PEAP-MS-CHAPv2 시스템 인증을 사용하여 Windows v3.2용 Cisco Secure ACS 구성

소개

이 문서에서는 Cisco Secure ACS for Windows 버전 3.2를 사용하여 PEAP(Protected Extensible Authentication Protocol)를 구성하는 방법을 설명합니다.

무선 LAN 컨트롤러, Microsoft Windows 2003 소프트웨어 및 Cisco Secure ACS(Access Control Server) 4.0을 사용하여 보안 무선 액세스를 구성하는 방법에 대한 자세한 내용은 ACS 4.0 및 Windows 2003이 있는 Unified Wireless Networks 아래에서 PEAP를 참조하십시오.

사전 요구 사항

요구 사항

이 문서에 대한 특정 요건이 없습니다.

사용되는 구성 요소

이 문서의 정보는 아래의 소프트웨어 및 하드웨어 버전을 기반으로 합니다.

• Cisco Secure ACS for Windows 버전 3.2

• Microsoft Certificate Services(엔터프라이즈 루트 CA[Certificate Authority])로 설치됨)

  참고: 자세한 내용은 Certification Authority 설정에 대한 단계별 가이드를 참조하십시오.

• Windows 2000 Server 서비스 팩 3의 DNS 서비스

  참고: CA 서버 문제가 발생하면 핫픽스 323172를 설치합니다. Windows 2000 SP3 클라이언트에서 IEEE 802.1x 인증을 사용하려면 핫픽스 313664가 필요합니다.

• Cisco Aironet 1200 Series Wireless Access Point 12.01T

• Windows XP Professional(서비스 팩 1 포함)을 실행하는 IBM ThinkPad T30

이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다. 이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다. 라이브 네트워크에서 작업 중인 경우, 사용하기 전에 모든 명령의 잠재적인 영향을 미리 숙지하시기 바랍니다.

배경 이론

PEAP와 EAP-TLS는 모두 TLS/SSL(Secure Socket Layer) 터널을 구축하고 사용합니다. PEAP는 서버측 인증만 사용합니다. 서버에만 인증서가 있으며 클라이언트에 ID를 증명합니다. 그러나 EAP-TLS는 ACS(Authentication, Authorization, and Accounting[AAA]) 서버와 클라이언트가 모두 인증서를 가지고 서로 ID를 증명하는 상호 인증을 사용합니다.

PEAP는 클라이언트가 인증서를 필요로 하지 않기 때문에 편리합니다. EAP-TLS는 인증서가 사용자 상호 작용을 필요로 하지 않기 때문에 헤드리스 디바이스 인증에 유용합니다.

표기 규칙

문서 규칙에 대한 자세한 내용은 Cisco 기술 팁 표기 규칙을 참조하십시오.

네트워크 다이어그램

이 문서에서는 아래 다이어그램에 나와 있는 네트워크 설정을 사용합니다.

Windows v3.2용 Cisco Secure ACS 구성

ACS 3.2를 구성하려면 다음 단계를 수행합니다.

1. ACS 서버용 인증서를 가져옵니다.

2. 스토리지의 인증서를 사용하도록 ACS를 구성합니다.

3. ACS에서 신뢰해야 하는 추가 인증 기관을 지정합니다.

4. 서비스를 다시 시작하고 ACS에서 PEAP 설정을 구성합니다.

5. 액세스 포인트를 AAA 클라이언트로 지정하고 구성합니다.

6. 외부 사용자 데이터베이스를 구성합니다.

7. 서비스를 다시 시작합니다.

ACS 서버용 인증서 얻기

인증서를 얻으려면 다음 단계를 수행하십시오.

1. ACS 서버에서 웹 브라우저를 열고 주소 표시줄에 http:// CA-ip-address/certsrv를 입력하여 CA 서버를 찾습니다. Administrator로 도메인에 로그인합니다.

   

2. Request a certificate(인증서 요청)를 선택하고 Next(다음)를 클릭합니다.

   

3. Advanced request(고급 요청)를 선택한 후 Next(다음)를 클릭합니다.

   

4. 양식을 사용하여 Submit a certificate request to this CA(이 CA에 인증서 요청 제출)를 선택한 후 Next(다음)를 클릭합니다.

   

5. 인증서 옵션을 구성합니다.

   1. 인증서 템플릿으로 웹 서버를 선택합니다. ACS 서버의 이름을 입력합니다.

