この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブ ランゲージの取り組みの詳細は、こちらをご覧ください。
シスコは世界中のユーザにそれぞれの言語でサポート コンテンツを提供するために、機械と人による翻訳を組み合わせて、本ドキュメントを翻訳しています。ただし、最高度の機械翻訳であっても、専門家による翻訳のような正確性は確保されません。シスコは、これら翻訳の正確性について法的責任を負いません。原典である英語版(リンクからアクセス可能)もあわせて参照することを推奨します。
このドキュメントでは、Mobility Express Controllerで802.1xセキュリティを使用するワイヤレスローカルエリアネットワーク(WLAN)をセットアップする方法について説明します。このドキュメントでは、特にExtensible Authentication Protocol(EAP)-Transport Layer Security(TLS)の使用についても説明します。
次の項目に関する知識があることが推奨されます。
このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づいています。
このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、初期(デフォルト)設定の状態から起動しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。
TLS server_hello handshake message certificate server_key_exchange certificate request server_hello_done.
Certificate ¬ Server can validate to verify that it is trusted. client_key_exchange certificate_verify ¬ Verifies the server is trusted change_cipher_spec TLS finished
ステップ1:最初のステップは、Mobility ExpressでWLANを作成することです。WLANを作成するには、図に示すように、[WLAN] > [Add new WLAN]に移動します。
ステップ2:[Add new WLAN]をクリックすると、新しいポップアップウィンドウが表示されます。プロファイル名を作成するには、図に示すように[Add new WLAN] > [General]に移動します。
ステップ3:図に示すように、802.1xの認証タイプをWPA Enterpriseに設定し、[Add new WLAN] > [WLAN Security]でRADIUSサーバを設定します。
ステップ4:Add RADIUS Authentication Serverをクリックし、ISEで設定されている内容と正確に一致する必要があるRADIUSサーバと共有秘密のIPアドレスを指定し、図に示すようにApplyをクリックします。
ポリシーを作成するには、ポリシーで使用する許可されたプロトコルリストを作成する必要があります。dot1x ポリシーを作成するため、ポリシーの設定方針に基づいて許可される EAP タイプを指定します。
デフォルトを使用すると認証でほとんどの EAP タイプが許可されますが、特定の EAP タイプへのアクセスをロックダウンする必要がある場合、これは適していない可能性があります。
ステップ1:図に示すように、[Policy] > [Policy Elements] > [Results] > [Authentication] > [Allowed Protocols]に移動し、[Add]をクリックします。
ステップ2:この[Allowed Protocol]リストで、リストの名前を入力できます。この場合、図のように、[EAP-TLSを許可(Allow EAP-TLS)] チェックボックスをオンにして、他のチェックボックスをオフにします。
ステップ 1: 図のように、ISE コンソールを開き、[管理(Administration)] > [ネットワークリソース(Network Resources)] > [ネットワークデバイス(Network Devices)] > [追加(Add)] に移動します。
ステップ 2: 図のように、情報を入力します。
ステップ 1: [管理(Administration)] > [システム(System)] > [証明書(Certificates)] > [証明書の管理(Certificate Management)] > [信頼できる証明書(Trusted Certificates)] に移動します。
[インポート(Import)]をクリックして ISEに証明書をインポートします。WLC を追加し、ISE でユーザを作成したら、ISE で証明書の信頼を確立するという EAP-TLS の最も重要な部分を実行する必要があります。そのためには、CSRを生成する必要があります。
ステップ 2: 図のように、[管理(Administrauon)] > [証明書(Certificates)] > [証明書署名要求(Certificate Signing Requests)] > [証明書署名要求(CSR)の生成(Generate Certificate Signing Requests (CSR))] に移動します。
ステップ 3: CSR を生成するには、図のように、[用途(Usage)] に移動し、[次の目的で証明書を使用(Certificate(s) will be used for)] ドロップダウンオプションから [EAP認証(EAP Authentication)] を選択します。
ステップ4:ISEで生成されたCSRを表示できます。図のように、[表示(View)] をクリックします。
ステップ5:CSRが生成されたら、CAサーバを参照し、図に示すように[Request a certificate]をクリックします。
ステップ6:証明書を要求すると、ユーザ証明書と高度な証明書要求のオプションが表示され、図に示すように高度な証明書要求をクリックします。
ステップ 7: 生成された CSR を [Base-64エンコード証明書要求(Base-64 encoded certificate request)] に貼り付けます。[証明書テンプレート:]ドロップダウンオプションから、[Web Server]を選択し、[送信]をクリックします(図を参照)。
ステップ8:[Submit]をクリックすると、証明書の種類を選択するオプションが表示され、Base-64 encodedを選択して、図に示すように[Download certificate chain]をクリックします。
ステップ9:ISEサーバの証明書のダウンロードが完了します。証明書を抽出できます。証明書には、ルート証明書と中間証明書の 2 つの証明書が含まれています。ルート証明書は、図のように、[管理(Administration)] > [証明書(Certifictes)] > [信頼できる証明書(Trusted certificates)] > [インポート(Import)] を選択してインポートできます。
ステップ10:[Submit]をクリックすると、証明書が信頼できる証明書リストに追加されます。また、図のように、CSR にバインドするには中間証明書が必要です。
