Comprendere e configurare EAP-TLS con Mobility Express e ISE

Opzioni per il download

  • PDF     (3.7 MB)
    Visualizza con Adobe Reader su diversi dispositivi
  • ePub     (4.0 MB)
    Visualizza in diverse app su iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (2.3 MB)
    Visualizza su dispositivo Kindle o tramite app Kindle su più dispositivi
Aggiornato:27 agosto 2020
ID documento:213579

Linguaggio senza pregiudizi

La documentazione per questo prodotto è stata redatta cercando di utilizzare un linguaggio senza pregiudizi. Ai fini di questa documentazione, per linguaggio senza di pregiudizi si intende un linguaggio che non implica discriminazioni basate su età, disabilità, genere, identità razziale, identità etnica, orientamento sessuale, status socioeconomico e intersezionalità. Le eventuali eccezioni possono dipendere dal linguaggio codificato nelle interfacce utente del software del prodotto, dal linguaggio utilizzato nella documentazione RFP o dal linguaggio utilizzato in prodotti di terze parti a cui si fa riferimento. Scopri di più sul modo in cui Cisco utilizza il linguaggio inclusivo.

Informazioni su questa traduzione

Cisco ha tradotto questo documento utilizzando una combinazione di tecnologie automatiche e umane per offrire ai nostri utenti in tutto il mondo contenuti di supporto nella propria lingua. Si noti che anche la migliore traduzione automatica non sarà mai accurata come quella fornita da un traduttore professionista. Cisco Systems, Inc. non si assume alcuna responsabilità per l’accuratezza di queste traduzioni e consiglia di consultare sempre il documento originale in inglese (disponibile al link fornito).

    Introduzione

    In questo documento viene descritto come configurare una rete WLAN (Wireless Local Area Network) con sicurezza 802.1x in un controller Mobility Express. Questo documento spiega anche l'uso del protocollo EAP (Extensible Authentication Protocol) - TLS (Transport Layer Security) in particolare.

    Prerequisiti

    Requisiti

    Cisco raccomanda la conoscenza dei seguenti argomenti:

    • Configurazione iniziale di Mobility Express
    • processo di autenticazione 802.1x
    • Certificati

    Componenti usati

    Le informazioni fornite in questo documento si basano sulle seguenti versioni software e hardware:

    • WLC 5508 versione 8.5
    • Identity Services Engine (ISE) versione 2.1

    Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.

    Premesse

    Flusso EAP-TLS

    Fasi del flusso EAP-TLS

    1. Il client wireless viene associato al punto di accesso (AP).
    1. AP non consente al client di inviare dati a questo punto e invia una richiesta di autenticazione.
    1. Il supplicant risponde quindi con un'identità di risposta EAP. Il WLC comunica quindi le informazioni sull'ID utente al server di autenticazione.
    1. Il server RADIUS risponde al client con un pacchetto di avvio EAP-TLS. A questo punto inizia la conversazione EAP-TLS.
    1. Il peer invia una risposta EAP al server di autenticazione che contiene un messaggio di handshake "client_hello", una cifratura impostata per NULL.
    1. Il server di autenticazione risponde con un pacchetto di richiesta di accesso contenente:
    TLS server_hello
handshake message
certificate
server_key_exchange
certificate request
server_hello_done.
    1. Il client risponde con un messaggio di risposta EAP che contiene:
    Certificate ¬ Server can validate to verify that it is trusted.

client_key_exchange

certificate_verify ¬ Verifies the server is trusted

change_cipher_spec

TLS finished
    1. Una volta completata l'autenticazione del client, il server RADIUS risponde con una richiesta di verifica di accesso, contenente il messaggio "change_cipher_spec" e il messaggio di completamento dell'handshake. Alla ricezione di questo messaggio, il client verifica l'hash per autenticare il server RADIUS. Una nuova chiave di crittografia viene derivata in modo dinamico dal segreto durante l'handshake TLS.
    1. A questo punto, il client wireless abilitato per EAP-TLS può accedere alla rete wireless.

    Configurazione

    Cisco Mobility Express

    Passaggio 1. Il primo passaggio consiste nella creazione di una WLAN su Mobility Express. Per creare una WLAN, selezionare WLAN > Add new WLAN (Aggiungi nuova WLAN), come mostrato nell'immagine.

    Passaggio 2. Una volta fatto clic su Add new WLAN, viene visualizzata una nuova finestra popup. Per creare un nome di profilo, selezionare Add new WLAN > General (Aggiungi nuova WLAN > Generale), come mostrato nell'immagine.

    Passaggio 3. Configurare il tipo di autenticazione come WPA Enterprise per 802.1x e configurare il server RADIUS in Aggiungi nuova WLAN > Sicurezza WLAN, come mostrato nell'immagine.

