瞭解和配置WLC和ISE的EAP-TLS
簡介
本文說明如何使用802.1X和可擴展身份驗證協定EAP-TLS設定無線區域網(WLAN)。
必要條件
需求
思科建議您瞭解以下主題:
- 802.1X身份驗證過程
- 憑證
採用元件
本文中的資訊係根據以下軟體和硬體版本:
- WLC 3504 8.10 版
- 身分識別服務引擎 (ISE) 2.7 版
本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除(預設)的組態來啟動。如果您的網路運作中,請確保您瞭解任何指令可能造成的影響。
背景資訊
EAP-TLS 流程
EAP-TLS 流程中的步驟
- 無線用戶端與存取點 (AP) 建立關聯。AP不允許客戶端此時傳送任何資料並傳送身份驗證請求。請求方隨後使用EAP-Response Identity進行響應。WLC 接著會將使用者 ID 資訊傳播至驗證伺服器。RADIUS 伺服器會以 EAP-TLS 起始封包回應用戶端。EAP-TLS 對話會在此時開始。
- 對等體將EAP-Response傳送回包含為NULL設定的client_hello握手消息的身份驗證伺服器
- 驗證伺服器會以 Access-challenge 封包回應,其中包含:
TLS server_hello handshake message certificate server_key_exchange certificate request server_hello_done.
4.客戶端使用EAP-Response消息進行響應,該消息包含:
Certificate ¬ Server can validate to verify that it is trusted. client_key_exchange certificate_verify ¬ Verifies the server is trusted change_cipher_spec TLS finished
5.客戶端成功進行身份驗證後,RADIUS伺服器會使用訪問質詢進行響應,其中包含change_cipher_spec和握手完成消息。
6.收到雜湊時,使用者端會驗證雜湊以驗證radius伺服器。
7.在TLS握手期間,從金鑰動態生成新的加密金鑰。
8/9.EAP-Success最終從伺服器傳送到身份驗證器,然後傳遞給請求方。
此時,支援 EAP-TLS 的無線用戶端可存取無線網路。
設定
Cisco無線LAN控制器
步驟 1.第一步是在Cisco WLC上設定RADIUS伺服器。若要新增 RADIUS 伺服器,請導覽至「安全性」>「RADIUS」>「驗證」。按一下「新增」(如影像所示)。
步驟 2.在此,您需要輸入用於驗證ISE上的WLC的IP地址和共用金鑰<password>。按一下「套用」以繼續(如影像所示)。
步驟 3.為RADIUS驗證建立WLAN。
現在,您可以建立新的 WLAN,並將其設定為使用 WPA-Enterprise 模式,使其得以使用 RADIUS 進行驗證。
步驟 4.從主選單中選擇WLANs,選擇Create New,然後按一下Go,如下圖所示。
步驟 5.將新的WLAN EAP-TLS命名為。按一下「套用」以繼續(如影像所示)。
步驟 6.按一下「General」,確保「Status」為「Enabled」。預設安全性原則為 802.1X 驗證和 WPA2(如影像所示)。
步驟 7.現在,導覽至Security> AAA Servers索引標籤,選擇您剛才配置的RADIUS伺服器,如下圖所示。
註:在繼續之前,最好確認您可以從WLC連線至RADIUS伺服器。RADIUS 使用 UDP 連接埠 1812(用於驗證),因此您需要確認此流量不會在網路任何位置遭封鎖。
使用 Cisco WLC 的 ISE
EAP-TLS 設定
若要建置原則,您需要建立允許的通訊協定清單,以用於我們的原則。 由於 dot1x 原則已寫入,因此請根據原則設定方式指定允許的 EAP 類型。
如果您使用預設值,則允許大多數EAP型別進行身份驗證,如果您需要鎖定對特定EAP型別的訪問,則這些型別不是首選的。
步驟 1.導覽至Policy > Policy Elements > Results > Authentication > Allowed Protocol,然後按一下Add,如下圖所示。
步驟 2.在此「允許的協定」清單中,可以輸入清單的名稱。在此案例中,「允許 EAP-TLS」方塊已核取,而其他方塊已取消核取(如影像所示)。
ISE 的 WLC 設定
步驟 1.開啟ISE控制檯並導航到管理>網路資源>網路裝置>新增,如下圖所示。
步驟 2.輸入如下圖所示的值。
在 ISE 上建立新使用者
步驟 1.導覽至Administration > Identity Management > Identities > Users > Add,如下圖所示。
步驟 2.輸入如下圖所示的資訊。
ISE 的信任憑證
步驟 1.導航到管理>系統>證書>證書管理>受信任證書。
按一下「匯入」以將憑證匯入至 ISE。在 ISE 新增 WLC 並建立使用者後,您需要執行 EAP-TLS 最重要的作業:信任 ISE 的憑證。若要進行這項作業,我們需要產生 CSR。
步驟 2.導覽至Administration > Certificates > Certificate Signing Requests > Generate Certificate Signing Requests(CSR),如下圖所示。
步驟 3.若要產生CSR,請導覽至Usage,然後從Certificate(s)is used下拉選項中選擇EAP Authentication,如下圖所示。
步驟 4.可以檢視ISE上生成的CSR。按一下「檢視」(如影像所示)。
步驟 5.產生CSR後,瀏覽至CA伺服器,然後按一下Request a certificate,如下圖所示:
步驟 6.請求證書後,會獲取User Certificate和advanced certificate request的選項,然後按一下advanced certificate request,如下圖所示。
步驟 7.貼上Base-64編碼的憑證要求中產生的CSR。在「Certificate Template:」下拉選項中,選擇「Web Server」,然後按一下「Submit」,如下圖所示。
步驟 8.按一下Submit後,即可選擇憑證型別,選擇Base-64 encoded,然後按一下Download certificate chain,如下圖所示。
步驟 9.ISE伺服器的證書下載已完成。您可以提取證書,該證書包含兩個證書,一個根證書和其他中間證書。根憑證可在「管理」>「憑證」>「受信任的憑證」>「匯入」下匯入(如影像所示)。
步驟 10.按一下Submit後,證書將新增到受信任證書清單中。此外,需要使用中繼憑證才可與 CSR 繫結(如影像所示)。
步驟 11.按一下Bind certificate後,有一個選項可以選擇儲存在案頭中的證書檔案。瀏覽至中繼憑證,然後按一下「提交」(如影像所示)。
