適用於Windows v3.2的安全ACS搭配EAP-TLS機器驗證

簡介

本檔案介紹如何使用Cisco Secure Access Control System (ACS) for Windows 3.2版設定可擴充驗證通訊協定-傳輸層安全性(EAP-TLS)。

注意：Novell Certificate Authority (CA)不支援電腦身份驗證。ACS可使用EAP-TLS支援對Microsoft Windows Active Directory進行電腦身份驗證。終端使用者客戶端可能會將使用者身份驗證協定限制為與電腦身份驗證協定相同的協定。也就是說，使用EAP-TLS進行機器驗證可能需要使用EAP-TLS進行使用者驗證。有關電腦身份驗證的詳細資訊，請參閱Cisco安全訪問控制伺服器4.1使用手冊中的電腦身份驗證部分。

注意：設定ACS以透過EAP-TLS對電腦進行身份驗證並且已將ACS設定為電腦身份驗證時，必須將客戶端配置為僅執行電腦身份驗證。有關詳細資訊，請參閱如何在Windows Vista、Windows Server 2008和Windows XP Service Pack 3中啟用基於802.1X的網路的電腦專用身份驗證。

必要條件

需求

本文件沒有特定先決條件。

採用元件

本檔案中的資訊是根據以下軟體和硬體版本而定。

• 適用於Windows的Cisco Secure ACS 3.2版

• Microsoft證書服務（作為企業根證書頒發機構[CA]安裝）

  備註：如需詳細資訊，請參閱設定憑證授權單位的分步指南。

• DNS服務(使用Windows 2000 Server，裝有Service Pack 3和修補程式323172)

  注意：如果遇到CA伺服器問題，請安裝修補程式323172 。Windows 2000 SP3客戶端需要修補程式313664 ，才能啟用IEEE 802.1x身份驗證。

• Cisco Aironet 1200系列無線存取點12.01T

• 執行Windows XP Professional （含Service Pack 1）的IBM ThinkPad T30

本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除（預設）的組態來啟動。如果您在即時網路中工作，請確保在使用任何命令之前瞭解其潛在影響。

背景理論

EAP-TLS和受保護的可擴展身份驗證協定(PEAP)均構建並使用TLS/安全套接字層(SSL)隧道。EAP-TLS使用相互驗證，其中ACS （驗證、授權及記帳[AAA]）伺服器與使用者端都有憑證，並相互證明其身分。但是，PEAP僅使用伺服器端身份驗證；只有伺服器具有證書並向客戶端證明其身份。

慣例

如需文件慣例的詳細資訊，請參閱思科技術提示慣例。

網路圖表

本文檔使用下圖所示的網路設定。

配置Cisco Secure ACS for Windows v3.2

按照以下步驟配置ACS 3.2。

1. 獲取ACS伺服器證書。

2. 配置ACS以使用儲存中的證書。

3. 指定ACS應信任的其他證書頒發機構。

4. 重新啟動服務並在ACS上配置PEAP設定。

5. 將存取點指定並配置為AAA客戶端。

6. 配置外部使用者資料庫。

7. 重新啟動服務。

獲取ACS伺服器證書

請依照以下步驟操作，取得憑證。

1. 在ACS伺服器上打開Web瀏覽器，並輸入http://CA-ip-address/certsrv以便訪問CA伺服器。

2. 以系統管理員身分登入網域。

   

3. 選擇Request a certificate，然後按一下Next。

   

4. 選擇高級請求，然後按一下下一步。

   

5. 選擇Submit a certificate request to this CA using a form，然後按一下Next。

   

6. 設定憑證選項：

   1. 選擇Web Server作為證書模板，並輸入ACS伺服器的名稱。

      

   2. 在Key Size欄位中輸入1024，並選中Mark keys as exportable和Use local machine store覈取方塊。

   3. 根據需要配置其他選項，然後按一下Submit。

      

      注意：如果顯示「可能的指令碼衝突」對話方塊，請按一下是以繼續。

      

7. 按一下Install this certificate。

   

   注意：如果顯示「可能的指令碼衝突」對話方塊，請按一下是以繼續。

   

8. 如果安裝成功，則會出現「Certificate Installed（已安裝證書）」消息。

   

配置ACS以使用儲存中的證書

完成以下步驟以將ACS配置為使用儲存中的證書。

1. 打開Web瀏覽器，並輸入http://ACS-ip-address：2002/以便訪問ACS伺服器。

2. 按一下System Configuration，然後按一下ACS Certificate Setup。

3. 按一下Install ACS Certificate。

4. 按一下Use certificate from storage單選按鈕。

5. 在Certificate CN欄位中，輸入您在本文檔獲取ACS伺服器證書部分的步驟5a中指定的證書名稱。

6. 按一下Submit。

   

