Cisco Secure ACS voor Windows v3.2 met PEAP-MS-CHAPv2-systeemverificatie configureren

Inleiding

Dit document toont aan hoe u het Protected Extensible Authentication Protocol (PEAP) kunt configureren met Cisco Secure ACS voor Windows versie 3.2.

Raadpleeg PEAP onder Unified Wireless Networks met ACS 4.0 en Windows 2003 voor meer informatie over het configureren van beveiligde draadloze toegang met draadloze LAN-controllers, Microsoft Windows 2003-software en Cisco Secure Access Control Server (ACS) 4.0.

Voorwaarden

Vereisten

Er zijn geen specifieke voorwaarden van toepassing op dit document.

Gebruikte componenten

De informatie in dit document is gebaseerd op de onderstaande software- en hardware-versies.

• Cisco Secure ACS voor Windows versie 3.2

• Microsoft Certificate Services (geïnstalleerd als basiscertificeringsinstantie voor ondernemingen [CA])

  Opmerking: Raadpleeg voor meer informatie de stapsgewijze handleiding voor het instellen van een certificeringsinstantie.

• DNS-service met Windows 2000-server met servicepack 3

  Opmerking: Als u problemen met CA Server ondervindt, installeer hotfix 323172. De Windows 2000 SP3-client vereist hotfix 313664 om IEEE 802.1x-verificatie mogelijk te maken.

• Cisco Aironet 1200 Series draadloos access point 12.01T

• IBM ThinkPad T30 met Windows XP Professional en Service Pack 1

De informatie in dit document is gebaseerd op apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als u in een live netwerk werkt, zorg er dan voor dat u de potentiële impact van iedere opdracht begrijpt voor u deze gebruikt.

Achtergrondinformatie

Zowel PEAP als EAP-TLS bouwen en gebruiken een TLS/Secure Socket Layer (SSL)-tunnel. PEAP gebruikt alleen authenticatie op de server; alleen de server heeft een certificaat en bewijst zijn identiteit aan de client. EAP-TLS maakt echter gebruik van wederzijdse authenticatie waarbij zowel de ACS-server (authenticatie, autorisatie en accounting [AAA]) als de clients certificaten hebben en hun identiteit bewijzen aan elkaar.

PEAP is handig omdat clients geen certificaten nodig hebben. EAP-TLS is nuttig voor het verifiëren van head-less apparaten, omdat certificaten geen gebruikersinteractie vereisen.

Conventies

Raadpleeg Cisco Technical Tips Conventions (Conventies voor technische tips van Cisco) voor meer informatie over documentconventies.

Netwerkdiagram

In dit document wordt de netwerkconfiguratie in het onderstaande diagram gebruikt.

Cisco Secure ACS-software voor Windows versie 3.2 configureren

Volg deze stappen om ACS 3.2 te configureren.

1. Vraag een certificaat aan voor de ACS-server.

2. ACS configureren om een opslagcertificaat te gebruiken.

3. Specificeer extra certificeringsinstanties waarop de ACS moet vertrouwen.

4. Start de service opnieuw en configureer PEAP-instellingen op de ACS.

5. Specificeer en configureer het toegangspunt als AAA-client.

6. Configureer de externe gebruikersdatabases.

7. Start de service opnieuw.

Een certificaat verkrijgen voor de ACS-server

Volg deze stappen om een certificaat te verkrijgen.

1. Open op de ACS-server een webbrowser en blader naar de CA-server door http://CA-ip-adres/certsrv in te voeren in de adresbalk. Log in op het domein als beheerder.

   

2. Selecteer Een certificaat aanvragen en klik op Volgende.

   

3. Selecteer Geavanceerd verzoek en klik op Volgende.

   

4. Selecteer Een certificaataanvraag indienen bij deze certificeringsinstantie met behulp van een formulier en klik vervolgens op Volgende.

   

5. Configureer de certificaatopties.

   1. Selecteer Web Server als de certificaatsjabloon. Voer de naam in van de ACS-server.

      

   2. Stel de sleutelgrootte in op 1024. Selecteer de opties voor de toetsen als exporteerbaar markeren en gebruik lokale machineopslag. Configureer indien nodig andere opties en klik vervolgens op Indienen.

      

      Opmerking: Als u een waarschuwingsvenster ziet met betrekking tot een overschrijding van de scripting (afhankelijk van de beveiligings-/privacy-instellingen van uw browser), klikt u op Ja om door te gaan.

