Secure ACS per Windows v3.2 con autenticazione computer EAP-TLS

Opzioni per il download

  • PDF     (673.6 KB)
    Visualizza con Adobe Reader su diversi dispositivi
  • ePub     (563.3 KB)
    Visualizza in diverse app su iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (1.8 MB)
    Visualizza su dispositivo Kindle o tramite app Kindle su più dispositivi
Aggiornato:28 aprile 2009
ID documento:43722

Linguaggio senza pregiudizi

La documentazione per questo prodotto è stata redatta cercando di utilizzare un linguaggio senza pregiudizi. Ai fini di questa documentazione, per linguaggio senza di pregiudizi si intende un linguaggio che non implica discriminazioni basate su età, disabilità, genere, identità razziale, identità etnica, orientamento sessuale, status socioeconomico e intersezionalità. Le eventuali eccezioni possono dipendere dal linguaggio codificato nelle interfacce utente del software del prodotto, dal linguaggio utilizzato nella documentazione RFP o dal linguaggio utilizzato in prodotti di terze parti a cui si fa riferimento. Scopri di più sul modo in cui Cisco utilizza il linguaggio inclusivo.

Informazioni su questa traduzione

Cisco ha tradotto questo documento utilizzando una combinazione di tecnologie automatiche e umane per offrire ai nostri utenti in tutto il mondo contenuti di supporto nella propria lingua. Si noti che anche la migliore traduzione automatica non sarà mai accurata come quella fornita da un traduttore professionista. Cisco Systems, Inc. non si assume alcuna responsabilità per l’accuratezza di queste traduzioni e consiglia di consultare sempre il documento originale in inglese (disponibile al link fornito).

Introduzione

In questo documento viene descritto come configurare Extensible Authentication Protocol-Transport Layer Security (EAP-TLS) con Cisco Secure Access Control System (ACS) per Windows versione 3.2.

Nota: l'autenticazione del computer non è supportata con Novell Certificate Authority (CA). ACS può utilizzare EAP-TLS per supportare l'autenticazione del computer in Microsoft Windows Active Directory. Il client dell'utente finale potrebbe limitare il protocollo per l'autenticazione utente allo stesso protocollo utilizzato per l'autenticazione del computer. Ciò significa che l'utilizzo di EAP-TLS per l'autenticazione dei computer potrebbe richiedere l'utilizzo di EAP-TLS per l'autenticazione degli utenti. Per ulteriori informazioni sull'autenticazione dei computer, fare riferimento alla sezione Machine Authentication del Manuale dell'utente di Cisco Secure Access Control Server 4.1.

Nota: quando si imposta ACS per l'autenticazione dei computer tramite EAP-TLS e ACS è stato impostato per l'autenticazione dei computer, il client deve essere configurato per eseguire solo l'autenticazione dei computer. Per ulteriori informazioni, vedere Come attivare l'autenticazione basata solo sul computer per una rete basata su 802.1X in Windows Vista, Windows Server 2008 e Windows XP Service Pack 3.

Prerequisiti

Requisiti

Non sono previsti prerequisiti specifici per questo documento.

Componenti usati

Le informazioni fornite in questo documento si basano sulle versioni software e hardware riportate di seguito.

  • Cisco Secure ACS per Windows versione 3.2

  • Servizi certificati Microsoft (installato come Autorità di certificazione radice dell'organizzazione [CA])

    Nota: per ulteriori informazioni, consultare la Guida dettagliata all'impostazione di un'Autorità di certificazioneleavingcisco.com.

  • Servizio DNS con Windows 2000 Server con Service Pack 3 e hotfix 323172 leavingcisco.com

    Nota: se si verificano problemi con il server CA, installare l'hotfix 323172leavingcisco.com. Il client Windows 2000 SP3 richiede l'hotfix 313664leavingcisco.com per abilitare l'autenticazione IEEE 802.1x.

