Comprender y configurar EAP-TLS con Mobility Express e ISE

Opciones de descarga

  • PDF     (3.7 MB)
    Visualice con Adobe Reader en una variedad de dispositivos
  • ePub     (4.0 MB)
    Visualice en diferentes aplicaciones en iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (2.3 MB)
    Visualice en dispositivo Kindle o aplicación Kindle en múltiples dispositivos
Actualizado:27 de agosto de 2020
ID del documento:213579

Lenguaje no discriminatorio

El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.

Acerca de esta traducción

Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).

    Introducción

    Este documento describe cómo configurar una red de área local inalámbrica (WLAN) con seguridad 802.1x en un controlador Mobility Express. Este documento también explica el uso específico del protocolo de autenticación extensible (EAP): seguridad de la capa de transporte (TLS).

    Prerequisites

    Requirements

    Cisco recomienda que tenga conocimiento sobre estos temas:

    • Configuración inicial de Mobility Express
    • Proceso de autenticación 802.1x
    • Certificados

    Componentes Utilizados

    La información que contiene este documento se basa en las siguientes versiones de software y hardware.

    • WLC 5508 versión 8.5
    • Identity Services Engine (ISE) versión 2.1

    The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Si tiene una red en vivo, asegúrese de entender el posible impacto de cualquier comando.

    Antecedentes

    Flujo EAP-TLS

    Pasos en el Flujo EAP-TLS

    1. El cliente inalámbrico se asocia con el punto de acceso (AP).
    1. AP no permite que el cliente envíe ningún dato en este punto y envía una solicitud de autenticación.
    1. A continuación, el suplicante responde con una identidad de respuesta EAP. A continuación, el WLC comunica la información de ID de usuario al servidor de autenticación.
    1. El servidor RADIUS responde al cliente con un paquete de inicio EAP-TLS. La conversación EAP-TLS comienza en este punto.
    1. El par envía un EAP-Response de vuelta al servidor de autenticación que contiene un mensaje de entrada en contacto "client_hello", un dígito que está configurado como NULL.
    1. El servidor de autenticación responde con un paquete de desafío de acceso que contiene:
    TLS server_hello
handshake message
certificate
server_key_exchange
certificate request
server_hello_done.
    1. El cliente responde con un mensaje EAP-Response que contiene:
    Certificate ¬ Server can validate to verify that it is trusted.

client_key_exchange

certificate_verify ¬ Verifies the server is trusted

change_cipher_spec

TLS finished
    1. Después de que el cliente se autentica correctamente, el servidor RADIUS responde con un desafío de acceso, que contiene el mensaje "change_cipher_spec" y entrada en contacto. Al recibir esto, el cliente verifica el hash para autenticar el servidor RADIUS. Una nueva clave de cifrado se deriva dinámicamente del secreto durante el intercambio de señales TLS.
    1. En este momento, el cliente inalámbrico habilitado para EAP-TLS puede acceder a la red inalámbrica.

    Configurar

    Cisco Mobility Express

    Paso 1. El primer paso es crear una WLAN en Mobility Express. Para crear una WLAN, navegue hasta WLAN > Add new WLAN como se muestra en la imagen.

    Paso 2. Aparecerá una nueva ventana emergente cuando haga clic en Agregar nueva WLAN. Para crear un nombre de perfil, navegue hasta Add new WLAN > General como se muestra en la imagen.

    Paso 3. Configure el tipo de autenticación como WPA Enterprise para 802.1x y configure el servidor RADIUS bajo Agregar nueva WLAN > Seguridad WLAN como se muestra en la imagen.

    Paso 4. Haga clic en Add RADIUS Authentication Server y proporcione la dirección IP del servidor RADIUS y Shared Secret que debe coincidir exactamente con lo que se ha configurado en ISE y luego haga clic en Apply como se muestra en la imagen.

    ISE con Cisco Mobility Express

    Configuración EAP-TLS

    Para generar la política, debe crear la lista de protocolos permitidos para utilizarla en la política. Dado que se escribe una política dot1x, especifique el tipo EAP permitido en función de cómo se configura la política.

    Si utiliza el valor predeterminado, permite la mayoría de los tipos de EAP para la autenticación, que puede no ser preferible si necesita bloquear el acceso a un tipo de EAP específico.

