Introduzione
In questo documento viene descritto come configurare una rete WLAN (Wireless Local Area Network) con 802.1X e il protocollo di autenticazione estendibile EAP-TLS.
Prerequisiti
Requisiti
Cisco raccomanda la conoscenza dei seguenti argomenti:
- Processo di autenticazione 802.1X
- Certificati
Componenti usati
Le informazioni fornite in questo documento si basano sulle seguenti versioni software e hardware:
- WLC 3504 versione 8.10
- Identity Services Engine (ISE) versione 2.7
Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.
Premesse
Flusso EAP-TLS
![Topology - EAP-TLS Flow](/c/dam/en/us/support/docs/wireless-mobility/wireless-lan-wlan/213543-configure-eap-tls-flow-with-ise-00.png)
Fasi del flusso EAP-TLS
- Il client wireless viene associato al punto di accesso (AP). AP non consente al client di inviare dati a questo punto e invia una richiesta di autenticazione. Il richiedente risponde quindi con un'identità di risposta EAP. Il WLC comunica quindi le informazioni sull'ID utente al server di autenticazione. Il server RADIUS risponde al client con un pacchetto di avvio EAP-TLS. A questo punto inizia la conversazione EAP-TLS.
- Il peer invia una risposta EAP al server di autenticazione che contiene un messaggio di handshake client_hello, una cifratura impostata per NULL
- Il server di autenticazione risponde con un pacchetto di richiesta di accesso contenente:
TLS server_hello
handshake message
certificate
server_key_exchange
certificate request
server_hello_done.
4. Il client risponde con un messaggio di risposta EAP che contiene:
Certificate ¬ Server can validate to verify that it is trusted.
client_key_exchange
certificate_verify ¬ Verifies the server is trusted
change_cipher_spec
TLS finished
5. Una volta completata l'autenticazione del client, il server RADIUS risponde con una richiesta di verifica di accesso contenente il messaggio change_cipher_spec e l'handshake completato.
6. Alla ricezione di questo messaggio, il client verifica l'hash per autenticare il server radius.
7. Una nuova chiave di crittografia viene derivata in modo dinamico dal segreto durante l'handshake TLS.
8/9. EAP-Success viene infine inviato dal server all'autenticatore che viene quindi passato al supplicant.
A questo punto, il client wireless abilitato per EAP-TLS può accedere alla rete wireless.
Configurazione
Cisco Wireless LAN Controller
Passaggio 1. Il primo passaggio consiste nella configurazione del server RADIUS sul WLC Cisco. Per aggiungere un server RADIUS, selezionare Sicurezza > RADIUS > Autenticazione. Fare clic su New (Nuovo) come mostrato nell'immagine.
![Wireless LAN Controller - Configure RADIUS Server](/c/dam/en/us/support/docs/wireless-mobility/wireless-lan-wlan/213543-configure-eap-tls-flow-with-ise-01.png)
Passaggio 2. Qui, è necessario immettere l'indirizzo IP e il segreto condiviso <password> usato per convalidare il WLC sull'ISE. Per continuare, fare clic su Apply (Applica) come mostrato nell'immagine.
![Wireless LAN Controller - Enter Shared IP Address and Shared Password](/c/dam/en/us/support/docs/wireless-mobility/wireless-lan-wlan/213543-configure-eap-tls-flow-with-ise-02.png)
Passaggio 3. Crea WLAN per autenticazione RADIUS.
A questo punto è possibile creare una nuova WLAN e configurarla in modo che utilizzi la modalità WPA-enterprise, in modo che possa utilizzare RADIUS per l'autenticazione.
Passaggio 4. Selezionare WLAN dal menu principale, scegliere Crea nuovo, quindi fare clic su Go (Vai), come mostrato nell'immagine.