   配置完成後，將顯示一條確認消息，指示ACS伺服器的配置已更改。

   注意：此時不需要重新啟動ACS。

   

指定ACS應信任的其他證書頒發機構

ACS自動信任頒發自己證書的CA。如果使用者端憑證是由其他的CA所核發，您必須完成以下步驟：

1. 按一下System Configuration，然後按一下ACS Certificate Setup。

2. 按一下ACS Certificate Authority Setup以向受信任的證書清單增加CA。

3. 在CA證書檔案的欄位中，輸入證書的位置，然後按一下Submit。

   

4. 按一下Edit Certificate Trust List。

5. 選中ACS應信任的所有CA，並取消選中ACS不應信任的所有CA。

6. 按一下Submit。

   

重新啟動服務並在ACS上配置EAP-TLS設定

完成以下步驟以重新啟動服務並配置EAP-TLS設定：

1. 按一下System Configuration，然後按一下Service Control。

2. 按一下Restart以重新啟動服務。

3. 要配置EAP-TLS設定，請按一下System Configuration，然後按一下Global Authentication Setup。

4. 選中Allow EAP-TLS，然後選中一個或多個證書比較。

5. 按一下Submit。

   

將存取點指定並配置為AAA客戶端

完成以下步驟，將存取點(AP)設定為AAA使用者端：

1. 按一下Network Configuration。

2. 在AAA Clients下，按一下Add Entry。

   

3. 在AAA Client Hostname欄位中輸入存取點主機名，在AAA Client IP Address欄位中輸入地址。

4. 在Key欄位中輸入ACS和存取點的共用金鑰。

5. 選擇RADIUS (Cisco Aironet)作為身份驗證方法，然後按一下Submit。

   

配置外部使用者資料庫

完成以下步驟以配置外部使用者資料庫。

1. 按一下External User Databases，然後按一下Database Configuration。

2. 按一下Windows Database。

   注意：如果尚未定義Windows資料庫，請按一下Create New Configuration，然後按一下Submit。

3. 按一下Configure。

4. 在Configure Domain List下，將SEC-SYD域從Available Domains移到Domain List。

   

5. 在Windows EAP Settings區域中，按一下Permit EAP-TLS machine authentication覈取方塊以啟用電腦身份驗證。

   注意：請勿更改電腦身份驗證名稱字首。Microsoft當前使用「/host」（預設值）來區分使用者和電腦身份驗證。

6. 或者，您也可以選中EAP-TLS Strip Domain Name覈取方塊以便啟用域剝離。

7. 按一下Submit。

   

8. 按一下External User Databases，然後按一下Unknown User Policy。

9. 按一下Check the following external user databases單選按鈕。

10. 將Windows Database從External Databases清單移至Selected Databases清單。

11. 按一下Submit。

    

重新啟動服務

完成配置ACS後，請完成以下步驟以重新啟動服務：

1. 按一下System Configuration，然後按一下Service Control。

2. 按一下Restart。

配置MS證書電腦自動註冊

完成以下步驟，以配置自動電腦證書註冊的域：

1. 轉至Control Panel > Administrative Tools > Open Active Directory Users and Computers。

2. 按一下右鍵domain sec-syd，並選擇Properties。

3. 按一下Group Policy頁籤。

4. 按一下Default Domain Policy，然後按一下Edit。

5. 轉至Computer Configuration > Windows Settings > Security Settings > Public Key Policies > Automatic Certificate Request Settings。

   

6. 在選單欄上轉至Action > New > Automatic Certificate Request，並按一下Next。

7. 選擇Computer，並按一下Next。

8. 檢查本例中的證書頒發機構「我們的TAC CA」。

9. 按一下Next，然後按一下Finish。

配置思科存取點

要將AP配置為使用ACS作為身份驗證伺服器，請完成以下步驟：

1. 打開Web瀏覽器，並輸入http://AP-ip-address/certsrv以便訪問AP。

2. 在工具欄上，按一下Setup。

3. 在Services下，按一下Security，然後按一下Authentication Server。

   注意：如果您在AP上配置了帳戶，則必須登入。

4. 輸入身份驗證器配置設定：

   • 在802.1x Protocol Version（用於EAP身份驗證）中選擇802.1x-2001。

   • 在Server Name/IP欄位中輸入ACS伺服器的IP地址。

   • 選擇RADIUS作為伺服器型別。

   • 在Port欄位中輸入1645或1812。

   • 輸入您在將存取點指定並配置為AAA客戶端中指定的共用金鑰。

   • 選中EAP Authentication選項以指定伺服器的使用方式。

5. 請在完成後按一下OK。

   

