Verständnis und Konfiguration von EAP-TLS mit einem WLC und der ISE

Download-Optionen

  • PDF     (3.9 MB)
    Mit Adobe Reader auf verschiedenen Geräten anzeigen
  • ePub     (4.0 MB)
    In verschiedenen Apps auf iPhone, iPad, Android, Sony Reader oder Windows Phone anzeigen
  • Mobi (Kindle)     (2.9 MB)
    Auf einem Kindle-Gerät oder einer Kindle-App auf mehreren Geräten anzeigen
Aktualisiert:21. November 2024
Dokument-ID:213543

Inklusive Sprache

In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.

Informationen zu dieser Übersetzung

Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.

    Einleitung

    In diesem Dokument wird die Einrichtung eines Wireless Local Area Network (WLAN) mit 802.1X und Extensible Authentication Protocol EAP-TLS beschrieben.

      

    Voraussetzungen

    Anforderungen

    Cisco empfiehlt, dass Sie über Kenntnisse in folgenden Bereichen verfügen:

    • 802.1X-Authentifizierungsprozess
    • Zertifikate

    Verwendete Komponenten

    Die Informationen in diesem Dokument basierend auf folgenden Software- und Hardware-Versionen:

    • WLC 3504 Version 8.10
    • Identity Services Engine (ISE) Version 2.7

    Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die möglichen Auswirkungen aller Befehle kennen.

    Hintergrundinformationen

    EAP-TLS-Fluss

    Topology - EAP-TLS Flow

    Schritte im EAP-TLS-Fluss

    1. Der Wireless-Client wird mit dem Access Point (AP) verknüpft. AP erlaubt dem Client nicht, an dieser Stelle Daten zu senden und sendet eine Authentifizierungsanforderung. Der Supplicant antwortet dann mit einer EAP-Response-Identität. Der WLC übermittelt dann die Benutzer-ID-Informationen an den Authentifizierungsserver. Der RADIUS-Server antwortet mit einem EAP-TLS-Startpaket auf den Client. Die EAP-TLS-Konversation beginnt an diesem Punkt.
    2. Der Peer sendet eine EAP-Antwort zurück an den Authentifizierungsserver, die eine client_hello-Handshake-Nachricht enthält, eine Chiffre, die auf NULL gesetzt ist.
    3. Der Authentifizierungsserver antwortet mit einem Access-Challenge-Paket, das Folgendes enthält:
    TLS server_hello
handshake message
certificate
server_key_exchange
certificate request
server_hello_done.

    4. Der Client antwortet mit einer EAP-Antwortnachricht, die Folgendes enthält:

    Certificate ¬ Server can validate to verify that it is trusted.

client_key_exchange

certificate_verify ¬ Verifies the server is trusted

change_cipher_spec

TLS finished

    5. Nachdem der Client erfolgreich authentifiziert wurde, antwortet der RADIUS-Server mit einer Access-Challenge, die die Meldung change_cipher_spec und handshake finished enthält.

    6. Wenn er dies erhält, überprüft der Client den Hash, um den Radius-Server zu authentifizieren.

    7. Ein neuer Verschlüsselungsschlüssel wird während des TLS-Handshakes dynamisch aus dem Schlüssel abgeleitet.

    8. EAP-Success wird schließlich vom Server an den Authentifikator gesendet, der dann an den Supplicant übergeben wird.

    An diesem Punkt kann der EAP-TLS-fähige Wireless-Client auf das Wireless-Netzwerk zugreifen.

    Konfigurieren

    Cisco Wireless LAN-Controller

    Schritt 1: Im ersten Schritt wird der RADIUS-Server auf dem Cisco WLC konfiguriert. Um einen RADIUS-Server hinzuzufügen, navigieren Sie zu Security > RADIUS > Authentication. Klicken Sie wie im Bild dargestellt auf Neu.

    Wireless LAN Controller - Configure RADIUS Server

    Schritt 2: Geben Sie hier die IP-Adresse und den gemeinsamen geheimen Schlüssel <Kennwort> ein, der zur Validierung des WLC auf der ISE verwendet wird. Klicken Sie auf Apply (Übernehmen), um fortzufahren, wie im Bild dargestellt.

    Wireless LAN Controller - Enter Shared IP Address and Shared Password

    Schritt 3: Erstellen eines WLAN für die RADIUS-Authentifizierung

    Jetzt können Sie ein neues WLAN erstellen und es für die Verwendung des WPA-Enterprise-Modus konfigurieren, sodass es RADIUS für die Authentifizierung verwenden kann.