![Wireless LAN Controller - Select WLANs from Main Menu and Create New](/c/dam/en/us/support/docs/wireless-mobility/wireless-lan-wlan/213543-configure-eap-tls-flow-with-ise-03.png)
Passaggio 5. Assegnare un nome al nuovo WLAN EAP-TLS. Per continuare, fare clic su Apply (Applica) come mostrato nell'immagine.
![Wireless LAN Controller - Name the New WLAN EAP-TLS](/c/dam/en/us/support/docs/wireless-mobility/wireless-lan-wlan/213543-configure-eap-tls-flow-with-ise-04.png)
Passaggio 6. Fare clic su Generale e verificare che lo stato sia Abilitato. I criteri di sicurezza predefiniti sono l'autenticazione 802.1X e WPA2, come mostrato nell'immagine.
![Wireless LAN Controller - Ensure the Status is Enabled](/c/dam/en/us/support/docs/wireless-mobility/wireless-lan-wlan/213543-configure-eap-tls-flow-with-ise-05.png)
Passaggio 7. A questo punto, selezionare la scheda Security> AAA Servers (Sicurezza> Server AAA), quindi selezionare il server RADIUS appena configurato, come mostrato nell'immagine.
![Wireless LAN Controller - Select the RADIUS Server You Configured](/c/dam/en/us/support/docs/wireless-mobility/wireless-lan-wlan/213543-configure-eap-tls-flow-with-ise-06.png)
Nota: prima di continuare, è consigliabile verificare di poter raggiungere il server RADIUS dal WLC. RADIUS utilizza la porta UDP 1812 (per l'autenticazione), quindi è necessario verificare che il traffico non venga bloccato in alcun punto della rete.
ISE con Cisco WLC
Impostazioni EAP-TLS
Per creare il criterio, è necessario creare l'elenco di protocolli consentiti da utilizzare nel criterio. Poiché viene scritto un criterio dot1x, specificare il tipo EAP consentito in base alla configurazione del criterio.
Se si utilizza l'impostazione predefinita, è possibile consentire la maggior parte dei tipi EAP per l'autenticazione, che non sono consigliati se è necessario bloccare l'accesso a un tipo EAP specifico.
Passaggio 1. Passare a Criteri > Elementi criteri > Risultati > Autenticazione > Protocolli consentiti e fare clic su Aggiungi come mostrato nell'immagine.
![Define Allowed Protocols Lists on ISE](/c/dam/en/us/support/docs/wireless-mobility/wireless-lan-wlan/213543-configure-eap-tls-flow-with-ise-07.png)
Passaggio 2. In questo elenco di protocolli consentiti è possibile immettere il nome dell'elenco. In questo caso, la casella Consenti EAP-TLS è selezionata e le altre caselle sono deselezionate, come mostrato nell'immagine.
![Enter the Name for the List](/c/dam/en/us/support/docs/wireless-mobility/wireless-lan-wlan/213543-configure-eap-tls-flow-with-ise-08.png)
Impostazioni WLC su ISE
Passaggio 1. Aprire la console ISE e selezionare Amministrazione > Risorse di rete > Dispositivi di rete > Aggiungi, come mostrato nell'immagine.
![ISE Network Devices Page](/c/dam/en/us/support/docs/wireless-mobility/wireless-lan-wlan/213543-configure-eap-tls-flow-with-ise-09.png)
Passaggio 2. Immettete i valori come mostrato nell'immagine.
![ISE - Shared Secret Password](/c/dam/en/us/support/docs/wireless-mobility/wireless-lan-wlan/213543-configure-eap-tls-flow-with-ise-10.png)
Creazione di un nuovo utente in ISE
Passaggio 1. Passare a Amministrazione > Gestione delle identità > Identità > Utenti > Aggiungi come mostrato nell'immagine.
![Network Access Users](/c/dam/en/us/support/docs/wireless-mobility/wireless-lan-wlan/213543-configure-eap-tls-flow-with-ise-11.png)
Passaggio 2. Immettere le informazioni come illustrato nell'immagine.