      

6. Klik op Dit certificaat installeren.

   

   Opmerking: Als u een waarschuwingsvenster ziet met betrekking tot een overschrijding van de scripting (afhankelijk van de beveiligings-/privacy-instellingen van uw browser), klikt u op Ja om door te gaan.

   

7. Als de installatie is geslaagd, wordt een bevestigingsbericht weergegeven.

   

ACS configureren voor gebruik van een certificaat uit opslag

Volg deze stappen om ACS te configureren om het certificaat in de opslag te gebruiken.

1. Open een webbrowser en blader naar de ACS-server door http://ACS-ip-adres:2002/in de adresbalk in te voeren. Klik op Systeemconfiguratie en klik vervolgens op ACS-certificaatinstelling.

2. Klik op ACS-certificaat installeren.

3. Selecteer Certificaat gebruiken uit opslag. Voer in het veld Certificaat CN de naam in van het certificaat dat u hebt toegewezen in stap 5a van de sectie Certificaat verkrijgen voor de ACS-server. Klik op Verzenden.

   Dit item moet overeenkomen met de naam die u in het veld Naam hebt getypt tijdens de geavanceerde certificaataanvraag. Het is de GN-naam in het onderwerpveld van het servercertificaat; u kunt het servercertificaat bewerken om deze naam te controleren. In dit voorbeeld is de naam "OurACS". Vermeld geen GN-naam van de uitgevende instelling.

   

4. Wanneer de configuratie is voltooid, ziet u een bevestigingsbericht dat aangeeft dat de configuratie van de ACS-server is gewijzigd.

   Opmerking: U hoeft ACS op dit moment niet opnieuw te starten.

   

Vermeld de aanvullende certificeringsinstanties die het ACS moet vertrouwen.

De ACS vertrouwt automatisch op de CA die haar eigen certificaat heeft afgegeven. Als de clientcertificaten worden afgegeven door extra CA's, moet u de volgende stappen uitvoeren.

1. Klik op Systeemconfiguratie en klik vervolgens op ACS-certificaatinstelling.

2. Klik op ACS-certificeringsinstantie instellen om CA's toe te voegen aan de lijst met vertrouwde certificaten. Voer in het veld voor het CA-certificaatbestand de locatie van het certificaat in en klik vervolgens op Indienen.

   

3. Klik op Vertrouwenlijst certificaat bewerken. Controleer alle CA's die ACS zou moeten vertrouwen, en uncheck alle CA's die ACS niet zou moeten vertrouwen. Klik op Verzenden.

   

Start de service opnieuw en configureer PEAP-instellingen op de ACS

Volg deze stappen om de service opnieuw te starten en PEAP-instellingen te configureren.

1. Klik op Systeemconfiguratie en klik vervolgens op Servicebeheer.

2. Klik op Opnieuw starten om de service opnieuw te starten.

3. Om de PEAP-instellingen te configureren klikt u op Systeemconfiguratie en vervolgens klikt u op Globale verificatie-instellingen.

4. Controleer de twee onderstaande instellingen en laat alle andere instellingen als standaard staan. Als u dit wilt, kunt u aanvullende instellingen opgeven, zoals Snel opnieuw verbinden inschakelen. Klik op Indienen als u klaar bent.

   • Toestaan EAP-MSCHAPv2

   • MDS-CHAP versie 2 verificatie toestaan

   Opmerking: raadpleeg voor meer informatie over Fast Connect de sectie "Verificatieopties" in Systeemconfiguratie: verificatie en certificaten.

   

Het access point specificeren en configureren als een AAA-client

Volg deze stappen om het toegangspunt (AP) te configureren als een AAA-client.

1. Klik op Netwerkconfiguratie. Klik onder AAA-clients op Add Entry.

   

2. Voer de hostnaam van het toegangspunt in het veld AAA Client Hostname en het IP-adres van het toegangspunt in het veld AAA Client IP Address. Voer in het veld Sleutel een gedeelde geheime sleutel in voor de ACS en de AP. Selecteer RADIUS (Cisco Aironet) als de verificatiemethode. Klik op Indienen als u klaar bent.

   

De externe gebruikersdatabases configureren

Volg deze stappen om de externe gebruikersdatabases te configureren.

Opmerking: alleen ACS 3.2 ondersteunt PEAP-MS-CHAPv2 met machine-verificatie naar een Windows database.

1. Klik op Externe gebruikersdatabases en klik vervolgens op Databaseconfiguratie. Klik op Windows Database.

   Opmerking: als er nog geen Windows-database is gedefinieerd, klikt u op Nieuwe configuratie maken en vervolgens klikt u op Indienen.

