WLCとISEを使用したEAP-TLSの説明と設定

はじめに

このドキュメントでは、802.1XとExtensible Authentication Protocol(EAP)EAP-TLSを使用してワイヤレスローカルエリアネットワーク(WLAN)を設定する方法について説明します。

  

前提条件

要件

次の項目に関する知識があることが推奨されます。

• 802.1X認証プロセス
• 証明書

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づいています。

• WLC 3504 バージョン 8.10
• Identity Services Engine（ISE）バージョン 2.7

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな（デフォルト）設定で作業を開始しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。

背景説明

EAP-TLS フロー

EAP-TLS フローのステップ

1. ワイヤレスクライアントが、アクセスポイント（AP）に関連付けられます。APはこの時点でクライアントによるデータの送信を許可せず、認証要求を送信します。サプリカントはEAP応答IDで応答します。WLC が、ユーザ ID 情報を認証サーバに送信します。RADIUS サーバが、EAP-TLS 開始パケットでクライアントに応答します。この時点で EAP-TLS カンバセーションが開始されます。
2. ピアは、NULLに設定された暗号client_helloハンドシェイクメッセージを含むEAP応答を認証サーバに返信します
3. 認証サーバが、次を含むアクセスチャレンジパケットで応答します。

TLS server_hello
handshake message
certificate
server_key_exchange
certificate request
server_hello_done. 

4.クライアントは、次の内容を含むEAP-Responseメッセージで応答します。

Certificate ¬ Server can validate to verify that it is trusted.

client_key_exchange

certificate_verify ¬ Verifies the server is trusted

change_cipher_spec

TLS finished

5.クライアントの認証が成功すると、RADIUSサーバはchange_cipher_specおよびhandshake finishedメッセージを含むAccess-challengeで応答します。

6.これを受信すると、クライアントはRADIUSサーバを認証するためにハッシュを確認します。

7. TLSハンドシェイク中に、新しい暗号キーがシークレットから動的に取得されます。

8/9 .EAP-Successは最終的にサーバからオーセンティケータに送信され、その後サプリカントに渡されます。

この時点で、EAP-TLS 対応のワイヤレスクライアントがワイヤレスネットワークにアクセスできます。

設定

Cisco ワイヤレス LAN コントローラ

ステップ 1：最初の手順は、Cisco WLC での RADIUS サーバの設定です。RADIUS サーバを WLC に追加するには、[セキュリティ（Security）] > [RADIUS] > [認証（Authentication）] に移動します。図のように、[新規（New）] をクリックします。

ステップ 2：ここで、ISE で WLC を検証するために使用される IP アドレスと共有秘密を入力する必要があります。<password>図のように、[適用（Apply）] をクリックして続行します。

ステップ 3：RADIUS認証用のWLANの作成

ここで、新しい WLAN を作成できます。この WLAN を、WPA-enterprise モードを使用するように設定することで、認証に RADIUS を使用できるようになります。

ステップ 4：メインメニューからWLANsを選択し、Create Newを選択して、図に示すようにGoをクリックします。

ステップ 5：新しいWLANにEAP-TLSという名前を付けます。図のように、[適用（Apply）] をクリックして続行します。

手順 6：Generalをクリックし、StatusがEnabledであることを確認します。図のように、デフォルトのセキュリティポリシーは 802.1X 認証と WPA2 です。

手順 7：次に、Security> AAA Serversタブに移動し、図に示すように設定したRADIUSサーバを選択します。

ISE と Cisco WLC

EAP-TLS 設定

  

ポリシーを作成するために、ポリシーで使用する許可プロトコルリストを作成する必要があります。dot1x ポリシーを作成するため、ポリシーの設定方針に基づいて許可される EAP タイプを指定します。

デフォルトを使用すると、特定のEAPタイプへのアクセスをロックダウンする必要がある場合に推奨されない、ほとんどのEAPタイプを認証に使用できます。

ステップ 1：Policy > Policy Elements > Results > Authentication > Allowed Protocollsに移動し、図に示すようにAddをクリックします。

  

ステップ 2：この [許可されるプロトコル（Allowed Protocol）] リストで、リストの名前を入力できます。この場合、図のように、[EAP-TLSを許可（Allow EAP-TLS）] チェックボックスをオンにして、他のチェックボックスをオフにします。 