      

   2. 키 크기를 1024로 설정합니다. 키를 내보낼 수 있는 것으로 표시하고 로컬 컴퓨터 저장소를 사용하는 옵션을 선택합니다. 필요에 따라 다른 옵션을 구성한 다음 Submit(제출)을 클릭합니다.

      

      참고: 스크립팅 위반(브라우저의 보안/개인 정보 설정에 따라 다름)을 나타내는 경고 창이 나타나면 Yes(예)를 클릭하여 계속합니다.

      

6. Install this certificate(이 인증서 설치)를 클릭합니다.

   

   참고: 스크립팅 위반(브라우저의 보안/개인 정보 설정에 따라 다름)을 나타내는 경고 창이 나타나면 Yes(예)를 클릭하여 계속합니다.

   

7. 설치에 성공하면 확인 메시지가 표시됩니다.

   

스토리지의 인증서를 사용하도록 ACS 구성

다음 단계에 따라 ACS에서 스토리지의 인증서를 사용하도록 구성합니다.

1. 웹 브라우저를 열고 주소 표시줄에 http:// ACS-ip-address:2002/를 입력하여 ACS 서버를 찾습니다. System Configuration(시스템 컨피그레이션)을 클릭한 다음 ACS Certificate Setup(ACS 인증서 설정)을 클릭합니다.

2. Install ACS Certificate(ACS 인증서 설치)를 클릭합니다.

3. Use certificate from storage를 선택합니다. Certificate CN(인증서 CN) 필드에 ACS 서버용 인증서 얻기 섹션의 5a단계에서 할당한 인증서의 이름을 입력합니다. Submit(제출)을 클릭합니다.

   이 항목은 고급 인증서 요청 중에 Name 필드에 입력한 이름과 일치해야 합니다. 서버 인증서의 주체 필드에 있는 CN 이름입니다. 서버 인증서를 편집하여 이 이름을 확인할 수 있습니다. 이 예에서 이름은 "OurACS"입니다. 발급자의 CN 이름을 입력하지 마십시오.

   

4. 컨피그레이션이 완료되면 ACS 서버의 컨피그레이션이 변경되었음을 나타내는 확인 메시지가 표시됩니다.

   참고: 지금은 ACS를 다시 시작할 필요가 없습니다.

   

ACS에서 신뢰해야 하는 추가 인증 기관 지정

ACS는 자체 인증서를 발급한 CA를 자동으로 신뢰합니다. 클라이언트 인증서가 추가 CA에서 발급된 경우 다음 단계를 완료해야 합니다.

1. System Configuration(시스템 컨피그레이션)을 클릭한 다음 ACS Certificate Setup(ACS 인증서 설정)을 클릭합니다.

2. ACS Certificate Authority Setup(ACS 인증 기관 설정)을 클릭하여 신뢰할 수 있는 인증서 목록에 CA를 추가합니다. CA 인증서 파일 필드에 인증서의 위치를 입력한 다음 Submit(제출)을 클릭합니다.

   

3. Edit Certificate Trust List를 클릭합니다. ACS가 신뢰해야 하는 모든 CA를 선택하고 ACS가 신뢰해서는 안 되는 모든 CA의 선택을 취소합니다. Submit(제출)을 클릭합니다.

   

서비스를 다시 시작하고 ACS에서 PEAP 설정 구성

서비스를 다시 시작하고 PEAP 설정을 구성하려면 다음 단계를 수행합니다.

1. System Configuration(시스템 컨피그레이션)을 클릭한 다음 Service Control(서비스 제어)을 클릭합니다.

2. 서비스를 다시 시작하려면 Restart(다시 시작)를 클릭합니다.

3. PEAP 설정을 구성하려면 System Configuration(시스템 컨피그레이션)을 클릭한 다음 Global Authentication Setup(글로벌 인증 설정)을 클릭합니다.

4. 아래 표시된 두 설정을 확인하고 다른 모든 설정을 기본값으로 둡니다. 원하는 경우 Enable Fast Reconnect(빠른 재연결 활성화)와 같은 추가 설정을 지정할 수 있습니다. 완료되면 Submit(제출)을 클릭합니다.

   • EAP-MSCHAPv2 허용

   • MS-CHAP 버전 2 인증 허용

   참고: Fast Connect에 대한 자세한 내용은 시스템 구성: 인증 및 인증서의 "인증 구성 옵션"을 참조하십시오.