2. Klik op Configureren. Verplaats onder Domain List configureren het domein SEC-SYD van Available Domains naar Domain List.

   

3. Om de verificatie van de machine in te schakelen, controleert u onder Windows EAP-instellingen de optie PEAP-verificatie van de machine toestaan. Wijzig de naam van de machine niet. Microsoft maakt momenteel gebruik van "/host" (de standaardwaarde) om onderscheid te maken tussen gebruikers- en machine-verificatie. Indien u dit wenst, controleer dan de optie Wachtwoord toestaan binnen PEAP. Klik op Indienen als u klaar bent.

   

4. Klik op Externe gebruikersdatabases en klik vervolgens op Onbekend gebruikersbeleid. Selecteer de optie voor Controleer de volgende externe gebruikersdatabases, en gebruik vervolgens de pijltjesknop ( -> ) om Windows-database van externe databases naar geselecteerde databases te verplaatsen. Klik op Indienen als u klaar bent.

   

De service opnieuw starten

Wanneer u klaar bent met het configureren van de ACS, volg deze stappen om de service opnieuw te starten.

1. Klik op Systeemconfiguratie en klik vervolgens op Servicebeheer.

2. Klik op Opnieuw starten.

Het Cisco Access point configureren

Volg deze stappen om het toegangspunt te configureren voor gebruik van de ACS als verificatieserver.

1. Open een webbrowser en blader naar het toegangspunt door http://AP-ip-adres/certsrv in te voeren in de adresbalk. Klik in de werkbalk op Instellen.

2. Klik onder Services op Security.

3. Klik op Verificatieserver.

   Opmerking: als u accounts hebt geconfigureerd op het toegangspunt, moet u inloggen.

4. Voer de instellingen voor de verificatie in.

   • Selecteer 802.1x-2001 voor de 802.1x-protocolversie (voor EAP-verificatie).

   • Voer in het veld Servernaam/IP het IP-adres van de ACS-server in.

   • Selecteer RADIUS als servertype.

   • Voer in het veld Poorten 1645 of 1812 in.

   • Voer de gedeelde geheime sleutel in die u in stap 2 van Geeft het toegangspunt op en configureer het als een AAA-client.

   • Controleer de optie voor EAP-verificatie om aan te geven hoe de server moet worden gebruikt.

   Klik op OK als u klaar bent.

   

5. Klik op Radio Data Encryption (WEP).

6. Voer de interne instellingen voor gegevenscodering in.

   • Selecteer Volledige versleuteling om het niveau van gegevensversleuteling in te stellen.

   • Voer een coderingssleutel in en stel de grootte van de sleutel in op 128 bit om als een broadcast-sleutel te gebruiken.

   Klik op OK als u klaar bent.

   

7. Bevestig dat u de juiste Service Set Identifier (SSID) gebruikt door naar Netwerk > Servicesets > De SSID-index selecteren te gaan en klik op OK wanneer u klaar bent.

   Het voorbeeld hieronder toont de standaard SSID "tsunami."

   

De draadloze client configureren

Volg deze stappen om ACS 3.2 te configureren.

1. Configureren MS certificaat machine auterollment.

2. Doe mee aan het domein.

3. Installeer het basiscertificaat handmatig op de Windows-client.

4. Configureer de draadloze netwerken.

MS-certificaatmachine opnieuw instellen

Volg deze stappen om het domein te configureren voor automatische machinecertificering inschrijving op domeincontroller Kant.

1. Ga naar Configuratiescherm > Beheertools > Open Active Directory-gebruikers en computers.

2. Klik met de rechtermuisknop op domein sec-syd en selecteer Eigenschappen in het submenu.

3. Selecteer het tabblad Groepsbeleid. Klik op Default Domain Policy en klik vervolgens op Edit.

4. Ga naar Computer Configuration > Windows-instellingen > Beveiligingsinstellingen > Public Key Policies > Automatische instellingen voor certificaataanvragen.

   

5. Ga in de menubalk naar Actie > Nieuw > Automatisch certificaataanvraag en klik op Volgende.

6. Selecteer Computer en klik op Volgende.

7. Controleer CA.

   In dit voorbeeld wordt de TAC CA "Ons TAC CA" genoemd.

8. Klik op Volgende en vervolgens op Voltooien.

Lid worden van het domein

Volg deze stappen om de draadloze client aan het domein toe te voegen.