  • Cisco Aironet serie 1200 Wireless Access Point 12.01T

  • IBM ThinkPad T30 con Windows XP Professional e Service Pack 1

Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.

Nozioni di base

Sia EAP-TLS che PEAP (Protected Extensible Authentication Protocol) generano e utilizzano un tunnel TLS/Secure Socket Layer (SSL). EAP-TLS utilizza l'autenticazione reciproca in cui sia il server ACS (Authentication, Authorization, and Accounting [AAA]) che i client dispongono di certificati e si scambiano le rispettive identità. PEAP, tuttavia, utilizza solo l'autenticazione sul lato server; solo il server dispone di un certificato e ne dimostra l'identità al client.

Convenzioni

Per ulteriori informazioni sulle convenzioni usate, consultare il documento Cisco sulle convenzioni nei suggerimenti tecnici.

Esempio di rete

Questo documento utilizza le impostazioni di rete mostrate nel diagramma sottostante.

acs-eap-01.gif

Configurazione di Cisco Secure ACS per Windows v3.2

Per configurare ACS 3.2, procedere come segue.

  1. Ottenere un certificato per il server ACS.

  2. Configurare ACS per l'utilizzo di un certificato di archiviazione.

  3. Specificare le autorità di certificazione aggiuntive da considerare attendibili per ACS.

  4. Riavviare il servizio e configurare le impostazioni PEAP su ACS.

  5. Specificare e configurare il punto di accesso come client AAA.

  6. Configurare i database degli utenti esterni.

  7. Riavviare il servizio.

Ottenere un certificato per il server ACS

Per ottenere un certificato, eseguire la procedura seguente.

  1. Sul server ACS, aprire un browser Web e immettere http://CA-ip-address/certsrv per accedere al server CA.

  2. Accedere al dominio come amministratore.

    acs-eap-02.gif

  3. Selezionare Richiedi certificato e quindi fare clic su Avanti.

    acs-eap-03.gif

  4. Selezionare Richiesta avanzata, quindi fare clic su Avanti.

    acs-eap-04.gif

  5. Selezionare Invia una richiesta di certificato a questa CA utilizzando un modulo, quindi fare clic su Avanti.

    acs-eap-05.gif

  6. Configurare le opzioni del certificato:

    1. Selezionare Server Web come modello di certificato e immettere il nome del server ACS.

      acs-eap-06a.gif

    2. Immettere 1024 nel campo Dimensione chiave e selezionare le caselle di controllo Contrassegna le chiavi come esportabili e Usa archivio locale.

    3. Configurare altre opzioni in base alle esigenze e quindi fare clic su Invia.

      acs-eap-06b.gif

      Nota: se viene visualizzata la finestra di dialogo Potenziale violazione script, fare clic su per continuare.

      acs-eap-07.gif

  7. Fare clic su Installa il certificato.

    acs-eap-08.gif

    Nota: se viene visualizzata la finestra di dialogo Potenziale violazione script, fare clic su per continuare.

    acs-eap-09.gif

  8. Se l'installazione viene completata correttamente, viene visualizzato il messaggio Certificato installato.

    acs-eap-10.gif

Configurazione di ACS per l'utilizzo di un certificato dall'archivio

Completare questa procedura per configurare ACS in modo che utilizzi il certificato in archiviazione.

  1. Aprire un browser Web e immettere http://ACS-ip-address:2002/a per accedere al server ACS.

  2. Fare clic su Configurazione di sistema, quindi su Configurazione certificato ACS.

  3. Fare clic su Installa certificato ACS.

  4. Fare clic sul pulsante di opzione Usa certificato da archiviazione.

  5. Nel campo Certificato CN, immettere il nome del certificato assegnato al passaggio 5a di Ottenere un certificato dalla sezione del server ACS di questo documento.

  6. Fare clic su Invia.

    acs-eap-11.gif

    Al termine della configurazione, viene visualizzato un messaggio di conferma che indica che la configurazione del server ACS è stata modificata.

