-dg-187.gif byod-flexconnect-dg-187.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-187.gif)
- ISE comprueba que se ha generado la CSR.
![byod-flexconnect-dg-188.gif byod-flexconnect-dg-188.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-188.gif)
- Para acceder al CSR, haga clic en las operaciones Solicitud de firma de certificado.
![byod-flexconnect-dg-189.gif byod-flexconnect-dg-189.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-189.gif)
- Seleccione el CSR creado recientemente y, a continuación, haga clic en Exportar.
![byod-flexconnect-dg-190.gif byod-flexconnect-dg-190.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-190.gif)
- ISE exporta la CSR a un archivo .pem. Haga clic en Guardar archivo, luego haga clic en Aceptar para guardar el archivo en la máquina local.
![byod-flexconnect-dg-191.gif byod-flexconnect-dg-191.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-191.gif)
- Busque y abra el archivo de certificado de ISE con un editor de texto.
![byod-flexconnect-dg-192.gif byod-flexconnect-dg-192.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-192.gif)
- Copie todo el contenido del certificado.
![byod-flexconnect-dg-193.gif byod-flexconnect-dg-193.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-193.gif)
- Conéctese al servidor de la CA e inicie sesión con una cuenta de administrador. El servidor es una CA de Microsoft 2008 en https://10.10.10.10/certsrv (en este ejemplo).
![byod-flexconnect-dg-194.gif byod-flexconnect-dg-194.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-194.gif)
- Haga clic en Solicitar un certificado.
![byod-flexconnect-dg-195.gif byod-flexconnect-dg-195.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-195.gif)
- Haga clic en Advanced Certificate Request.
![byod-flexconnect-dg-196.gif byod-flexconnect-dg-196.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-196.gif)
- Haga clic en la segunda opción para enviar una solicitud de certificado mediante un CMC codificado en base 64 o ... .
![byod-flexconnect-dg-197.gif byod-flexconnect-dg-197.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-197.gif)
- Pegue el contenido del archivo de certificado de ISE (.pem) en el campo Solicitud guardada, asegúrese de que la plantilla de certificado es Servidor web y haga clic en Enviar.
![byod-flexconnect-dg-198.gif byod-flexconnect-dg-198.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-198.gif)
- Haga clic en Descargar certificado.
![byod-flexconnect-dg-199.gif byod-flexconnect-dg-199.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-199.gif)
- Guarde el archivo certnew.cer; se utilizará más adelante para enlazar con ISE.
![byod-flexconnect-dg-200.gif byod-flexconnect-dg-200.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-200.gif)
- En Certificados de ISE, vaya a Certificados locales y haga clic en Agregar > Enlazar certificado de CA.
![byod-flexconnect-dg-201.gif byod-flexconnect-dg-201.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-201.gif)
- Busque el certificado que se guardó en el equipo local en el paso anterior, habilite los protocolos EAP y Management Interface (las casillas están activadas) y haga clic en Submit. ISE puede tardar varios minutos o más en reiniciar los servicios.
![byod-flexconnect-dg-202.gif byod-flexconnect-dg-202.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-202.gif)
- Vuelva a la página de inicio de la CA (https://CA/certsrv/) y haga clic en Descargar un certificado de CA, cadena de certificados o CRL.
![byod-flexconnect-dg-203.gif byod-flexconnect-dg-203.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-203.gif)
- Haga clic en Descargar certificado de CA.
![byod-flexconnect-dg-204.gif byod-flexconnect-dg-204.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-204.gif)
- Guarde el archivo en el equipo local.
![byod-flexconnect-dg-205.gif byod-flexconnect-dg-205.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-205.gif)
- Con el servidor ISE online, vaya a Certificates y haga clic en Certificate Authority Certificates.
![byod-flexconnect-dg-206.gif byod-flexconnect-dg-206.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-206.gif)
- Haga clic en Importar.
![byod-flexconnect-dg-207.gif byod-flexconnect-dg-207.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-207.gif)
- Busque el certificado de la CA, habilite Confianza para la autenticación del cliente (la casilla está marcada) y haga clic en Enviar.
![byod-flexconnect-dg-208.gif byod-flexconnect-dg-208.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-208.gif)
- Confirme que se ha agregado el nuevo certificado de CA de confianza.
![byod-flexconnect-dg-209.gif byod-flexconnect-dg-209.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-209.gif)
Información Relacionada