    Paso 1. Vaya a Policy > Policy Elements > Results > Authentication > Allowed Protocols y haga clic en Add como se muestra en la imagen.

    Paso 2. En esta lista de protocolo permitido, puede introducir el nombre de la lista. En este caso, la casilla Allow EAP-TLS está marcada y otras casillas están desmarcadas como se muestra en la imagen.

    Configuración de Mobility Express en ISE

    Paso 1. Abra la consola ISE y navegue hasta Administration > Network Resources > Network Devices > Add como se muestra en la imagen.

    Paso 2. Introduzca la información como se muestra en la imagen.

    Certificado de confianza en ISE

    Paso 1. Vaya a Administration > System > Certificates > Certificate Management > Trusted certificates.

    Haga clic en Importar para importar un certificado a ISE. Una vez que agrega un WLC y crea un usuario en ISE, debe hacer la parte más importante de EAP-TLS que es confiar en el certificado en ISE. Para ello, debe generar CSR.

    Paso 2. Vaya a Administración > Certificados > Solicitudes de firma de certificados > Generar solicitudes de firma de certificados (CSR) como se muestra en la imagen.

    Paso 3. Para generar CSR, navegue hasta Uso y desde Los certificados se utilizarán para opciones desplegables seleccione Autenticación EAP como se muestra en la imagen.

    Paso 4. Se puede ver la CSR generada en ISE. Haga clic en Ver como se muestra en la imagen.

    Paso 5. Una vez que se genera CSR, busque el servidor de la CA y haga clic en Solicitar un certificado como se muestra en la imagen:

    Paso 6. Una vez que solicita un certificado, obtiene opciones para Certificado de usuario y solicitud de certificado avanzado, haga clic en solicitud de certificado avanzado como se muestra en la imagen.

    Paso 7. Pegue la CSR generada en la solicitud de certificado codificado Base-64. En la opción Certificate Template: desplegable, elija Web Server y haga clic en Submit como se muestra en la imagen.

    Paso 8. Una vez que haga clic en Enviar, tendrá la opción de seleccionar el tipo de certificado, seleccione Base-64 codificado y haga clic en Descargar cadena de certificado como se muestra en la imagen.

    Paso 9. La descarga del certificado se ha completado para el servidor ISE. Puede extraer el certificado, el certificado contendrá dos certificados, un certificado raíz y otro intermedio. El certificado raíz se puede importar bajo Administración > Certificados > Certificados de confianza > Importar como se muestra en las imágenes.

    Paso 10. Una vez que haga clic en Enviar, el certificado se agrega a la lista de certificados de confianza. Además, el certificado intermedio es necesario para enlazar con CSR como se muestra en la imagen.

    Paso 11. Una vez que haga clic en Bind certificate, hay una opción para elegir el archivo de certificado guardado en su escritorio. Busque el certificado intermedio y haga clic en Enviar como se muestra en la imagen.

    Paso 12. Para ver el certificado, navegue hasta Administración > Certificados > Certificados del sistema como se muestra en la imagen.

    Cliente para EAP-TLS

    Descargar certificado de usuario en equipo cliente (escritorio de Windows)

    Paso 1. Para autenticar un usuario inalámbrico a través de EAP-TLS, debe generar un certificado de cliente. Conecte el ordenador con Windows a la red para poder acceder al servidor. Abra un navegador web e introduzca esta dirección: https://sever ip addr/certsrv—

    Paso 2. Tenga en cuenta que la CA debe ser la misma con la que se descargó el certificado para ISE.

    Para ello, debe buscar el mismo servidor de la CA que utilizó para descargar el certificado para el servidor. En la misma CA, haga clic en Solicitar un certificado como se hizo anteriormente, sin embargo, esta vez debe seleccionar Usuario como Plantilla de Certificado como se muestra en la imagen.

    Paso 3. A continuación, haga clic en descargar cadena de certificados como se hizo anteriormente para el servidor.

    Una vez que obtenga los certificados, siga estos pasos para importar el certificado en el portátil de windows.

    Paso 4. Para importar el certificado, debe tener acceso desde Microsoft Management Console (MMC).