ステップ11:[Bind certificate]をクリックすると、デスクトップに保存されている証明書ファイルを選択するオプションが表示されます。図のように、中間証明書を選択し、[送信(Submit)] をクリックします。
ステップ12:証明書を表示するには、図に示すように、[Administration] > [Certificates] > [System Certificates]に移動します。
ステップ 1: EAP-TLS を使用してワイヤレスユーザを認証するには、クライアント証明書を生成する必要があります。サーバにアクセスできるように、Windows コンピュータをネットワークに接続します。Web ブラウザを開き、次のアドレスを入力します:https://sever ip addr/certsrv—
ステップ2:CAは、ISE用に証明書をダウンロードしたCAと同じである必要があります。
そのために、サーバ用の証明書のダウンロードに使用した CA サーバにアクセスする必要があります。同じ CA で以前と同じように [証明書を要求する(Request a certificate)] をクリックしますが、今回は、図のように、[証明書テンプレート(Certificate Template)] で [ユーザ(User)] を選択する必要があります。
ステップ3:次に、サーバに対して以前に行った証明書チェーンのダウンロードをクリックします。
証明書を取得したら、次の手順に従って、Windowsラップトップで証明書をインポートします。
ステップ 4: 証明書をインポートするには、Microsoft 管理コンソール(MMC)から証明書にアクセスする必要があります。
証明書のインポートが完了したら、ワイヤレスクライアント(この例では Windows デスクトップ)を EAP-TLS 用に設定する必要があります。
ステップ1:代わりにEAP-TLSを使用するために、Protected Extensible Authentication Protocol(PEAP)用に作成されたワイヤレスプロファイルを変更します。EAP ワイヤレスプロファイルをクリックします。
ステップ 2: 図のように、[Microsoft:図に示すように、スマートカードまたは他の証明書をクリックし、[OK]をクリックします。
ステップ 3: [設定(Settings)] をクリックし、図のように、CA サーバから発行されたルート証明書を選択します。
ステップ4:図に示すように、[Advanced Settings]をクリックし、[802.1x settings]タブから[User or computer authentication]を選択します。
ステップ5:次に、ワイヤレスネットワークに接続し直し、正しいプロファイル(この例ではEAP)を選択し、Connectを選択します。図のように、ワイヤレスネットワークに接続されます。
ここでは、設定が正常に機能しているかどうかを確認します。
ステップ1:クライアントのEAP-TypeはEAP-TLSである必要があります。これは、クライアントがEAP-TLSを使用して認証を完了し、IPアドレスを取得し、図に示すようにトラフィックを渡す準備ができていることを意味します。
ステップ2:コントローラのCLIからのクライアントの詳細を次に示します(出力を省略)。
(Cisco Controller) >show client detail 34:02:86:96:2f:b7 Client MAC Address............................... 34:02:86:96:2f:b7 Client Username ................................. Administrator AP MAC Address................................... c8:f9:f9:83:47:b0 AP Name.......................................... AP442b.03a9.7f72 AP radio slot Id................................. 1 Client State..................................... Associated Client User Group................................ Administrator Client NAC OOB State............................. Access Wireless LAN Id.................................. 6 Wireless LAN Network Name (SSID)................. ME_EAP Wireless LAN Profile Name........................ ME_EAP Hotspot (802.11u)................................ Not Supported BSSID............................................ c8:f9:f9:83:47:ba Connected For ................................... 18 secs Channel.......................................... 56 IP Address....................................... 10.127.209.55 Gateway Address.................................. 10.127.209.49 Netmask.......................................... 255.255.255.240 IPv6 Address..................................... fe80::2818:15a4:65f9:842 --More-- or (q)uit Security Policy Completed........................ Yes Policy Manager State............................. RUN Policy Type...................................... WPA2 Authentication Key Management.................... 802.1x Encryption Cipher................................ CCMP-128 (AES) Protected Management Frame ...................... No Management Frame Protection...................... No EAP Type......................................... EAP-TLS
ステップ3:図に示すように、ISEで[Context Visbility] > [End Points] > [Attributes]に移動します。
現在、この設定に関する特定のトラブルシューティング情報はありません。