![Create a New Network User](/c/dam/en/us/support/docs/wireless-mobility/wireless-lan-wlan/213543-configure-eap-tls-flow-with-ise-12.png)
Certificato di attendibilità per ISE
Passaggio 1. Passare a Amministrazione > Sistema > Certificati > Gestione certificati > Certificati attendibili.
Per importare un certificato in ISE, fare clic su Import (Importa). Una volta aggiunto un WLC e creato un utente su ISE, è necessario fare la parte più importante di EAP-TLS che è quella di considerare attendibile il certificato su ISE. Per questo dobbiamo generare la RSI.
Passaggio 2. Passare a Amministrazione > Certificati > Richieste di firma del certificato > Genera richieste di firma del certificato (CSR) come mostrato nell'immagine.
![Enter Information](/c/dam/en/us/support/docs/wireless-mobility/wireless-lan-wlan/213543-configure-eap-tls-flow-with-ise-13.png)
Passaggio 3. Per generare CSR, passare a Utilizzo e da Certificati utilizzati per le opzioni di elenco a discesa selezionare Autenticazione EAP come mostrato nell'immagine.
![Certificate Signing Requests](/c/dam/en/us/support/docs/wireless-mobility/wireless-lan-wlan/213543-configure-eap-tls-flow-with-ise-14.png)
Passaggio 4. Il CSR generato ad ISE può essere visualizzato. Fare clic su Visualizza come illustrato nell'immagine.
![Generated CSR on ISE](/c/dam/en/us/support/docs/wireless-mobility/wireless-lan-wlan/213543-configure-eap-tls-flow-with-ise-15.png)
Passaggio 5. Una volta generato il CSR, cercare il server CA e fare clic su Request a certificate (Richiedi certificato), come mostrato nell'immagine:
![Windows Server CA Homepage](/c/dam/en/us/support/docs/wireless-mobility/wireless-lan-wlan/213543-configure-eap-tls-flow-with-ise-16.png)
Passaggio 6. Dopo aver richiesto un certificato, si ottengono le opzioni Certificato utente e Richiesta di certificato avanzata, fare clic su Richiesta di certificato avanzata come mostrato nell'immagine.
![Submit a CSR Request in Windows Server](/c/dam/en/us/support/docs/wireless-mobility/wireless-lan-wlan/213543-configure-eap-tls-flow-with-ise-17.png)
Passaggio 7. Incollare il CSR generato nella richiesta di certificato con codifica Base 64. Dall'opzione a discesa Modello di certificato:, scegliere Server Web e fare clic su Invia come mostrato nell'immagine.
![Chose the CSR Details on Windows Server](/c/dam/en/us/support/docs/wireless-mobility/wireless-lan-wlan/213543-configure-eap-tls-flow-with-ise-18.png)
Passaggio 8. Dopo aver fatto clic su Invia, è possibile selezionare il tipo di certificato, selezionare Codificato Base 64 e fare clic su Scarica catena di certificati, come mostrato nell'immagine.
![Windows Server Listing Certificates Issued](/c/dam/en/us/support/docs/wireless-mobility/wireless-lan-wlan/213543-configure-eap-tls-flow-with-ise-19.png)
Passaggio 9. Download del certificato per il server ISE completato. È possibile estrarre il certificato, il certificato contiene due certificati, un certificato radice e un altro intermedio. Il certificato radice può essere importato in Amministrazione > Certificati > Certificati attendibili > Importa come mostrato nelle immagini.
![Import Trusted Certificates on ISE](/c/dam/en/us/support/docs/wireless-mobility/wireless-lan-wlan/213543-configure-eap-tls-flow-with-ise-20.png)
![Import a New Certificate on ISE](/c/dam/en/us/support/docs/wireless-mobility/wireless-lan-wlan/213543-configure-eap-tls-flow-with-ise-21.png)
Passaggio 10. Dopo aver fatto clic su Invia, il certificato viene aggiunto all'elenco dei certificati attendibili. Inoltre, il certificato intermedio è necessario per il collegamento con CSR, come mostrato nell'immagine.