   

액세스 포인트를 AAA 클라이언트로 지정 및 구성

액세스 포인트(AP)를 AAA 클라이언트로 구성하려면 다음 단계를 수행합니다.

1. Network Configuration(네트워크 컨피그레이션)을 클릭합니다. AAA Clients 아래에서 Add Entry를 클릭합니다.

   

2. AAA Client Hostname(AAA 클라이언트 호스트 이름) 필드에 AP의 호스트 이름을 입력하고 AAA Client IP Address(AAA 클라이언트 IP 주소) 필드에 AP의 IP 주소를 입력합니다. Key(키) 필드에 ACS 및 AP에 대한 공유 비밀 키를 입력합니다. 인증 방법으로 RADIUS(Cisco Aironet)를 선택합니다. 완료되면 Submit(제출)을 클릭합니다.

   

외부 사용자 데이터베이스 구성

외부 사용자 데이터베이스를 구성하려면 다음 단계를 수행합니다.

참고: ACS 3.2만 Windows 데이터베이스에 대한 시스템 인증을 통해 PEAP-MS-CHAPv2를 지원합니다.

1. External User Databases(외부 사용자 데이터베이스)를 클릭한 다음 Database Configuration(데이터베이스 컨피그레이션)을 클릭합니다. Windows 데이터베이스를 클릭합니다.

   참고: Windows 데이터베이스가 이미 정의되어 있지 않은 경우 새 구성 만들기를 클릭한 다음 제출을 클릭합니다.

2. Configure를 클릭합니다. Configure Domain List 아래에서 SEC-SYD 도메인을 Available Domains에서 Domain List로 이동합니다.

   

3. 머신 인증을 활성화하려면 Windows EAP 설정에서 PEAP 머신 인증 허용 옵션을 선택합니다. 머신 인증 이름 접두사를 변경하지 마십시오. Microsoft는 현재 "/host"(기본값)를 사용하여 사용자 인증과 머신 인증을 구분합니다. 원하는 경우 PEAP 내에서 비밀번호 변경 허용 옵션을 선택합니다. 완료되면 Submit(제출)을 클릭합니다.

   

4. External User Databases(외부 사용자 데이터베이스)를 클릭한 다음 Unknown User Policy(알 수 없는 사용자 정책)를 클릭합니다. 다음 외부 사용자 데이터베이스 확인 옵션을 선택한 다음 오른쪽 화살표 단추( -> )를 사용하여 Windows 데이터베이스를 외부 데이터베이스에서 선택한 데이터베이스로 이동합니다. 완료되면 Submit(제출)을 클릭합니다.

   

서비스 다시 시작

ACS 구성을 마쳤으면 다음 단계에 따라 서비스를 재시작합니다.

1. System Configuration(시스템 컨피그레이션)을 클릭한 다음 Service Control(서비스 제어)을 클릭합니다.

2. Restart를 클릭합니다.

Cisco 액세스 포인트 구성

ACS를 인증 서버로 사용하도록 AP를 구성하려면 다음 단계를 수행합니다.

1. 웹 브라우저를 열고 주소 표시줄에 http://-AP-ip-address/certsrv를 입력하여 AP를 찾습니다. 툴바에서 Setup(설정)을 클릭합니다.

2. 서비스 아래에서 보안을 클릭합니다.

3. Authentication Server(인증 서버)를 클릭합니다.

   참고: AP에 계정을 구성한 경우 로그인해야 합니다.

4. 인증자 컨피그레이션 설정을 입력합니다.

   • 802.1x 프로토콜 버전(EAP 인증의 경우)으로 802.1x-2001을 선택합니다.

   • Server Name/IP(서버 이름/IP) 필드에 ACS 서버의 IP 주소를 입력합니다.

   • 서버 유형으로 RADIUS를 선택합니다.

   • Port(포트) 필드에 1645 또는 1812를 입력합니다.

   • Specify and Configure the Access Point as an AAA Client(액세스 포인트를 AAA 클라이언트로 지정 및 구성)의 2단계에서 지정한 공유 비밀 키를 입력합니다.

   • EAP 인증 옵션을 선택하여 서버 사용 방법을 지정합니다.

   완료되면 확인을 클릭합니다.

   

5. WEP(무선 데이터 암호화)를 클릭합니다.

6. 내부 데이터 암호화 설정을 입력합니다.