    Passaggio 4. Fare clic su Add RADIUS Authentication Server (Aggiungi server di autenticazione RADIUS) e fornire l'indirizzo IP del server RADIUS e il segreto condiviso che devono corrispondere esattamente a quello configurato su ISE, quindi fare clic su Apply (Applica), come mostrato nell'immagine.

    ISE con Cisco Mobility Express

    Impostazioni EAP-TLS

    Per creare il criterio, è necessario creare l'elenco dei protocolli consentiti da utilizzare nel criterio. Poiché viene scritto un criterio dot1x, specificare il tipo EAP consentito in base alla configurazione del criterio.

    Se si utilizza l'impostazione predefinita, è possibile consentire la maggior parte dei tipi EAP per l'autenticazione, che potrebbe non essere preferibile se è necessario bloccare l'accesso a un tipo EAP specifico.

    Passaggio 1. Passare a Criterio > Elementi criteri > Risultati > Autenticazione > Protocolli consentiti e fare clic su Aggiungi come mostrato nell'immagine.

    Passaggio 2. In questo elenco di protocolli consentiti, è possibile immettere il nome dell'elenco. In questo caso, la casella Consenti EAP-TLS è selezionata e le altre caselle sono deselezionate, come mostrato nell'immagine.

    Impostazioni di Mobility Express su ISE

    Passaggio 1. Aprire la console ISE e selezionare Amministrazione > Risorse di rete > Dispositivi di rete > Aggiungi, come mostrato nell'immagine.

    Passaggio 2. Inserire le informazioni come illustrato nell'immagine.

    Certificato di attendibilità per ISE

    Passaggio 1. Passare ad Amministrazione > Sistema > Certificati > Gestione certificati > Certificati attendibili.

    Per importare un certificato in ISE, fare clic su Import (Importa). Una volta aggiunto un WLC e creato un utente su ISE, è necessario fare la parte più importante di EAP-TLS che è quella di considerare attendibile il certificato su ISE. A tale scopo, è necessario generare la RSI.

    Passaggio 2. Passare a Amministrazione > Certificati > Richieste di firma del certificato > Genera richieste di firma del certificato (CSR) come mostrato nell'immagine.

    Passaggio 3. Per generare CSR, passare a Uso e da Certificati che verranno utilizzati per le opzioni di elenco a discesa selezionare Autenticazione EAP come mostrato nell'immagine.

    Passaggio 4. È possibile visualizzare il file CSR generato ad ISE. Fare clic su Visualizza come illustrato nell'immagine.

    Passaggio 5. Dopo aver generato CSR, individuare il server CA e fare clic su Request a certificate (Richiedi certificato) come mostrato nell'immagine:

    Passaggio 6. Dopo aver richiesto un certificato, si ottengono le opzioni Certificato utente e Richiesta di certificato avanzata, fare clic su Richiesta di certificato avanzata come mostrato nell'immagine.

    Passaggio 7. Incollare il CSR generato nella richiesta di certificato con codifica Base 64. Dall'opzione a discesa Modello di certificato: , scegliere Server Web e fare clic su Invia, come mostrato nell'immagine.

    Passaggio 8. Dopo aver fatto clic su Invia, è possibile scegliere il tipo di certificato, selezionare Codificato Base 64 e fare clic su Scarica catena di certificati, come mostrato nell'immagine.

    Passaggio 9. Il download del certificato per il server ISE è completato. È possibile estrarre il certificato. Il certificato conterrà due certificati, un certificato radice e un altro intermedio. Il certificato radice può essere importato in Amministrazione > Certificati > Certificati attendibili > Importa come mostrato nelle immagini.

    Passaggio 10. Dopo aver fatto clic su Invia, il certificato viene aggiunto all'elenco dei certificati attendibili. Inoltre, il certificato intermedio è necessario per il collegamento con CSR, come mostrato nell'immagine.

    Passaggio 11. Dopo aver fatto clic su Associa certificato, è possibile scegliere il file di certificato salvato sul desktop. Individuare il certificato intermedio e fare clic su Invia, come mostrato nell'immagine.

    Passaggio 12. Per visualizzare il certificato, selezionare Amministrazione > Certificati > Certificati di sistema, come mostrato nell'immagine.

    Client per EAP-TLS

    Scarica certificato utente sul computer client (Windows Desktop)

    Passaggio 1. Per autenticare un utente wireless tramite EAP-TLS, è necessario generare un certificato client. Connettere il computer Windows alla rete in modo da poter accedere al server. Apri un browser Web e immetti questo indirizzo: https://sever ip addr/certsrv—

    Passaggio 2. Notare che la CA deve essere la stessa con cui è stato scaricato il certificato per ISE.