ISE での WLC の設定

ステップ 1：図に示すように、ISEコンソールを開き、Administration > Network Resources > Network Devices > Addの順に移動します。

ステップ 2：図に示すように、値を入力します。

  

ISE での新しいユーザの作成

ステップ 1：図に示すように、Administration > Identity Management > Identities > Users > Addの順に移動します。

ステップ 2：図に示すように、情報を入力します。

ISE での証明書の信頼確立

ステップ 1：Administration > System > Certificates > Certificate Management > Trusted certificatesの順に移動します。

[インポート（Import）]をクリックして ISEに証明書をインポートします。WLC を追加し、ISE でユーザを作成したら、ISE で証明書の信頼を確立するという EAP-TLS の最も重要な部分を実行する必要があります。そのために、CSR を生成する必要があります。

ステップ 2：図に示すように、Administration > Certificates > Certificate Signing Requests > Generate Certificate Signing Requests (CSR)の順に移動します。

ステップ 3：CSRを生成するには、Usageに移動し、Certificate(s) are used forドロップダウンオプションから、図に示すようにEAP Authenticationを選択します。

ステップ 4：ISE で生成された CSR を表示できます。図のように、[表示（View）] をクリックします。

ステップ 5：CSR が生成されたら、図のように、CA サーバにアクセスし、[証明書を要求する（Request a certificate）] をクリックします。

手順 6：証明書を要求すると、図のように、[ユーザ証明書（User Certificate）] オプションと [高度な証明書の要求（advanced certificate request）] オプションが表示されるので、[高度な証明書の要求（advanced certificate request）] をクリックします。

手順 7：Base-64でエンコードされた証明書要求で生成されたCSRを貼り付けます。Certificate Template:ドロップダウンオプションから、Web Serverを選択し、図に示すようにSubmitをクリックします。

ステップ 8：[送信（Submit）] をクリックすると、図のように、証明書のタイプを選択するオプションが表示されるので、[Base-64エンコード（Base-64 encoded）] を選択し、[証明書チェーンのダウンロード（Download certificate chain）] をクリックします。

ステップ 9：ISE サーバ用の証明書のダウンロードが完了したら、証明書を抽出できます。証明書には2つの証明書（1つのルート証明書と他の中間証明書）が含まれています。ルート証明書は、図のように、[管理（Administration）] > [証明書（Certifictes）] > [信頼できる証明書（Trusted certificates）] > [インポート（Import）] を選択してインポートできます。

ステップ 10：[送信（Submit）] をクリックすると、証明書が信頼できる証明書のリストに追加されます。また、図のように、CSR にバインドするには中間証明書が必要です。

ステップ 11Bind certificateをクリックすると、デスクトップに保存されている証明書ファイルを選択するオプションが表示されます。図のように、中間証明書を選択し、[送信（Submit）] をクリックします。

ステップ 12 証明書を表示するには、図のように、[管理（Administration）] > [証明書（Certificates）] > [システム証明書（System Certificates）] に移動します。

EAP-TLS 用のクライアント

クライアントマシン（Windows デスクトップ）へのユーザ証明書のダウンロード

ステップ 1：EAP-TLSを使用して無線ユーザを認証するには、クライアント証明書を生成する必要があります。サーバにアクセスできるように、Windows コンピュータをネットワークに接続します。Webブラウザを開き、次のアドレスを入力します。https://sever ip addr/certsrv—

ステップ 2：CA は ISE 用の証明書をダウンロードしたときと同じである必要があることに注意してください。

そのために、サーバ用の証明書のダウンロードに使用した CA サーバにアクセスする必要があります。同じCAで、前の手順と同様にRequest a certificateをクリックしますが、今度は図に示すように、証明書テンプレートとしてUserを選択する必要があります。