6. 按一下「Radio Data Encryption (WEP)」。

7. 輸入內部資料加密設定。

   • 從Use of Data Encryption by Stations is下拉選單中選擇Full Encryption，以便設定資料加密的級別。

   • 對於Accept Authentication Type，請選中Open覈取方塊以便設定接受的身份驗證型別，並選中Network-EAP以便啟用LEAP。

   • 對於Require EAP，請選中Open覈取方塊以便需要EAP。

   • 在Encription Key欄位中輸入加密金鑰，並從Key Size下拉選單中選擇128 bit。

8. 請在完成後按一下OK。

   

9. 轉至Network > Service Sets > Select the SSID Idx以便確認您使用的是正確的服務集識別符號(SSID)。

10. 按一下「OK」（確定）。

    

配置無線客戶端

要配置ACS 3.2，請完成以下步驟：

1. 加入域。

2. 獲取使用者證書。

3. 配置無線網路。

加入網域

完成以下步驟，將無線客戶端增加到域中。

注意：要完成這些步驟，無線客戶端必須能夠透過有線連線或透過停用802.1x安全性的無線連線連線到CA。

1. 以本機系統管理員身分登入Windows XP。

2. 轉至Control Panel > Performance and Maintenance > System。

3. 按一下Computer Name頁籤，然後按一下Change。

4. 在「電腦名」欄位中輸入主機名。

5. 選擇Domain，然後輸入域名（在本示例中為SEC-SYD）。

6. 按一下「OK」（確定）。

   

7. 出現[Login]通話方塊時，請使用具有加入網域之適當許可權的帳戶登入。

8. 當電腦成功加入網域時，請重新啟動電腦。

   電腦會成為網域的成員。由於配置了電腦自動註冊，因此電腦安裝有CA頒發的證書和電腦身份驗證證書。

取得使用者的憑證

完成以下步驟即可取得使用者的憑證。

1. 以需要憑證的帳戶登入無線使用者端（膝上型電腦）上的Windows XP和網域(SEC-SYD)。

2. 打開Web瀏覽器，並輸入http://CA-ip-address/certsrv以便訪問CA伺服器。

3. 使用同一帳戶登入到CA伺服器。

   注意：憑證儲存在無線使用者端目前的使用者設定檔下；因此，您必須使用相同的帳戶，才能登入Windows和CA。

   

4. 按一下Request a certificate單選按鈕，然後按一下Next。

   

5. 按一下Advanced request單選按鈕，然後按一下Next。

   

6. 按一下Submit a certificate request to this CA using a form單選按鈕，然後按一下Next。

   

7. 從Certificate Template中選擇User，並在Key Size欄位中輸入1024。

8. 根據需要配置其他選項，然後按一下Submit。

   

   注意：如果顯示「可能的指令碼衝突」對話方塊，請按一下是以繼續。

   

9. 按一下Install this certificate。

   

   注意：如果顯示「可能的指令碼衝突」對話方塊，請按一下是以繼續。

   

   注意：如果CA自己的證書尚未儲存在無線客戶端上，則可能會顯示根證書儲存。按一下Yes以便將證書儲存到本地儲存。

   

   如果安裝成功，將顯示確認消息。

   

配置無線網路

完成以下步驟，設定無線網路的選項：

1. 以網域使用者的身份登入網域。

2. 轉至Control Panel > Network and Internet Connections > Network Connections。

3. 按一下右鍵Wireless Connection，並選擇Properties。

4. 按一下Wireless Networks頁籤。

5. 從可用網路清單中選擇無線網路（使用AP的SSID名稱顯示），然後按一下Configure。

   

6. 在Authentication頁籤上，請選中Enable IEEE 802.1x authentication for this network覈取方塊。

7. 從EAP型別下拉選單中選擇Smart Card or other Certificate，然後按一下Properties。

   註：要啟用電腦身份驗證，請選中Authenticate as computer when computer information is available覈取方塊。

   

8. 按一下Use a certificate on this computer單選按鈕，然後選中Use simple certificate selection覈取方塊。

9. 選中Validate server certificate覈取方塊，然後按一下OK。

   注意：當客戶端加入域時，CA的證書將自動安裝為受信任的根證書頒發機構。使用者端會自動隱含信任簽署使用者端憑證的CA。可以透過在受信任的根證書頒發機構清單中檢查其他CA來信任它們。