    Nota: al momento non è necessario riavviare l'ACS.

    acs-eap-12.gif

Specificare le Autorità di certificazione aggiuntive da considerare attendibili per ACS

L'ACS considera automaticamente attendibile la CA che ha emesso il proprio certificato. Se i certificati client vengono emessi da CA aggiuntive, completare i seguenti passaggi:

  1. Fare clic su Configurazione di sistema, quindi su Configurazione certificato ACS.

  2. Fare clic su Installazione Autorità di certificazione ACS per aggiungere le CA all'elenco dei certificati attendibili.

  3. Nel campo relativo al file del certificato CA, immettere il percorso del certificato e quindi fare clic su Invia.

    acs-eap-13.gif

  4. Fare clic su Modifica elenco scopi consentiti ai certificati.

  5. Selezionare tutte le CA che ACS deve considerare attendibili e deselezionare tutte le CA che ACS non deve considerare attendibili.

  6. Fare clic su Invia.

    acs-eap-14.gif

Riavviare il servizio e configurare le impostazioni EAP-TLS su ACS

Completare questa procedura per riavviare il servizio e configurare le impostazioni EAP-TLS:

  1. Fare clic su Configurazione di sistema, quindi su Controllo servizio.

  2. Per riavviare il servizio, fare clic su Restart (Riavvia).

  3. Per configurare le impostazioni EAP-TLS, fare clic su Configurazione di sistema, quindi su Configurazione autenticazione globale.

  4. Selezionare Consenti EAP-TLS, quindi controllare uno o più confronti tra certificati.

  5. Fare clic su Invia.

    acs-eap-15.gif

Specificare e configurare il punto di accesso come client AAA

Per configurare il punto di accesso (AP) come client AAA, completare la procedura seguente:

  1. Fare clic su Configurazione di rete.

  2. In Client AAA, fare clic su Add Entry (Aggiungi voce).

    acs-eap-16.gif

  3. Immettere il nome host del punto di accesso nel campo Nome host client AAA e l'indirizzo IP nel campo Indirizzo IP client AAA.

  4. Immettere una chiave segreta condivisa per ACS e il punto di accesso nel campo Chiave.

  5. Selezionare RADIUS (Cisco Aironet) come metodo di autenticazione e fare clic su Submit (Invia).

    acs-eap-17.gif

Configurare i database utente esterni

Completare questa procedura per configurare i database degli utenti esterni.

  1. Fare clic su Database utente esterni e quindi su Configurazione database.

  2. Fare clic su Database di Windows.

    Nota: se non è già stato definito alcun database di Windows, fare clic su Crea nuova configurazione e quindi su Invia.

  3. Fare clic su Configure (Configura).

  4. In Configura elenco domini spostare il dominio SEC-SYD da Domini disponibili a Elenco domini.

    acs-eap-18.gif

  5. Nell'area Impostazioni EAP di Windows, fare clic sulla casella di controllo Autorizza autenticazione computer EAP-TLS per abilitare l'autenticazione del computer.

    Nota: non modificare il prefisso del nome di autenticazione del computer. Microsoft attualmente utilizza il valore predefinito "/host" per distinguere tra autenticazione utente e autenticazione computer.

  6. Facoltativamente, è possibile selezionare la casella di controllo EAP-TLS Strip Domain Name (Nome dominio striscia EAP-TLS) per abilitare lo striping del dominio.