   • 데이터 암호화 수준을 설정하려면 Full Encryption을 선택합니다.

   • 암호화 키를 입력하고 키 크기를 128비트로 설정하여 브로드캐스트 키로 사용합니다.

   완료되면 확인을 클릭합니다.

   

7. Network(네트워크) > Service Sets(서비스 세트) > Select the SSID Idx(SSID Idx 선택)로 이동하여 올바른 SSID(Service Set Identifier)를 사용하고 있는지 확인하고 완료되면 OK(확인)를 클릭합니다.

   아래 예에는 기본 SSID "tsunami"가 나와 있습니다.

   

무선 클라이언트 구성

ACS 3.2를 구성하려면 다음 단계를 수행합니다.

1. MS 인증서 머신 자동 등록을 구성합니다.

2. 도메인에 가입합니다.

3. Windows 클라이언트에 루트 인증서를 수동으로 설치합니다.

4. 무선 네트워킹을 구성합니다.

MS 인증서 머신 자동 등록 구성

도메인 컨트롤러 Kant에서 자동 머신 인증서 등록을 위해 도메인을 구성하려면 다음 단계를 수행합니다.

1. 제어판 > 관리 도구 > Active Directory 사용자 및 컴퓨터 열기 로 이동합니다.

2. 도메인 sec-syd를 마우스 오른쪽 버튼으로 클릭하고 하위 메뉴에서 Properties(속성)를 선택합니다.

3. Group Policy(그룹 정책) 탭을 선택합니다. Default Domain Policy(기본 도메인 정책)를 클릭한 다음 Edit(수정)를 클릭합니다.

4. Computer Configuration(컴퓨터 구성) > Windows Settings(Windows 설정) > Security Settings(보안 설정) > Public Key Policies(공개 키 정책) > Automatic Certificate Request Settings(자동 인증서 요청 설정)로 이동합니다.

   

5. 메뉴 모음에서 Action(작업) > New(새로 만들기) > Automatic Certificate Request(자동 인증서 요청)로 이동하여 Next(다음)를 클릭합니다.

6. 컴퓨터를 선택하고 다음을 클릭합니다.

7. CA를 확인합니다.

   이 예에서 CA의 이름은 "Our TAC CA"입니다.

8. Next(다음)를 클릭한 다음 Finish(마침)를 클릭합니다.

도메인 가입

무선 클라이언트를 도메인에 추가하려면 다음 단계를 수행합니다.

참고: 이 단계를 완료하려면 무선 클라이언트가 유선 연결 또는 802.1x 보안이 비활성화된 무선 연결을 통해 CA에 연결되어 있어야 합니다.

1. Windows XP에 로컬 관리자로 로그인합니다.

2. Control Panel(제어판) > Performance and Maintenance(성능 및 유지 관리) > System(시스템)으로 이동합니다.

3. 컴퓨터 이름 탭을 선택한 다음 변경을 클릭합니다. 컴퓨터 이름 필드에 호스트 이름을 입력합니다. Domain(도메인)을 선택한 다음 도메인 이름(이 예에서는 SEC-SYD)을 입력합니다. OK(확인)를 클릭합니다.

   

4. 로그인 대화 상자가 표시되면 도메인에 가입할 권한이 있는 계정으로 로그인하여 도메인에 가입합니다.

5. 컴퓨터가 도메인에 성공적으로 가입하면 컴퓨터를 다시 시작합니다. 시스템은 도메인의 구성원이 됩니다. 시스템 자동 등록을 설정했으므로, 시스템에는 설치된 CA용 인증서와 시스템 인증용 인증서가 있습니다.

Windows 클라이언트에 루트 인증서 수동 설치

루트 인증서를 수동으로 설치하려면 다음 단계를 따르십시오.

참고: 머신 자동 등록을 이미 설정한 경우, 이 단계는 필요하지 않습니다. 무선 네트워킹 구성으로 건너뜁니다.

1. Windows 클라이언트 컴퓨터에서 웹 브라우저를 열고 주소 표시줄에 http:// root-CA-ip-address/certsrv를 입력하여 Microsoft CA 서버로 이동합니다. CA 사이트에 로그인합니다.

   이 예에서 CA의 IP 주소는 10.66.79.241입니다.