Opmerking: om deze stappen te kunnen uitvoeren, moet de draadloze client verbinding hebben met de CA, via een bekabelde verbinding of via de draadloze verbinding met de 802.1x-beveiliging uitgeschakeld.

1. Log in op Windows XP als lokale beheerder.

2. Ga naar Configuratiescherm > Prestaties en onderhoud > Systeem.

3. Selecteer het tabblad Computer Name en klik vervolgens op Wijzigen. Voer in het veld voor de computernaam de hostnaam in. Selecteer Domein en voer vervolgens de naam van het domein in (SEC-SYD in dit voorbeeld). Klik op OK.

   

4. Wanneer een inlogdialoog wordt weergegeven, sluit u zich aan bij het domein door in te loggen met een account dat toestemming heeft om zich aan te sluiten bij het domein.

5. Start de computer opnieuw op nadat de computer zich met succes bij het domein heeft aangesloten. De machine zal lid zijn van het domein; aangezien wij machine auteinrollment hebben opgezet, zal de machine een certificaat voor geïnstalleerd CA evenals een certificaat voor machine authentificatie hebben.

Installeer het basiscertificaat handmatig op de Windows-client

Volg deze stappen om het basiscertificaat handmatig te installeren.

Opmerking: als u automatische inschrijving voor de machine al hebt ingesteld, hoeft u deze stap niet uit te voeren. Sla dit over om de draadloze netwerken te configureren.

1. Open op de Windows-clientmachine een webbrowser en blader naar de Microsoft CA-server door http://root-CA-ip-adres/certsrv in de adresbalk in te voeren. Meld u aan bij de CA-site.

   In dit voorbeeld is het IP-adres van CA 10.66.79.241.

   

2. Selecteer Retriveer het CA-certificaat of de lijst met certificeringsintrekking en klik op Volgende.

   

3. Klik op CA-certificaat downloaden om het certificaat op te slaan op de lokale machine.

   

4. Open het certificaat en klik op Certificaat installeren.

   Opmerking: in het voorbeeld hieronder geeft het pictogram linksboven aan dat het certificaat nog niet wordt vertrouwd (geïnstalleerd).

   

5. Installeer het certificaat in de huidige gebruikers/vertrouwde basiscertificeringsinstanties.

   1. Klik op Next (Volgende).

   2. Selecteer Automatisch het certificaatarchief op basis van het type certificaat en klik op Volgende.

   3. Klik op Voltooien om het basiscertificaat automatisch onder Huidige Gebruiker/Trusted Root Certificate Authorities te plaatsen.

De draadloze netwerken configureren

Volg deze stappen om de opties voor draadloze netwerken in te stellen.

1. Meld u aan bij het domein als een domeingebruiker.

2. Ga naar Configuratiescherm > Netwerk- en internetverbindingen > Netwerkverbindingen. Klik met de rechtermuisknop op Draadloze verbinding en selecteer Eigenschappen in het submenu dat wordt weergegeven.

3. Selecteer het tabblad Draadloze netwerken. Selecteer het draadloze netwerk (weergegeven met behulp van de SSID-naam van het toegangspunt) in de lijst met beschikbare netwerken en klik vervolgens op Configureren.

   

4. Controleer op het tabblad Verificatie van het venster met netwerkeigenschappen de optie IEEE 802.1x-verificatie voor dit netwerk inschakelen. Selecteer voor het EAP-type de optie Protected EAP (PEAP) voor het EAP-type en klik vervolgens op Eigenschappen.

   Opmerking: controleer de optie Verifiëren als computer wanneer computerinformatie beschikbaar is om verificatie van de machine in te schakelen.

   

5. Controleer het servercertificaat valideren en controleer vervolgens de root-CA voor de onderneming die door PEAP-clients en ACS-apparaten wordt gebruikt. Selecteer Beveiligd wachtwoord (EAP-MSCHAP v2) voor de verificatiemethode en klik vervolgens op Configureren.

   In dit voorbeeld, wordt de wortel CA genoemd "Onze TAC CA."

   

6. Als u eenmalige aanmelding wilt inschakelen, controleert u de optie Automatisch mijn Windows-aanmeldingsnaam en -wachtwoord (en eventuele domeinnamen) gebruiken. Klik op OK om deze instelling te aanvaarden en klik vervolgens nogmaals op OK om terug te keren naar het venster met netwerkeigenschappen.

   Bij eenmalige aanmelding voor PEAP gebruikt de client de Windows-aanmeldingsnaam voor de PEAP-verificatie, zodat de gebruiker het wachtwoord niet nogmaals hoeft in te voeren.