  7. Fare clic su Invia.

    acs-eap-19.gif

  8. Fare clic su Database utenti esterni e quindi su Criteri utente sconosciuti.

  9. Fare clic sul pulsante di opzione Controlla i seguenti database utenti esterni.

  10. Spostare Database di Windows dall'elenco Database esterni all'elenco Database selezionati.

  11. Fare clic su Invia.

    acs-eap-19a.gif

Riavvia il servizio

Al termine della configurazione del servizio ACS, completare i seguenti passaggi per riavviare il servizio:

  1. Fare clic su Configurazione di sistema, quindi su Controllo servizio.

  2. Fare clic su Riavvia.

Configurazione della registrazione automatica del computer dei certificati Microsoft

Completare questa procedura per configurare il dominio per la registrazione automatica dei certificati del computer:

  1. Selezionare Pannello di controllo > Strumenti di amministrazione > Apri Utenti e computer di Active Directory.

  2. Fare clic con il pulsante destro del mouse su domain sec-syd, quindi selezionare Proprietà.

  3. Fare clic sulla scheda Criteri di gruppo.

  4. Fare clic su Criterio dominio predefinito e quindi su Modifica.

  5. Selezionare Configurazione computer > Impostazioni di Windows > Impostazioni protezione > Criteri chiave pubblica > Impostazioni richiesta automatica certificati.

    acs-eap-20.gif

  6. Sulla barra dei menu selezionare Azione > Nuovo > Richiesta automatica certificati, quindi fare clic su Avanti.

  7. Scegliere Computer, quindi fare clic su Avanti.

  8. In questo esempio, selezionare "Our TAC CA" (La nostra CA TAC) presso l'autorità di certificazione.

  9. Fare clic su Avanti e quindi su Fine.

Configurazione del Cisco Access Point

Per configurare l'access point in modo che usi l'access point come server di autenticazione, completare la procedura seguente:

  1. Aprire un browser Web e immettere http://AP-ip-address/certsrv per accedere all'access point.

  2. Sulla barra degli strumenti fare clic su Imposta.

  3. In Servizi fare clic su Protezione e quindi su Server di autenticazione.

    Nota: se sono stati configurati gli account sull'access point, è necessario eseguire il login.

  4. Immettere le impostazioni di configurazione dell'autenticatore:

    • Scegliere 802.1x-2001 per la versione del protocollo 802.1x (per l'autenticazione EAP).

    • Immettere l'indirizzo IP del server ACS nel campo Nome server/IP.

    • Nel campo Server Type (Tipo di server), selezionare RADIUS.

    • Immettere 1645 o 1812 nel campo Porta.

    • Immettere la chiave segreta condivisa specificata in Specificare e configurare il punto di accesso come client AAA.

    • Selezionare l'opzione Autenticazione EAP per specificare la modalità di utilizzo del server.

  5. Al termine, fare clic su OK.

    acs-eap-21.gif

  6. Fare clic su Crittografia dati radio (WEP).

  7. Immettere le impostazioni di crittografia dei dati interni.

    • Per impostare il livello di crittografia dei dati, selezionare Full Encryption (Crittografia completa) dall'elenco a discesa Use of Data Encryption by Stations is (Uso della crittografia dei dati dalle stazioni).

    • Per Accetta tipo di autenticazione, selezionare la casella di controllo Apri per impostare il tipo di autenticazione accettato e selezionare Rete-EAP per abilitare LEAP.

    • Per Richiedere EAP, selezionare la casella di controllo Apri.

    • Immettere una chiave di cifratura nel campo Chiave di cifratura e scegliere 128 bit dall'elenco a discesa Dimensione chiave.

  8. Al termine, fare clic su OK.

    acs-eap-22.gif

  9. Selezionare Rete > Set di servizi > Selezionare l'SSID Idx per confermare che è stato utilizzato l'SSID corretto.

  10. Fare clic su OK.

    acs-eap-22a.gif

Configurazione del client wireless

Completare questa procedura per configurare ACS 3.2:

  1. Aggiungere il computer al dominio.

  2. Ottenere un certificato per l'utente.

  3. Configurare la rete wireless.

Aggiungi al dominio

Completare questa procedura per aggiungere il client wireless al dominio.

Nota: per completare questa procedura, il client wireless deve essere connesso alla CA tramite una connessione cablata o wireless con la protezione 802.1x disabilitata.