![Bind Certificate on ISE](/c/dam/en/us/support/docs/wireless-mobility/wireless-lan-wlan/213543-configure-eap-tls-flow-with-ise-22.png)
Passaggio 11. Dopo aver fatto clic su Associa certificato, è possibile scegliere il file di certificato salvato sul desktop. Individuare il certificato intermedio e fare clic su Invia, come mostrato nell'immagine.
![Bind CA Signed Certificate on ISE](/c/dam/en/us/support/docs/wireless-mobility/wireless-lan-wlan/213543-configure-eap-tls-flow-with-ise-23.png)
Passaggio 12. Per visualizzare il certificato, selezionare Amministrazione > Certificati > Certificati di sistema, come mostrato nell'immagine.
![System Certificates on ISE](/c/dam/en/us/support/docs/wireless-mobility/wireless-lan-wlan/213543-configure-eap-tls-flow-with-ise-24.png)
Client per EAP-TLS
Scarica certificato utente sul computer client (Windows Desktop)
Passaggio 1. Per autenticare un utente wireless tramite EAP-TLS, è necessario generare un certificato client. Connettere il computer Windows alla rete per poter accedere al server. Aprire un browser Web e immettere l'indirizzo: https://sever ip addr/certsrv—
Passaggio 2. Notare che la CA deve essere la stessa con cui è stato scaricato il certificato per ISE.
A tale scopo, è necessario cercare lo stesso server CA utilizzato per scaricare il certificato per il server. Nella stessa CA fare clic su Richiedi un certificato come in precedenza, ma questa volta è necessario selezionare Utente come modello di certificato, come mostrato nell'immagine.
![Submit the CSR](/c/dam/en/us/support/docs/wireless-mobility/wireless-lan-wlan/213543-configure-eap-tls-flow-with-ise-25.png)
Passaggio 3. Fare quindi clic su scarica catena di certificati come in precedenza per il server.
Dopo aver ottenuto i certificati, eseguire la procedura seguente per importare il certificato in Windows Notebook:
Passaggio 4. Per importare il certificato, è necessario accedervi da Microsoft Management Console (MMC).
- Per aprire MMC, selezionare Start > Esegui > MMC.
- Selezionare File > Aggiungi/Rimuovi snap-in
- Fare doppio clic su Certificati.
- Selezionare Account computer.
- Selezionare Computer locale > Fine
- Per uscire dalla finestra Snap-in, fare clic su OK.
- Fare clic su [+] accanto a Certificati > Personali > Certificati.
- Fare clic con il pulsante destro del mouse su Certificati e selezionare Tutte le attività> Importa.
- Fare clic su Next (Avanti).
- Fare clic su Sfoglia.
- Selezionare il file .cer, .crt o .pfx da importare.
- Fare clic su Apri.
- Fare clic su Next (Avanti).
- Selezionare Seleziona automaticamente l'archivio certificati in base al tipo di certificato.
- Fare clic su Fine e OK
Al termine dell'importazione del certificato, è necessario configurare il client wireless (in questo esempio Windows Desktop) per EAP-TLS.
Profilo wireless per EAP-TLS
Passaggio 1. Modificare il profilo wireless creato in precedenza per il protocollo PEAP (Protected Extensible Authentication Protocol) in modo da utilizzare il protocollo EAP-TLS. Fare clic su Profilo wireless EAP.
Passaggio 2. Selezionare Microsoft: Smart Card o altro certificato e fare clic su OK come mostrato nell'immagine.
![Chose EAP-TLS Type of Authentication](/c/dam/en/us/support/docs/wireless-mobility/wireless-lan-wlan/213543-configure-eap-tls-flow-with-ise-26.png)
Passaggio 3. Fare clic su Settings (Impostazioni) e selezionare il certificato radice rilasciato dal server CA, come mostrato nell'immagine.