    1. Para abrir MMC, navegue hasta Inicio > Ejecutar > MMC.
    2. Vaya a Archivo > Agregar o quitar complemento
    3. Haga doble clic en Certificados.
    4. Seleccione Cuenta de computadora.
    5. Seleccione Equipo local > Finalizar
    6. Haga clic en Aceptar para salir de la ventana Complemento.
    7. Haga clic en [+] junto a Certificados > Personal > Certificados.
    8. Haga clic con el botón derecho en Certificados y seleccione Todas las tareas > Importar.
    9. Haga clic en Next (Siguiente).
    10. Haga clic en Examinar.
    11. Seleccione .cer, .crt o .pfx que desea importar.
    12. Haga clic en Abrir.
    13. Haga clic en Next (Siguiente).
    14. Seleccione Automatically select the certificate store basado en el tipo de certificado.
    15. Haga clic en Finalizar y Aceptar

    Una vez realizada la importación del certificado, debe configurar su cliente inalámbrico (windows desktop en este ejemplo) para EAP-TLS.

    Perfil inalámbrico para EAP-TLS

    Paso 1. Cambie el perfil inalámbrico que se creó anteriormente para el protocolo de autenticación extensible protegido (PEAP) para utilizar en su lugar EAP-TLS. Haga clic en EAP Wireless Profile.

    Paso 2. Seleccione Microsoft: Tarjeta inteligente u otro certificado y haga clic en Aceptar como se muestra en la imagen.

    Paso 3. Haga clic en Settings y seleccione el certificado raíz emitido desde el servidor de la CA como se muestra en la imagen.

    Paso 4. Haga clic en Advanced Settings y seleccione User or computer authentication en la pestaña 802.1x settings como se muestra en la imagen.

    Paso 5. Ahora, intente conectarse de nuevo a la red inalámbrica, seleccione el perfil correcto (EAP en este ejemplo) y Conectar. Está conectado a la red inalámbrica como se muestra en la imagen.

    Verificación

    Utilize esta sección para confirmar que su configuración funcione correctamente.

    Paso 1. El tipo EAP del cliente debe ser EAP-TLS. Esto significa que el cliente ha completado la autenticación, con el uso de EAP-TLS, ha obtenido la dirección IP y está listo para pasar el tráfico como se muestra en las imágenes.

    Paso 2. A continuación se muestra el detalle del cliente de la CLI del controlador (salida recortada):

    (Cisco Controller) >show client detail 34:02:86:96:2f:b7
Client MAC Address............................... 34:02:86:96:2f:b7
Client Username ................................. Administrator
AP MAC Address................................... c8:f9:f9:83:47:b0
AP Name.......................................... AP442b.03a9.7f72 
AP radio slot Id................................. 1 
Client State..................................... Associated 
Client User Group................................ Administrator
Client NAC OOB State............................. Access
Wireless LAN Id.................................. 6 
Wireless LAN Network Name (SSID)................. ME_EAP
Wireless LAN Profile Name........................ ME_EAP
Hotspot (802.11u)................................ Not Supported
BSSID............................................ c8:f9:f9:83:47:ba 
Connected For ................................... 18 secs
Channel.......................................... 56 
IP Address....................................... 10.127.209.55
Gateway Address.................................. 10.127.209.49
Netmask.......................................... 255.255.255.240
IPv6 Address..................................... fe80::2818:15a4:65f9:842
--More-- or (q)uit
Security Policy Completed........................ Yes
Policy Manager State............................. RUN
Policy Type...................................... WPA2
Authentication Key Management.................... 802.1x
Encryption Cipher................................ CCMP-128 (AES)
Protected Management Frame ...................... No
Management Frame Protection...................... No
EAP Type......................................... EAP-TLS

    Paso 3. En ISE, navegue hasta Visibilidad de contexto > Terminales > Atributos como se muestra en las imágenes.

    Troubleshoot

    Actualmente, no hay información específica de troubleshooting disponible para esta configuración.

    TAC Authored

    Con la colaboración de ingenieros de Cisco

    • Bharti Khatri
      Cisco TAC Engineer

    ¿Resultó útil este documento?

    FeedbackComentarios

    Contacte a Cisco

    Este documento se aplica a estos productos