步驟 12. 若要檢視憑證,請導覽至Administration > Certificates > System Certificates,如下圖所示。
EAP-TLS 的用戶端
下載用戶端電腦(Windows 桌上型電腦)的使用者憑證
步驟 1.為了通過EAP-TLS對無線使用者進行身份驗證,您必須生成客戶端證書。將您的 Windows 電腦連接至網路,即可存取伺服器。開啟Web瀏覽器並輸入以下地址:https://sever ip addr/certsrv—
步驟 2.請注意,CA必須與ISE下載證書的CA相同。
為此,您需要瀏覽用於下載伺服器憑證的相同 CA 伺服器。在同一個CA上,按一下Request a certificate,如同先前所做的那樣,但是這一次您需要選擇User作為Certificate Template,如下圖所示。
步驟 3.然後,按一下「download certificate chain」,就像之前針對伺服器所做的那樣。
收到憑證後,請使用以下步驟在windows筆記型電腦上匯入憑證:
步驟 4.若要匯入證書,需要從Microsoft管理控制檯(MMC)訪問它。
- 若要開啟 MMC,請導覽至「開始」>「執行」>「MMC」。
- 導覽至「檔案」>「新增/移除嵌入式管理單元」。
- 按兩下「憑證」。
- 選取「電腦帳戶」。
- 選取「本機電腦」>「完成」。
- 按一下「確定」,以結束「嵌入式管理單元」視窗。
- 按一下「憑證」>「個人」>「憑證」旁的 [+]。
- 以滑鼠右鍵按一下「憑證」,然後選取「所有工作」>「匯入」。
- 按「Next」(下一步)。
- 按一下「Browse」。
- 選取您想匯入的 .cer, .crt, or .pfx。
- 按一下「Open」。
- 按「Next」(下一步)。
- 選取「自動根據憑證類型來選取憑證存放區」。
- 按一下「完成並確定」。
完成證書匯入後,您需要為EAP-TLS配置無線客戶端(在本例中為windows案頭)。
EAP-TLS 的無線設定檔
步驟 1.更改先前為受保護的可擴展身份驗證協定(PEAP)建立的無線配置檔案,以便改用EAP-TLS。按一下「EAP 無線設定檔」。
步驟 2.選擇「Microsoft:Smart Card or other certificate」,然後按一下「OK」,如下圖所示。
步驟 3.按一下「settings」,然後選擇從CA伺服器核發的根憑證,如下圖所示。
步驟 4.按一下「Advanced Settings」,然後在「802.1x settings」索引標籤中選擇User或computer authentication,如下圖所示。
步驟 5.現在,嘗試再次連線到無線網路,選擇正確的配置檔案(在本例中為EAP)和連線。您已連線至無線網路(如影像所示)。
驗證
使用本節內容,確認您的組態是否正常運作。
步驟 1.客戶端策略管理器狀態必須顯示為RUN。如此表示用戶端已完成驗證、取得 IP 位址,且可傳遞流量(如影像所示)。
步驟 2.此外,在使用者端詳細資訊頁面中驗證WLC上的正確EAP方法,如下圖所示。
步驟 3.以下是控制器CLI中的使用者端詳細資訊(剪下的輸出):
(Cisco Controller-Standby) >show client detail 34:02:86:96:2f:b7 Client MAC Address............................... 34:02:86:96:2f:b7 Client Username ................................. Administrator AP MAC Address................................... 00:d7:8f:52:db:a0 AP Name.......................................... Alpha2802_3rdfloor AP radio slot Id................................. 0 Client State..................................... Associated Wireless LAN Id.................................. 5 Wireless LAN Network Name (SSID)................. EAP Wireless LAN Profile Name........................ EAP Hotspot (802.11u)................................ Not Supported BSSID............................................ 00:d7:8f:52:db:a4 Connected For ................................... 48 secs Channel.......................................... 1 IP Address....................................... 10.106.32.239 Gateway Address.................................. 10.106.32.1 Netmask.......................................... 255.255.255.0 Policy Manager State............................. RUN Policy Type...................................... WPA2 Authentication Key Management.................... 802.1x Encryption Cipher................................ CCMP-128 (AES) Protected Management Frame ...................... No Management Frame Protection...................... No EAP Type......................................... EAP-TLS
步驟 4.在ISE上,導航到Context Visibility > End Points > Attributes,如圖所示。
疑難排解
目前尚無適用於此組態疑難排解的特定資訊。
修訂記錄
| 修訂 | 發佈日期 | 意見 |
|---|---|---|
3.0 |
06-Nov-2023 |
已更新機器翻譯、文章描述、替代文字和格式。 |
1.0 |
01-Aug-2018 |
初始版本 |
意見