   

2. Retrieve the CA certificate or certification revocation list(CA 인증서 또는 인증서 해지 목록 검색)를 선택하고 Next(다음)를 클릭합니다.

   

3. Download CA certificate(CA 인증서 다운로드)를 클릭하여 로컬 시스템에 인증서를 저장합니다.

   

4. 인증서를 열고 Install Certificate(인증서 설치)를 클릭합니다.

   참고: 아래 예에서 왼쪽 위의 아이콘은 인증서를 아직 신뢰할 수 없음(설치됨)을 나타냅니다.

   

5. 현재 사용자/신뢰할 수 있는 루트 인증 기관에 인증서를 설치합니다.

   1. Next(다음)를 클릭합니다.

   2. Automatically select the certificate store based on the certificate type(인증서 유형에 따라 자동으로 인증서 저장소 선택)을 선택하고 Next(다음)를 클릭합니다.

   3. Finish(마침)를 클릭하여 루트 인증서를 자동으로 Current User/Trusted Root Certificate Authorities(현재 사용자/신뢰할 수 있는 루트 인증 기관) 아래에 둡니다.

무선 네트워킹 구성

무선 네트워킹에 대한 옵션을 설정하려면 다음 단계를 수행합니다.

1. 도메인에 도메인 사용자로 로그인합니다.

2. 제어판 > 네트워크 및 인터넷 연결 > 네트워크 연결로 이동합니다. 무선 연결을 마우스 오른쪽 단추로 클릭하고 표시되는 하위 메뉴에서 속성을 선택합니다.

3. 무선 네트워크 탭을 선택합니다. 사용 가능한 네트워크 목록에서 무선 네트워크(AP의 SSID 이름을 사용하여 표시됨)를 선택한 다음 구성을 클릭합니다.

   

4. 네트워크 속성 창의 Authentication(인증) 탭에서 Enable IEEE 802.1x authentication for this network(이 네트워크에 대해 IEEE 802.1x 인증 활성화) 옵션을 선택합니다. EAP 유형의 경우 EAP 유형에 대해 PEAP(Protected EAP)를 선택한 다음 속성을 클릭합니다.

   참고: 머신 인증을 활성화하려면 컴퓨터 정보를 사용할 수 있을 때 컴퓨터로 인증 옵션을 선택합니다.

   

5. Validate server certificate(서버 인증서 검증)를 선택한 다음 PEAP 클라이언트 및 ACS 디바이스에서 사용하는 엔터프라이즈의 루트 CA를 확인합니다. 인증 방법으로 보안 비밀번호(EAP-MSCHAP v2)를 선택한 다음 구성을 클릭합니다.

   이 예에서 루트 CA의 이름은 "Our TAC CA"입니다.

   

6. Single Sign-On을 활성화하려면 내 Windows 로그온 이름 및 암호 자동 사용(있는 경우 도메인) 옵션을 선택합니다. OK(확인)를 클릭하여 이 설정을 적용한 다음 OK(확인)를 다시 클릭하여 네트워크 속성 창으로 돌아갑니다.

   PEAP에 대한 단일 로그인을 사용하는 경우 클라이언트는 PEAP 인증에 Windows 로그온 이름을 사용하므로 사용자가 비밀번호를 다시 입력할 필요가 없습니다.

   

7. 네트워크 속성 창의 연결 탭에서 데이터 암호화(WEP 사용) 옵션을 선택하면 자동으로 키가 제공됩니다. OK(확인)를 클릭한 다음 OK(확인)를 다시 클릭하여 네트워크 컨피그레이션 창을 닫습니다.

   

다음을 확인합니다.

이 섹션에서는 컨피그레이션이 제대로 작동하는지 확인하는 데 사용할 수 있는 정보를 제공합니다.

• 무선 클라이언트가 인증되었는지 확인하려면 무선 클라이언트에서 Control Panel(제어판) > Network and Internet Connections(네트워크 및 인터넷 연결) > Network Connections(네트워크 연결)로 이동합니다. 메뉴 모음에서 보기 > 타일로 이동합니다. 무선 연결은 "Authentication succeeded(인증 성공)" 메시지를 표시해야 합니다.

• 무선 클라이언트가 인증되었는지 확인하려면 ACS 웹 인터페이스에서 Reports and Activity(보고서 및 활동) > Passed Authentications(통과한 인증) > Passed Authentications active.csv로 이동합니다.

문제 해결

이 섹션에서는 설정 문제 해결에 사용할 수 있는 정보를 제공합니다.