![Enable Trusted CAs](/c/dam/en/us/support/docs/wireless-mobility/wireless-lan-wlan/213543-configure-eap-tls-flow-with-ise-27.png)
Passaggio 4. Fare clic su Impostazioni avanzate e selezionare Autenticazione utente o computer nella scheda Impostazioni 802.1x, come mostrato nell'immagine.
![Choose User or Computer Authentication](/c/dam/en/us/support/docs/wireless-mobility/wireless-lan-wlan/213543-configure-eap-tls-flow-with-ise-28.png)
Passaggio 5. Provare a connettersi nuovamente alla rete wireless, selezionare il profilo corretto (EAP, in questo esempio) e Connetti. Si è connessi alla rete wireless come mostrato nell'immagine.
![List of SSIDs](/c/dam/en/us/support/docs/wireless-mobility/wireless-lan-wlan/213543-configure-eap-tls-flow-with-ise-29.png)
Verifica
Fare riferimento a questa sezione per verificare che la configurazione funzioni correttamente.
Passaggio 1. Lo stato di gestione dei criteri client deve essere RUN. Ciò significa che il client ha completato l'autenticazione, ha ottenuto l'indirizzo IP ed è pronto a trasmettere il traffico mostrato nell'immagine.
![Client Details : Policy Manager](/c/dam/en/us/support/docs/wireless-mobility/wireless-lan-wlan/213543-configure-eap-tls-flow-with-ise-30.png)
Passaggio 2. Verificare inoltre il metodo EAP corretto sul WLC nella pagina dei dettagli del client, come mostrato nell'immagine.
![EAP Type Mentioned in the Client Details](/c/dam/en/us/support/docs/wireless-mobility/wireless-lan-wlan/213543-configure-eap-tls-flow-with-ise-31.png)
Passaggio 3. Ecco i dettagli del client dalla CLI del controller (output troncato):
(Cisco Controller-Standby) >show client detail 34:02:86:96:2f:b7
Client MAC Address............................... 34:02:86:96:2f:b7
Client Username ................................. Administrator
AP MAC Address................................... 00:d7:8f:52:db:a0
AP Name.......................................... Alpha2802_3rdfloor
AP radio slot Id................................. 0
Client State..................................... Associated
Wireless LAN Id.................................. 5
Wireless LAN Network Name (SSID)................. EAP
Wireless LAN Profile Name........................ EAP
Hotspot (802.11u)................................ Not Supported
BSSID............................................ 00:d7:8f:52:db:a4
Connected For ................................... 48 secs
Channel.......................................... 1
IP Address....................................... 10.106.32.239
Gateway Address.................................. 10.106.32.1
Netmask.......................................... 255.255.255.0
Policy Manager State............................. RUN
Policy Type...................................... WPA2
Authentication Key Management.................... 802.1x
Encryption Cipher................................ CCMP-128 (AES)
Protected Management Frame ...................... No
Management Frame Protection...................... No
EAP Type......................................... EAP-TLS
Passaggio 4. In ISE, selezionare Context Visibility > End Points > Attributes (Visibilità contesto > Punti finali > Attributi) come mostrato nelle immagini.
![Rule Matched](/c/dam/en/us/support/docs/wireless-mobility/wireless-lan-wlan/213543-configure-eap-tls-flow-with-ise-32.png)
![Certificate Issuer Details](/c/dam/en/us/support/docs/wireless-mobility/wireless-lan-wlan/213543-configure-eap-tls-flow-with-ise-33.png)
![Identity Store is Displayed in the Live Logs Details](/c/dam/en/us/support/docs/wireless-mobility/wireless-lan-wlan/213543-configure-eap-tls-flow-with-ise-34.png)
Risoluzione dei problemi
Non sono attualmente disponibili informazioni specifiche per la risoluzione dei problemi per questa configurazione.