    A tale scopo, è necessario cercare lo stesso server CA utilizzato per scaricare il certificato per il server. Nella stessa CA fare clic su Richiedi un certificato come in precedenza, ma questa volta è necessario selezionare Utente come modello di certificato, come mostrato nell'immagine.

    Passaggio 3. Fare quindi clic su scarica catena di certificati come in precedenza per il server.

    Dopo aver ottenuto i certificati, eseguire la procedura seguente per importare il certificato in Windows laptop.

    Passaggio 4. Per importare il certificato, è necessario accedervi da Microsoft Management Console (MMC).

    1. Per aprire MMC, selezionare Start > Esegui > MMC.
    2. Selezionare File > Aggiungi/Rimuovi snap-in
    3. Fare doppio clic su Certificati.
    4. Selezionare Account computer.
    5. Selezionare Computer locale > Fine
    6. Per uscire dalla finestra Snap-in, fare clic su OK.
    7. Fare clic su [+] accanto a Certificati > Personali > Certificati.
    8. Fare clic con il pulsante destro del mouse su Certificati e selezionare Tutte le attività > Importa.
    9. Fare clic su Next (Avanti).
    10. Fare clic su Sfoglia.
    11. Selezionare il file .cer, .crt o .pfx che si desidera importare.
    12. Fare clic su Apri.
    13. Fare clic su Next (Avanti).
    14. Selezionare Seleziona automaticamente l'archivio certificati in base al tipo di certificato.
    15. Fare clic su Fine e OK

    Al termine dell'importazione del certificato, è necessario configurare il client wireless (desktop di Windows in questo esempio) per EAP-TLS.

    Profilo wireless per EAP-TLS

    Passaggio 1. Modificare il profilo wireless creato in precedenza per PEAP (Protected Extensible Authentication Protocol) in modo da utilizzare EAP-TLS. Fare clic su EAP Wireless Profile.

    Passaggio 2. Selezionare Microsoft: Smart Card o altro certificato e fare clic su OK, come mostrato nell'immagine.

    Passaggio 3. Fare clic su Impostazioni e selezionare il certificato radice rilasciato dal server CA come mostrato nell'immagine.

    Passaggio 4. Fare clic su Impostazioni avanzate e selezionare Autenticazione utente o computer dalla scheda Impostazioni 802.1x, come mostrato nell'immagine.

    Passaggio 5. A questo punto, provare di nuovo a connettersi alla rete wireless, selezionare il profilo corretto (in questo esempio EAP) e Connetti. Si è connessi alla rete wireless come mostrato nell'immagine.

    Verifica

    Fare riferimento a questa sezione per verificare che la configurazione funzioni correttamente.

    Passaggio 1. Il tipo EAP del client deve essere EAP-TLS. Ciò significa che il client ha completato l'autenticazione, con l'uso di EAP-TLS, ha ottenuto l'indirizzo IP ed è pronto a passare il traffico, come mostrato nelle immagini.

    Passaggio 2. Ecco i dettagli del client dalla CLI del controller (output troncato):

    (Cisco Controller) >show client detail 34:02:86:96:2f:b7
Client MAC Address............................... 34:02:86:96:2f:b7
Client Username ................................. Administrator
AP MAC Address................................... c8:f9:f9:83:47:b0
AP Name.......................................... AP442b.03a9.7f72 
AP radio slot Id................................. 1 
Client State..................................... Associated 
Client User Group................................ Administrator
Client NAC OOB State............................. Access
Wireless LAN Id.................................. 6 
Wireless LAN Network Name (SSID)................. ME_EAP
Wireless LAN Profile Name........................ ME_EAP
Hotspot (802.11u)................................ Not Supported
BSSID............................................ c8:f9:f9:83:47:ba 
Connected For ................................... 18 secs
Channel.......................................... 56 
IP Address....................................... 10.127.209.55
Gateway Address.................................. 10.127.209.49
Netmask.......................................... 255.255.255.240
IPv6 Address..................................... fe80::2818:15a4:65f9:842
--More-- or (q)uit
Security Policy Completed........................ Yes
Policy Manager State............................. RUN
Policy Type...................................... WPA2
Authentication Key Management.................... 802.1x
Encryption Cipher................................ CCMP-128 (AES)
Protected Management Frame ...................... No
Management Frame Protection...................... No
EAP Type......................................... EAP-TLS

    Passaggio 3. Su ISE, selezionare Context Visibility > End Points > Attributes, come mostrato nelle immagini.

    Risoluzione dei problemi

    Al momento non sono disponibili informazioni specifiche per la risoluzione dei problemi di questa configurazione.

    TAC Authored

    Contributo dei tecnici Cisco

    • Bharti Khatri
      Cisco TAC Engineer

    Questo documento ti è stato utile?

    FeedbackFeedback

    Contattaci

    Questo documento si applica a questi prodotti