   

10. 在網路屬性窗口的Association頁籤上，選中Data encryption (WEP enabled)和The key is provided for me automatically覈取方塊。

11. 按一下OK，然後再次按一下OK以關閉網路配置窗口。

    

驗證

本節提供的資訊可用於確認組態是否正常運作。

• 若要驗證無線使用者端是否已透過驗證，請完成以下步驟：

  1. 在無線客戶端上，轉至Control Panel > Network and Internet Connections > Network Connections。

  2. 在選單欄上轉至View > Tiles。

  無線連線應顯示「身份驗證成功」消息。

• 要驗證無線客戶端是否已透過驗證，請在ACS Web介面上轉至Reports and Activity > Passed Authentications > Passed Authentications active.csv。

疑難排解

本節提供的資訊可用於對組態進行疑難排解。

• 驗證MS證書服務是否已作為企業根CA安裝在裝有Service Pack 3的Windows 2000 Advanced Server上。

• 驗證您使用的是Cisco Secure ACS for Windows 3.2版本以及Windows 2000和Service Pack 3。

• 如果無線客戶端上的電腦身份驗證失敗，則無線連線上將沒有網路連線。只有在無線使用者端上快取其設定檔的帳號才能登入網域。電腦必須插入有線網路，或設定為沒有802.1x保全性的無線連線。

• 如果CA加入域時自動註冊失敗，請檢查事件檢視器以瞭解可能的原因。

• 如果無線使用者端的使用者設定檔沒有有效的憑證，如果密碼正確，您仍然可以登入電腦和網域，但請注意，無線連線將無法連線。

• 如果無線客戶端上的ACS證書無效（這取決於證書的有效「起始」和「終止」日期、客戶端的日期和時間設定以及CA信任），則客戶端將拒絕該證書，並且身份驗證將失敗。ACS將在Web介面中的Reports and Activity > Failed Attempts > Failed Attempts XXX.csv下記錄失敗的身份驗證，其中含有與「EAP-TLS or PEAP authentication failed during SSL handshake.」類似的身份驗證失敗代碼。 CSAuth.log檔案中預期的錯誤消息類似於以下消息：

  AUTH 06/04/2003 14:56:41 E 0345 1644 EAP: buildEAPRequestMsg: 
  other side probably didn't accept our certificate

• 如果ACS上的客戶端證書無效（這取決於證書的有效「起始」和「終止」日期、伺服器的日期和時間設定以及CA信任），則伺服器將拒絕該證書，並且身份驗證將失敗。ACS將在Web介面中的Reports and Activity > Failed Attempts > Failed Attempts XXX.csv下記錄失敗的身份驗證，其中含有與「EAP-TLS or PEAP authentication failed during SSL handshake.」類似的身份驗證失敗代碼。 如果ACS因ACS不信任CA而拒絕客戶端的證書，則CSAuth.log檔案中的預期錯誤消息與以下消息類似：

  AUTH 06/04/2003 15:47:43 E 0345 1696 EAP: ProcessResponse:
  SSL handshake failed, status = 3 (SSL alert fatal:unknown CA certificate)

  如果ACS因證書過期而拒絕客戶端的證書，則CSAuth.log檔案中的預期錯誤消息與以下消息類似：

  AUTH 06/04/2005 15:02:08 E 0345 1692 EAP: ProcessResponse:
  SSL handshake failed, status = 3 (SSL alert fatal:certificate expired)

• 在ACS Web介面上日誌中的Reports and Activity > Passed Authentications > Passed Authentications XXX.csv和Reports and Activity > Failed Attempts > Failed Attempts XXX.csv下都以<user-id>@<domain>格式顯示EAP-TLS身份驗證。PEAP身份驗證以<DOMAIN>\<user-id>格式顯示。

• 您可以按照以下步驟驗證ACS伺服器的證書和信任。

  1. 使用具有管理員許可權的帳戶登入到ACS伺服器上的Windows。

  2. 轉至「開始」>「運行」，鍵入mmc，然後按一下確定以打開Microsoft管理控制檯。

  3. 在選單欄上，轉至「控制檯」>「增加/刪除管理單元」，然後按一下增加。

  4. 選擇「證書」，然後按一下增加。

  5. 選擇電腦帳戶，按一下下一步，然後選擇本地電腦（運行此控制檯的電腦）。

  6. 依次按一下「完成」、 「關閉」和「確定」。

  7. 要驗證ACS伺服器是否具有有效的伺服器端證書，請轉至Console Root > Certificates (Local Computer) > Personal > Certificates，並驗證ACS伺服器（在本示例中名為OurACS）是否具有相應證書。