  1. Accedere a Windows XP come amministratore locale.

  2. Selezionare Pannello di controllo > Prestazioni e manutenzione > Sistema.

  3. Fare clic sulla scheda Nome computer e quindi su Cambia.

  4. Immettere il nome dell'host nel campo Nome computer.

  5. Scegliere Dominio, quindi immettere il nome del dominio (in questo esempio SEC-SYD).

  6. Fare clic su OK.

    acs-eap-23.gif

  7. Quando viene visualizzata la finestra di dialogo Accesso, accedere con un account che disponga delle autorizzazioni necessarie per l'aggiunta al dominio.

  8. Quando il computer è stato aggiunto correttamente al dominio, riavviare il computer.

    Il computer diventa un membro del dominio. Poiché la registrazione automatica del computer è configurata, il computer dispone di un certificato per la CA installata e di un certificato per l'autenticazione del computer.

Ottieni un certificato per l'utente

Completare questi passaggi per ottenere un certificato per l'utente.

  1. Accedere a Windows XP e al dominio (SEC-SYD) sul client wireless (laptop) come account che richiede un certificato.

  2. Aprire un browser Web e immettere http://CA-ip-address/certsrv per accedere al server CA.

  3. Accedere al server CA con lo stesso account.

    Nota: il certificato è memorizzato nel client wireless nel profilo dell'utente corrente. È quindi necessario utilizzare lo stesso account per accedere a Windows e all'autorità di certificazione.

    acs-eap-24.gif

  4. Fare clic sul pulsante di opzione Richiedi certificato e quindi su Avanti.

    acs-eap-03.gif

  5. Fare clic sul pulsante di opzione Richiesta avanzata e quindi su Avanti.

    acs-eap-04.gif

  6. Fare clic sul pulsante di opzione Invia una richiesta di certificato a questa CA utilizzando un modulo e quindi su Avanti.

    acs-eap-05.gif

  7. Scegliere Utente dal modello di certificato e immettere 1024 nel campo Dimensione chiave.

  8. Configurare altre opzioni in base alle esigenze e fare clic su Invia.

    acs-eap-25.gif

    Nota: se viene visualizzata la finestra di dialogo Potenziale violazione script, fare clic su per continuare.

    acs-eap-07.gif

  9. Fare clic su Installa il certificato.

    acs-eap-08.gif

    Nota: se viene visualizzata la finestra di dialogo Potenziale violazione script, fare clic su per continuare.

    acs-eap-09.gif

    Nota: è possibile che venga visualizzato l'archivio certificati radice se il certificato della CA non è già stato salvato nel client wireless. Per salvare il certificato nell'archivio locale, fare clic su .

    acs-eap-26.gif

    Se l'installazione viene completata correttamente, viene visualizzato un messaggio di conferma.

    acs-eap-10.gif

Configurare le reti wireless

Completare questa procedura per impostare le opzioni per le reti wireless:

  1. Accedere al dominio come utente di dominio.

  2. Selezionare Pannello di controllo > Rete e connessioni Internet > Connessioni di rete.

  3. Fare clic con il pulsante destro del mouse su Connessione wireless e scegliere Proprietà.

  4. Fare clic sulla scheda Reti wireless.

  5. Selezionare la rete wireless dall'elenco delle reti disponibili e quindi fare clic su Configura.

    acs-eap-23.gif

  6. Nella scheda Autenticazione selezionare la casella di controllo Abilita autenticazione IEEE 802.1x per la rete.

  7. Selezionare Smart Card o altro certificato dall'elenco a discesa Tipo EAP e quindi fare clic su Proprietà.

    Nota: per abilitare l'autenticazione del computer, selezionare la casella di controllo Autentica come computer se sono disponibili informazioni sul computer.

    acs-eap-27.gif

  8. Fare clic sul pulsante di opzione Utilizza un certificato nel computer e quindi selezionare la casella di controllo Utilizza selezione certificato semplice.