   

7. Controleer op het tabblad Koppeling van het venster met netwerkeigenschappen de opties voor Gegevenscodering (WEP ingeschakeld) en de sleutel wordt automatisch voor mij geleverd. Klik op OK en klik vervolgens nogmaals op OK om het venster voor de netwerkconfiguratie te sluiten.

   

Verifiëren

Deze sectie bevat informatie die u kunt gebruiken om te controleren of uw configuratie correct werkt.

• Als u wilt controleren of de draadloze client is geverifieerd, gaat u op de draadloze client naar Configuratiescherm > Netwerk- en internetverbindingen > Netwerkverbindingen. Ga in de menubalk naar Beeld > Tegels. De draadloze verbinding moet het bericht "Verificatie geslaagd" weergeven.

• Om te verifiëren dat draadloze clients zijn geauthenticeerd, gaat u op de ACS-webinterface naar Reports and Activity > Passed Authentications > Passed Authentications active.csv.

Problemen oplossen

Deze sectie bevat informatie waarmee u problemen met de configuratie kunt oplossen.

• Controleer of MS Certificate Services is geïnstalleerd als een Enterprise root CA op een Windows 2000 Advanced Server met Service Pack 3. Hotfixes 323172 en 313664 moeten worden geïnstalleerd nadat MS Certificate Services zijn geïnstalleerd. Als MS Certificate Services opnieuw wordt geïnstalleerd, moet ook hotfix 323172 opnieuw worden geïnstalleerd.

• Controleer of u Cisco Secure ACS voor Windows versie 3.2 met Windows 2000 en Service Pack 3 gebruikt. Zorg ervoor dat er hotfixes 323172 en 313664 zijn geïnstalleerd.

• Als de verificatie van de machine op de draadloze client mislukt, is er geen netwerkverbinding met de draadloze verbinding. Alleen accounts die hun profielen hebben gecachet op de draadloze client, kunnen inloggen op het domein. De machine moet worden aangesloten op een bekabeld netwerk of worden ingesteld voor draadloze verbinding zonder 802.1x-beveiliging.

• Als automatische inschrijving bij de CA mislukt bij het aanmelden bij het domein, controleer Event Viewer om mogelijke redenen. Controleer de DNS-instellingen op de laptop.

• Als het ACS-certificaat wordt afgewezen door de client (dat afhangt van de geldige 'van'- en 'tot'-datums van het certificaat, de datum- en tijdinstellingen van de client en CA-vertrouwen), dan zal de client het weigeren en zal de verificatie mislukken. ACS logt de mislukte verificatie in in de webinterface onder Rapporten en activiteit > mislukte pogingen > mislukte pogingen XXX.csv in met de verificatiefout-code die vergelijkbaar is met "EAP-TLS- of PEAP-verificatie mislukt tijdens SSL-handdruk." De verwachte foutmelding in het bestand CSAuth.log is gelijk aan de volgende.

  AUTH 06/04/2003 14:56:41 E 0345 1644 EAP: buildEAPRequestMsg: 
  other side probably didn't accept our certificate

• In de logboeken op de ACS-webinterface, onder zowel Rapporten als Activiteit > Doorgegeven verificaties > Doorgegeven verificaties XXX.csv en Rapporten en activiteit > Gefaalde pogingen > Gefaalde pogingen XXX.csv, worden PEAP-verificaties weergegeven in de indeling <DOMEIN>\<gebruiker-id>. De EAP-TLS-verificaties worden weergegeven in de indeling <gebruiker-id>@<domein>.

• Om PEAP Fast Reconconnect te gebruiken, moet u deze optie inschakelen op zowel de ACS-server als de client.

• Als PEAP-wachtwoordwijziging is ingeschakeld, kunt u het wachtwoord alleen wijzigen als het wachtwoord van een account is verouderd of als het wachtwoord van de account bij de volgende aanmelding is gewijzigd.

• U kunt het certificaat en vertrouwen van de ACS-server verifiëren door de onderstaande stappen te volgen.

  1. Meld u aan bij Windows op de ACS-server met een account met beheerdersrechten. Open Microsoft Management Console door te gaan naar Start > Uitvoeren, mmc te typen en op OK te klikken.

  2. Ga in de menubalk naar Console > Add/Remove Snap-in en klik vervolgens op Add.

  3. Selecteer Certificaten en klik op Toevoegen.

  4. Selecteer Computer-account, klik op Volgende en selecteer vervolgens Local computer (de computer waarop deze console draait).