  8. 開啟憑證，然後確認以下專案：

     • 沒有警告說明未驗證證書的所有預期目的。

     • 沒有關於憑證不受信任的警告。

     • 此證書用於-確保遠端電腦的身份。

     • 證書尚未過期且已生效（請檢查有效的「起始」和「終止」日期）。

     • 「您有與此證書對應的私鑰。」

  9. 在Details頁籤上，驗證Version欄位的值V3，以及Enhanced Key Usage欄位是否具有Server Authentication (1.3.6.1.5.5.7.3.1)。

  10. 要驗證ACS伺服器是否信任CA伺服器，請轉至Console Root > Certificates (Local Computer) > Trusted Root Certification Authorities > Certificates，並驗證ACS伺服器（在本示例中名為Our TAC CA）是否具有相應證書。

  11. 開啟憑證，然後確認以下專案：

      • 沒有警告說明未驗證證書的所有預期目的。

      • 沒有關於憑證不受信任的警告。

      • 證書的目標用途正確。

      • 證書尚未過期且已生效（請檢查有效的「起始」和「終止」日期）。

      如果ACS和客戶端未使用相同的根CA，則驗證是否已安裝整個CA伺服器證書鏈。如果憑證是從子憑證授權單位取得，也會發生同樣的情況。

• 您可以按照以下步驟驗證無線客戶端的電腦證書和信任。

  1. 使用具有管理員許可權的帳戶登入到ACS伺服器上的Windows。打開Microsoft管理控制檯，方法是：轉至「開始」>「運行」，鍵入mmc，然後按一下確定。

  2. 在選單欄上，轉至「控制檯」>「增加/刪除管理單元」，然後按一下增加。

  3. 選擇證書並按一下增加。

  4. 選擇電腦帳戶，按一下下一步，然後選擇本地電腦（運行此控制檯的電腦）。

  5. 依次按一下「完成」、 「關閉」和「確定」。

  6. 驗證電腦是否具有有效的客戶端證書。如果證書無效，電腦身份驗證將失敗。要驗證證書，請轉至Console Root > Certificates (Local Computer) > Personal > Certificates。驗證電腦是否有證書；名稱將採用<主機名>.<域>格式。打開證書並驗證以下專案。

     • 沒有警告說明未驗證證書的所有預期目的。

     • 沒有關於憑證不受信任的警告。

     • 此證書用於-向遠端電腦證明您的身份。

     • 證書尚未過期且已生效（請檢查有效的「起始」和「終止」日期）。

     • 「您有與此證書對應的私鑰。」

• 在Details頁籤上，驗證Version欄位的值為V3，而Enhanced Key Usage欄位至少包含Client Authentication的值(1.3.6.1.5.5.7.3.2)；可能會列出其他用途。確保Subject欄位包含值CN = <host-name>.<domain>；可能會列出其他值。確認主機名稱和網域符合憑證中指定的專案。

• 要確認客戶端的配置檔案信任CA伺服器，請轉到Console Root > Certificates (Current User) > Trusted Root Certification Authorities > Certificates。驗證CA伺服器（在本範例中命名為Our TAC CA）是否有憑證。打開證書並驗證以下專案。

  • 沒有警告說明未驗證證書的所有預期目的。

  • 沒有關於憑證不受信任的警告。

  • 證書的目標用途正確。

  • 證書尚未過期且已生效（請檢查有效的「起始」和「終止」日期）。

  如果ACS和客戶端未使用相同的根CA，則驗證是否已安裝整個CA伺服器證書鏈。如果憑證是從子憑證授權單位取得，也會發生同樣的情況。

• 按照配置Cisco Secure ACS for Windows v3.2中的說明驗證ACS設定。

• 按照配置MS證書服務中的說明驗證CA設定。

• 按照配置Cisco存取點中的說明驗證AP設定。

• 按照配置無線客戶端中的說明驗證無線客戶端設定。

• 驗證使用者帳戶存在於AAA伺服器的內部資料庫或其中一個配置的外部資料庫中，並確保該帳戶未被停用。

• 基於安全雜湊演算法2 (SHA-2)的CA頒發的證書與Cisco Secure ACS不相容，因為它們是使用目前不支援SHA-2的Java開發的。要解決此問題，請重新安裝CA並將其配置為使用SHA-1頒發證書。

相關資訊

• Cisco Secure ACS for Windows支援頁
• 無線LAN網路的EAP-TLS部署指南
• 獲取Cisco Secure ACS for Windows的版本和AAA調試資訊
• 技術支援 - Cisco Systems