  9. Selezionare la casella di controllo Convalida certificato server e fare clic su OK.

    Nota: quando il client viene aggiunto al dominio, il certificato della CA viene installato automaticamente come Autorità di certificazione radice attendibile. Il client considera automaticamente attendibile la CA che ha firmato il certificato del client. È possibile considerare attendibili CA aggiuntive verificandole nell'elenco Autorità di certificazione radice attendibili.

    acs-eap-28.gif

  10. Nella scheda Associazione della finestra Proprietà di rete selezionare le caselle di controllo Crittografia dati (abilitato WEP) e La chiave viene fornita automaticamente.

  11. Per chiudere la finestra di configurazione della rete, fare clic su OK, quindi di nuovo su OK.

    acs-eap-29.gif

Verifica

Le informazioni contenute in questa sezione permettono di verificare che la configurazione funzioni correttamente.

  • Per verificare che il client wireless sia stato autenticato, attenersi alla seguente procedura:

    1. Sul client wireless, selezionare Pannello di controllo > Rete e connessioni Internet > Connessioni di rete.

    2. Sulla barra dei menu, selezionare Visualizza > Tiles (Tessere).

    La connessione wireless dovrebbe visualizzare il messaggio "Autenticazione riuscita".

  • Per verificare che i client wireless siano stati autenticati, passare a Report e attività > Autenticazioni passate > Autenticazioni passate active.csv sull'interfaccia Web ACS.

Risoluzione dei problemi

In questa sezione vengono fornite informazioni utili per risolvere i problemi di configurazione.

  • Verificare che Servizi certificati Microsoft sia stato installato come CA radice dell'organizzazione (enterprise) in Windows 2000 Advanced Server con Service Pack 3.

  • Verificare di utilizzare Cisco Secure ACS per Windows versione 3.2 con Windows 2000 e Service Pack 3.

  • Se l'autenticazione del computer sul client wireless ha esito negativo, la connessione wireless non sarà connessa alla rete. Solo gli account i cui profili sono memorizzati nella cache del client wireless potranno accedere al dominio. Il computer deve essere collegato a una rete cablata o impostato per la connessione wireless senza protezione 802.1x.

  • Se la registrazione automatica della CA non riesce quando la CA viene aggiunta al dominio, controllare il Visualizzatore eventi per i possibili motivi.

  • Se il profilo utente del client wireless non dispone di un certificato valido, è comunque possibile accedere al computer e al dominio se la password è corretta, ma la connessione wireless non sarà connessa.

  • Se il certificato ACS sul client wireless non è valido (a seconda delle date valide del certificato "Da" e "A", delle impostazioni di data e ora del client e dell'attendibilità della CA), il client lo rifiuterà e l'autenticazione avrà esito negativo. ACS registrerà l'autenticazione non riuscita nell'interfaccia Web in Report e attività > Tentativi non riusciti > Tentativi non riusciti XXX.csv con il codice di errore di autenticazione simile a "Autenticazione EAP-TLS o PEAP non riuscita durante l'handshake SSL". Il messaggio di errore previsto nel file CSAuth.log è simile al seguente:

    AUTH 06/04/2003 14:56:41 E 0345 1644 EAP: buildEAPRequestMsg: 
other side probably didn't accept our certificate

  • Se il certificato del client nell'ACS non è valido (a seconda delle date di inizio e di fine valide del certificato, delle impostazioni di data e ora del server e dell'attendibilità della CA), il server lo rifiuterà e l'autenticazione avrà esito negativo. ACS registrerà l'autenticazione non riuscita nell'interfaccia Web in Report e attività > Tentativi non riusciti > Tentativi non riusciti XXX.csv con il codice di errore di autenticazione simile a "Autenticazione EAP-TLS o PEAP non riuscita durante l'handshake SSL". Se ACS rifiuta il certificato del client perché non considera attendibile la CA, il messaggio di errore previsto nel file CSAuth.log è simile al seguente:

    AUTH 06/04/2003 15:47:43 E 0345 1696 EAP: ProcessResponse:
SSL handshake failed, status = 3 (SSL alert fatal:unknown CA certificate)

    Se ACS rifiuta il certificato del client perché è scaduto, il messaggio di errore previsto nel file CSAuth.log è simile al seguente:

    AUTH 06/04/2005 15:02:08 E 0345 1692 EAP: ProcessResponse:
SSL handshake failed, status = 3 (SSL alert fatal:certificate expired)

  • Nei registri dell'interfaccia Web ACS, in Report e Attività > Autenticazioni passate > Autenticazioni passate XXX.csv e Report e attività > Tentativi non riusciti > Tentativi non riusciti XXX.csv, le autenticazioni EAP-TLS sono visualizzate nel formato <id-utente>@<dominio>. Le autenticazioni PEAP sono visualizzate nel formato <DOMINIO>\<ID utente>.

  • Per verificare il certificato e l'attendibilità del server ACS, eseguire la procedura seguente.

    1. Accedere a Windows dal server ACS con un account che dispone dei privilegi di amministratore.

    2. Selezionare Start > Esegui, digitare mmc e fare clic su OK per aprire Microsoft Management Console.

    3. Sulla barra dei menu, selezionare Console > Aggiungi/Rimuovi snap-in, quindi fare clic su Aggiungi.

    4. Scegliere Certificati, quindi fare clic su Aggiungi.

    5. Scegliere Account computer, fare clic su Avanti, quindi scegliere Computer locale (il computer su cui è in esecuzione questa console).

    6. Fare clic su Fine, su Chiudi e quindi su OK.

    7. Per verificare che il server ACS disponga di un certificato lato server valido, selezionare Console Root > Certificates (Local Computer) > Personal > Certificates (Radice della console > Certificati (computer locale) > Personal > Certificates (Certificati personali) e verificare che esista un certificato per il server ACS (in questo esempio denominato OurACS).

    8. Aprire il certificato e verificare quanto segue:

      • Nessun avviso indica che il certificato non viene verificato per tutti gli scopi previsti.

      • Non viene visualizzato alcun avviso se il certificato non è considerato attendibile.

      • "Questo certificato è destinato a - Garantisce l'identità di un computer remoto."

      • Il certificato non è scaduto ed è diventato valido (verificare le date di inizio e di fine validità).

      • "È disponibile una chiave privata che corrisponde a questo certificato."

    9. Nella scheda Dettagli verificare che il campo Versione contenga il valore V3 e che il campo Utilizzo chiave avanzato contenga Autenticazione server (1.3.6.1.5.5.7.3.1).

    10. Per verificare che il server ACS consideri attendibile il server CA, selezionare Console Root > Certificates (Local Computer) > Trusted Root Certification Authorities > Certificates (Radice console > Certificati (computer locale) > Trusted Root Certification Authorities > Certificates) e verificare che esista un certificato per il server CA (denominato Our TAC CA in questo esempio).

    11. Aprire il certificato e verificare quanto segue:

      • Nessun avviso indica che il certificato non viene verificato per tutti gli scopi previsti.

      • Non viene visualizzato alcun avviso se il certificato non è considerato attendibile.

      • Lo scopo previsto del certificato è corretto.

      • Il certificato non è scaduto ed è diventato valido (verificare le date di inizio e di fine validità).

      Se il server ACS e il client non utilizzano la stessa CA radice, verificare che sia stata installata l'intera catena di certificati dei server CA. Lo stesso vale se il certificato è stato ottenuto da un'autorità di certificazione secondaria.

  • È possibile verificare il certificato e l'attendibilità del computer del client wireless eseguendo la procedura seguente.