• MS 인증서 서비스가 Windows 2000 Advanced Server(서비스 팩 3 포함)에 엔터프라이즈 루트 CA로 설치되었는지 확인합니다. MS Certificate Services를 설치한 후 핫픽스 323172 및 313664를 설치해야 합니다. MS Certificate Services(MS 인증서 서비스)가 다시 설치된 경우 핫픽스 323172 다시 설치해야 합니다.

• Windows 2000 및 서비스 팩 3과 함께 Cisco Secure ACS for Windows 버전 3.2를 사용하고 있는지 확인합니다. 핫픽스 323172 및 313664이 설치되었는지 확인합니다.

• 무선 클라이언트에서 머신 인증이 실패할 경우 무선 연결에서 네트워크 연결이 없습니다. 무선 클라이언트에서 프로필이 캐시된 계정만 도메인에 로그인할 수 있습니다. 이 기계는 유선 네트워크에 연결하거나 802.1x 보안 없이 무선 연결용으로 설정해야 합니다.

• 도메인에 가입할 때 CA와의 자동 등록이 실패할 경우 가능한 이유로 이벤트 뷰어를 선택합니다. 노트북에서 DNS 설정을 확인해 보십시오.

• ACS의 인증서가 클라이언트에서 거부된 경우(인증서의 유효한 "시작" 및 "끝" 날짜, 클라이언트의 날짜 및 시간 설정, CA 트러스트에 따라 다름), 클라이언트는 인증서를 거부하고 인증이 실패합니다. ACS는 웹 인터페이스의 Reports and Activity(보고서 및 활동) > Failed Attempts(실패한 시도) > Failed Attempts XXX.csv(실패한 시도 XXX.csv) 아래에 "EAP-TLS 또는 PEAP 인증이 SSL 핸드셰이크 중에 실패했습니다."와 유사한 인증 실패 코드가 있는 실패한 인증을 기록합니다. CSAuth.log 파일에 예상되는 오류 메시지는 다음과 유사합니다.

  AUTH 06/04/2003 14:56:41 E 0345 1644 EAP: buildEAPRequestMsg: 
  other side probably didn't accept our certificate

• ACS 웹 인터페이스의 로그에서 Reports and Activity > Passed Authentications > Passed Authentications XXX.csv 및 Reports and Activity > Failed Attempts > Failed Attempts XXX.csv에서 PEAP 인증은 <DOMAIN>\<user-id> 형식으로 표시됩니다. EAP-TLS 인증은 <user-id>@<domain> 형식으로 표시됩니다.

• PEAP 빠른 재연결을 사용하려면 ACS 서버와 클라이언트 모두에서 이 기능을 활성화해야 합니다.

• PEAP 비밀번호 변경이 활성화된 경우, 계정의 비밀번호가 오래되었거나 다음 로그인 시 해당 계정의 비밀번호가 변경된 것으로 표시된 경우에만 비밀번호를 변경할 수 있습니다.

• 아래 단계에 따라 ACS 서버의 인증서 및 신뢰를 확인할 수 있습니다.

  1. 관리자 권한이 있는 계정으로 ACS 서버의 Windows에 로그인합니다. 시작 > 실행으로 이동하여 mmc를 입력하고 확인을 클릭하여 Microsoft Management Console을 엽니다.

  2. 메뉴 모음에서 콘솔 > 스냅인 추가/제거로 이동한 다음 추가를 클릭합니다.

  3. Certificates(인증서)를 선택하고 Add(추가)를 클릭합니다.

  4. 컴퓨터 계정을 선택하고 다음을 클릭한 다음 로컬 컴퓨터(이 콘솔이 실행 중인 컴퓨터)를 선택합니다.

  5. Finish(마침)를 클릭하고 Close(닫기)를 클릭한 다음 OK(확인)를 클릭합니다.

  6. ACS 서버에 유효한 서버측 인증서가 있는지 확인하려면 Console Root(콘솔 루트) > Certificates (Local Computer)(인증서(로컬 컴퓨터)) > ACSCertStore(ACSCertStore) > Certificates(인증서)로 이동합니다. ACS 서버에 대한 인증서가 있는지 확인합니다(이 예에서는 OurACS로 지정됨). 인증서를 열고 다음 항목을 확인합니다.

     • 인증서가 의도된 모든 용도로 검증되지 않는다는 것에 대한 경고는 없습니다.