  5. Klik op Voltooien, klik op Sluiten en klik vervolgens op OK.

  6. Om te verifiëren dat de ACS-server een geldig certificaat aan de serverzijde heeft, gaat u naar Console Root > Certificates (Local Computer) > ACSCertStore > Certificates. Controleer of er een certificaat is voor de ACS-server (in dit voorbeeld OurACS genoemd). Open het certificaat en controleer de volgende items.

     • Er wordt niet gewaarschuwd dat het certificaat niet voor alle beoogde doeleinden wordt geverifieerd.

     • Er is geen waarschuwing dat het certificaat niet wordt vertrouwd.

     • "Dit certificaat is bedoeld voor - Garandeert de identiteit van een computer op afstand."

     • Het certificaat is niet verlopen en is geldig geworden (controleer of de datums "van" en "tot" geldig zijn).

     • "U heeft een privé-sleutel die overeenkomt met dit certificaat."

  7. Controleer op het tabblad Details of het veld Versie de waarde V3 heeft en of in het veld Uitgebreid sleutelgebruik de serververificatie is ingevoerd (1.3.6.1.5.5.7.3.1).

  8. Om te verifiëren dat de ACS-server de CA-server vertrouwt, gaat u naar Console Root > Certificates (Local Computer) > Trusted Root Certification Authorities > Certificates. Controleer of er een certificaat is voor de CA-server (in dit voorbeeld Onze TAC CA genoemd). Open het certificaat en controleer de volgende items.

     • Er wordt niet gewaarschuwd dat het certificaat niet voor alle beoogde doeleinden wordt geverifieerd.

     • Er is geen waarschuwing dat het certificaat niet wordt vertrouwd.

     • Het beoogde doel van het certificaat is juist.

     • Het certificaat is niet verlopen en is geldig geworden (controleer of de datums "van" en "tot" geldig zijn).

     Als ACS en client niet dezelfde root-CA hebben gebruikt, moet u controleren of de gehele keten van CA-servercertificaten is geïnstalleerd. Hetzelfde geldt indien het certificaat is verkregen van een autoriteit die het subcertificaat afgeeft.

• U kunt het vertrouwen van de klant controleren door de onderstaande stappen te volgen.

  1. Log in op Windows op de draadloze client met de account van de client. Open Microsoft Management Console door te gaan naar Start > Uitvoeren, mmc te typen en op OK te klikken.

  2. Ga in de menubalk naar Console > Add/Remove Snap-in en klik vervolgens op Add.

  3. Selecteer Certificaten en klik op Toevoegen.

  4. Klik op Sluiten en vervolgens op OK.

  5. Ga naar Console Root > Certificates - Huidige Gebruiker > Trusted Root Certification Authorities > Certificates om te verifiëren dat het profiel van de client vertrouwt op de CA-server. Controleer of er een certificaat is voor de CA-server (in dit voorbeeld Onze TAC CA genoemd). Open het certificaat en controleer de volgende items.

     • Er wordt niet gewaarschuwd dat het certificaat niet voor alle beoogde doeleinden wordt geverifieerd.

     • Er is geen waarschuwing dat het certificaat niet wordt vertrouwd.

     • Het beoogde doel van het certificaat is juist.

     • Het certificaat is niet verlopen en is geldig geworden (controleer of de datums "van" en "tot" geldig zijn).

     Als ACS en client niet dezelfde root-CA hebben gebruikt, moet u controleren of de gehele keten van CA-servercertificaten is geïnstalleerd. Hetzelfde geldt indien het certificaat is verkregen van een autoriteit die het subcertificaat afgeeft.

• Controleer de ACS-instellingen zoals beschreven in de sectie over Cisco Secure ACS for Windows v3.2 configureren.

• Controleer de AP-instellingen zoals beschreven in het gedeelte Cisco Access Point configureren.

• Controleer de instellingen van de draadloze client zoals beschreven in het gedeelte Draadloze client configureren.

• Controleer of de gebruikersaccount bestaat in de interne database van de AAA-server of in een van de geconfigureerde externe databases. Controleer of de account niet is uitgeschakeld.

Gerelateerde informatie

• Cisco Secure ACS voor Windows-ondersteuningspagina
• EAP-TLS-implementatiegids voor draadloze LAN-netwerken
• Versie- en AAA-debuginformatie verkrijgen voor Cisco Secure ACS voor Windows
• Technische ondersteuning – Cisco Systems