    1. Accedere a Windows dal server ACS con un account che dispone dei privilegi di amministratore. Aprire Microsoft Management Console facendo clic su Start > Esegui, digitando mmc e facendo clic su OK.

    2. Sulla barra dei menu, selezionare Console > Aggiungi/Rimuovi snap-in, quindi fare clic su Aggiungi.

    3. Selezionare Certificati e fare clic su Aggiungi.

    4. Selezionare Account computer, fare clic su Avanti, quindi selezionare Computer locale (il computer su cui è in esecuzione questa console).

    5. Fare clic su Fine, su Chiudi e quindi su OK.

    6. Verificare che il computer disponga di un certificato lato client valido. Se il certificato non è valido, l'autenticazione del computer avrà esito negativo. Per verificare il certificato, selezionare Console Root > Certificates (Local Computer) > Personal > Certificates (Radice console > Certificati (computer locale) > Personale > Certificati. Verificare che esista un certificato per il computer. Il formato del nome sarà <nome-host>.<dominio>. Aprire il certificato e verificare gli elementi seguenti.

      • Nessun avviso indica che il certificato non viene verificato per tutti gli scopi previsti.

      • Non viene visualizzato alcun avviso se il certificato non è considerato attendibile.

      • "Questo certificato ha lo scopo di: dimostra la tua identità a un computer remoto."

      • Il certificato non è scaduto ed è diventato valido (verificare le date di inizio e di fine validità).

      • "È disponibile una chiave privata che corrisponde a questo certificato."

  • Nella scheda Dettagli verificare che il campo Versione contenga il valore V3 e che il campo Utilizzo chiave avanzato contenga almeno il valore Autenticazione client (1.3.6.1.5.5.7.3.2). È possibile che siano elencati altri scopi. Verificare che il campo Oggetto contenga il valore CN = <nome-host>.<dominio>; è possibile che vengano elencati valori aggiuntivi. Verificare che il nome host e il dominio corrispondano a quanto specificato nel certificato.

  • Per verificare che il profilo del client consideri attendibile il server CA, selezionare Console Root > Certificati (utente corrente) > Trusted Root Certification Authorities > Certificati. Verificare che esista un certificato per il server CA (in questo esempio, la CA TAC è la nostra CA). Aprire il certificato e verificare gli elementi seguenti.

    • Nessun avviso indica che il certificato non viene verificato per tutti gli scopi previsti.

    • Non viene visualizzato alcun avviso se il certificato non è considerato attendibile.

    • Lo scopo previsto del certificato è corretto.

    • Il certificato non è scaduto ed è diventato valido (verificare le date di inizio e di fine validità).

    Se il server ACS e il client non utilizzano la stessa CA radice, verificare che sia stata installata l'intera catena di certificati dei server CA. Lo stesso vale se il certificato è stato ottenuto da un'autorità di certificazione secondaria.

  • Verificare le impostazioni ACS come descritto in Configurazione di Cisco Secure ACS per Windows v3.2.

  • Verificare le impostazioni della CA come descritto in Configurazione di Servizi certificati Microsoft.

  • Verificare le impostazioni dell'access point come descritto in Configurazione del Cisco Access Point.

  • Verificare le impostazioni del client wireless come descritto in Configurazione del client wireless.

  • Verificare che l'account utente esista nel database interno del server AAA o in uno dei database esterni configurati e che non sia stato disabilitato.

  • I certificati emessi dalla CA basata su SHA-2 (Secure Hash Algorithm 2) non sono compatibili con Cisco Secure ACS poiché sono sviluppati con Java che non supporta SHA-2. Per risolvere il problema, reinstallare la CA e configurarla in modo che emetta certificati con SHA-1.

Informazioni correlate

Cronologia delle revisioni

Revisione Data di pubblicazione Commenti
1.0
30-Jun-2003
Versione iniziale

Questo documento ti è stato utile?

FeedbackFeedback

Contattaci