     • 인증서를 신뢰할 수 없다는 경고는 없습니다.

     • "이 인증서는 원격 컴퓨터의 ID를 확인하기 위한 것입니다."

     • 인증서가 만료되지 않았고 유효화되었습니다(유효한 "시작" 및 "끝" 날짜를 확인하십시오).

     • "이 인증서에 해당하는 개인 키가 있습니다."

  7. Details(세부사항) 탭에서 Version(버전) 필드의 값이 V3이고 Enhanced Key Usage(고급 키 사용) 필드의 값이 Server Authentication(서버 인증)(1.3.6.1.5.5.7.3.1)인지 확인합니다.

  8. ACS 서버가 CA 서버를 신뢰하는지 확인하려면 Console Root(콘솔 루트) > Certificates (Local Computer)(인증서(로컬 컴퓨터)) > Trusted Root Certification Authorities(신뢰할 수 있는 루트 인증 기관) > Certificates(인증서)로 이동합니다. CA 서버에 대한 인증서가 있는지 확인합니다(이 예에서는 Our TAC CA). 인증서를 열고 다음 항목을 확인합니다.

     • 인증서가 의도된 모든 용도로 검증되지 않는다는 것에 대한 경고는 없습니다.

     • 인증서를 신뢰할 수 없다는 경고는 없습니다.

     • 인증서의 용도가 정확합니다.

     • 인증서가 만료되지 않았고 유효화되었습니다(유효한 "시작" 및 "끝" 날짜를 확인하십시오).

     ACS와 클라이언트가 동일한 루트 CA를 사용하지 않은 경우 CA 서버 인증서의 전체 체인이 설치되었는지 확인합니다. 인증서가 하위 인증 기관에서 가져온 경우에도 마찬가지입니다.

• 아래 단계에 따라 클라이언트의 신뢰를 확인할 수 있습니다.

  1. 클라이언트 계정으로 무선 클라이언트에서 Windows에 로그인합니다. 시작 > 실행으로 이동하여 mmc를 입력하고 확인을 클릭하여 Microsoft Management Console을 엽니다.

  2. 메뉴 모음에서 콘솔 > 스냅인 추가/제거로 이동한 다음 추가를 클릭합니다.

  3. Certificates(인증서)를 선택하고 Add(추가)를 클릭합니다.

  4. Close(닫기)를 클릭한 다음 OK(확인)를 클릭합니다.

  5. 클라이언트의 프로파일이 CA 서버를 신뢰하는지 확인하려면 Console Root(콘솔 루트) > Certificates(인증서) - Current User(현재 사용자) > Trusted Root Certification Authorities(신뢰할 수 있는 루트 인증 기관) > Certificates(인증서)로 이동합니다. CA 서버에 대한 인증서가 있는지 확인합니다(이 예에서는 Our TAC CA). 인증서를 열고 다음 항목을 확인합니다.

     • 인증서가 의도된 모든 용도로 검증되지 않는다는 것에 대한 경고는 없습니다.

     • 인증서를 신뢰할 수 없다는 경고는 없습니다.

     • 인증서의 용도가 정확합니다.

     • 인증서가 만료되지 않았고 유효화되었습니다(유효한 "시작" 및 "끝" 날짜를 확인하십시오).

     ACS와 클라이언트가 동일한 루트 CA를 사용하지 않은 경우 CA 서버 인증서의 전체 체인이 설치되었는지 확인합니다. 인증서가 하위 인증 기관에서 가져온 경우에도 마찬가지입니다.

• Windows v3.2용 Cisco Secure ACS 구성 섹션에 설명된 대로 ACS 설정을 확인합니다.

• Cisco Access Point 구성 섹션에 설명된 대로 AP 설정을 확인합니다.

• 무선 클라이언트 구성 섹션에 설명된 대로 무선 클라이언트 설정을 확인합니다.

• 사용자 계정이 AAA 서버의 내부 데이터베이스 또는 구성된 외부 데이터베이스 중 하나에 있는지 확인합니다. 계정이 비활성화되지 않았는지 확인합니다.

관련 정보

• Windows용 Cisco Secure ACS 지원 페이지
• 무선 LAN 네트워크용 EAP-TLS 구축 설명서
• Windows용 Cisco Secure ACS의 버전 및 AAA 디버그 정보 가져오기
• Technical Support - Cisco Systems