ステップ 3：サーバ用の証明書の場合と同じように [証明書チェーンのダウンロード（Download certificate chain）] をクリックします。

証明書を取得したら、次の手順を使用してWindowsラップトップに証明書をインポートします。

ステップ 4：証明書をインポートするには、Microsoft管理コンソール(MMC)から証明書にアクセスする必要があります。

1. MMC を開くには、[スタート（Start）] > [ファイル名を指定して実行（Run）] > [MMC] に移動します。
2. [ファイル（File）] > [スナップインの追加と削除（Add / Remove Snap In] に移動します。
3. [証明書（Certificates）] をダブルクリックします。
4. [コンピューターアカウント（Computer Account）] を選択します。
5. [ローカルコンピューター（Local Computer）] > [完了（Finish）] を選択します。
6. [OK] をクリックして[スナップイン（Snap-In）] ウィンドウを終了します。
7. [証明書（Certificates）] の横にある [+] をクリックし、[個人（Personal）] > [証明書（Certificates）] を選択します。
8. [証明書（Certificates）] を右クリックし、[すべてのタスク（All Tasks）] > [インポート（Import）] を選択します。
9. [Next] をクリックします。
10. [Browse] をクリックします。
11. インポートする .cer、.crt、または .pfx ファイルを選択します。 
12. [Open] をクリックします。
13. [Next] をクリックします。
14. [証明書の種類に基づいて、自動的に証明書ストアを選択する（Automatically select the certificate store based on the type of certificate）] を選択します。
15. [完了（Finish）]、[OK] の順にクリックしてます。

証明書のインポートが完了したら、ワイヤレスクライアント（この例ではWindowsデスクトップ）をEAP-TLS用に設定する必要があります。

EAP-TLS のワイヤレスプロファイル

ステップ 1：代わりにEAP-TLSを使用するには、Protected Extensible Authentication Protocol(PEAP)用に以前に作成したワイヤレスプロファイルを変更します。EAP ワイヤレスプロファイルをクリックします。

  

ステップ 2：Microsoft: Smart Card or other certificateを選択し、図に示すようにOKをクリックします。

ステップ 3：settingsをクリックし、図に示すように、CAサーバから発行されたルート証明書を選択します。

ステップ 4：Advanced Settingsをクリックし、図に示すように、802.1x settingsタブからUserまたはcomputer authenticationを選択します。

ステップ 5：次に、ワイヤレスネットワークへの接続を再試行し、正しいプロファイル（この例ではEAP）を選択して、Connectをクリックします。図のように、ワイヤレスネットワークに接続されます。

確認

ここでは、設定が正常に機能しているかどうかを確認します。

ステップ 1：クライアントポリシーマネージャの状態がRUNと表示されている必要があります。これは、クライアントが、認証を完了し、IP アドレスを取得して、図に示されているトラフィックを渡す準備ができていることを意味します。

ステップ 2：また、図のように、クライアントの詳細情報ページで WLC の EAP 方式が正しいことを確認します。

ステップ 3：コントローラのCLIからのクライアントの詳細を次に示します（出力を省略）。

(Cisco Controller-Standby) >show client detail 34:02:86:96:2f:b7
Client MAC Address............................... 34:02:86:96:2f:b7
Client Username ................................. Administrator
AP MAC Address................................... 00:d7:8f:52:db:a0
AP Name.......................................... Alpha2802_3rdfloor 
AP radio slot Id................................. 0 
Client State..................................... Associated 
Wireless LAN Id.................................. 5 
Wireless LAN Network Name (SSID)................. EAP
Wireless LAN Profile Name........................ EAP
Hotspot (802.11u)................................ Not Supported
BSSID............................................ 00:d7:8f:52:db:a4 
Connected For ................................... 48 secs
Channel.......................................... 1 
IP Address....................................... 10.106.32.239
Gateway Address.................................. 10.106.32.1
Netmask.......................................... 255.255.255.0
Policy Manager State............................. RUN
Policy Type...................................... WPA2
Authentication Key Management.................... 802.1x
Encryption Cipher................................ CCMP-128 (AES)
Protected Management Frame ...................... No
Management Frame Protection...................... No
EAP Type......................................... EAP-TLS

ステップ 4：図のように、ISE で、[コンテキストの可視性（Context Visbility）] > [エンドポイント（End Points）] > [属性（Attributesas）] に移動します。

トラブルシュート

現在のところ、この設定のトラブルシューティングに利用できる特定の情報はありません。