    Schritt 4. Wählen Sie WLANs aus dem Hauptmenü, wählen Sie Create New und klicken Sie auf Go wie in der Abbildung dargestellt.

    Wireless LAN Controller - Select WLANs from Main Menu and Create New

    Schritt 5: Benennen Sie das neue WLAN EAP-TLS. Klicken Sie auf Apply (Übernehmen), um fortzufahren, wie im Bild dargestellt.

    Wireless LAN Controller - Name the New WLAN EAP-TLS

    Schritt 6: Klicken Sie auf Allgemein, und stellen Sie sicher, dass der Status aktiviert ist. Die Standard-Sicherheitsrichtlinien sind 802.1X-Authentifizierung und WPA2, wie im Bild gezeigt.

    Wireless LAN Controller - Ensure the Status is Enabled

    Schritt 7: Navigieren Sie nun zur Registerkarte Security> AAA Servers (Sicherheit > AAA-Server), und wählen Sie den RADIUS-Server aus, den Sie gerade wie im Bild dargestellt konfiguriert haben.

    Wireless LAN Controller - Select the RADIUS Server You Configured

    note-icon

    Anmerkung: Bevor Sie fortfahren, sollten Sie überprüfen, ob Sie vom WLC aus auf den RADIUS-Server zugreifen können. RADIUS verwendet den UDP-Port 1812 (für die Authentifizierung), sodass Sie sicherstellen müssen, dass dieser Datenverkehr nicht irgendwo im Netzwerk blockiert wird.

    ISE mit Cisco WLC

    EAP-TLS-Einstellungen

      

    Um die Richtlinie zu erstellen, müssen Sie die Liste der zulässigen Protokolle erstellen, die in unserer Richtlinie verwendet werden dürfen. Da eine dot1x-Richtlinie geschrieben wurde, geben Sie den zulässigen EAP-Typ basierend auf der Konfiguration der Richtlinie an.

    Wenn Sie die Standardeinstellung verwenden, lassen Sie die meisten EAP-Typen für die Authentifizierung zu, die nicht bevorzugt werden, wenn Sie den Zugriff auf einen bestimmten EAP-Typ sperren müssen.

    Schritt 1: Navigieren Sie zuRichtlinie > Richtlinienelemente > Ergebnisse > Authentifizierung > Zugelassene Protokolle, und klicken Sie auf Hinzufügen, wie im Bild dargestellt.

    Define Allowed Protocols Lists on ISE

      

    Schritt 2: In dieser Liste der zulässigen Protokolle können Sie den Namen für die Liste eingeben. In diesem Fall ist das Kontrollkästchen EAP-TLS zulassen aktiviert, und andere Kontrollkästchen sind deaktiviert, wie im Bild gezeigt. 

    Enter the Name for the List

    WLC-Einstellungen auf der ISE

    Schritt 1: Öffnen Sie die ISE-Konsole, und navigieren Sie zu Administration > Network Resources > Network Devices > Add wie im Bild dargestellt.

    ISE Network Devices Page

    Schritt 2: Geben Sie die im Bild angezeigten Werte ein.

    ISE - Shared Secret Password

      

    Neuen Benutzer auf ISE erstellen

    Schritt 1: Navigieren Sie zu Administration > Identity Management > Identities > Users > Add (Verwaltung > Identitätsverwaltung > Identitäten > Benutzer > Hinzufügen wie im Bild dargestellt.

    Network Access Users

    Schritt 2: Geben Sie die im Bild angezeigten Informationen ein.

    Create a New Network User

    Zertifikat auf ISE vertrauen

    Schritt 1: Navigieren Sie zu Administration > System > Certificates > Certificate Management > Trusted Certificates.

    Klicken Sie auf Importieren, um ein Zertifikat in die ISE zu importieren. Wenn Sie einen WLC hinzufügen und einen Benutzer auf der ISE erstellen, müssen Sie den wichtigsten Teil von EAP-TLS ausführen, d. h. dem Zertifikat auf der ISE vertrauen. Dazu müssen Sie eine CSR-Anfrage erstellen.

    Schritt 2: Navigieren Sie zu Administration > Certificates > Certificate Signing Requests > Generate Certificate Signing Requests (CSR), wie im Bild dargestellt.

    Enter Information

    Schritt 3: Um die CSR-Anfrage zu erstellen, navigieren Sie zu Usage (Verwendung) und wählen Sie aus den Zertifikaten, die für die Dropdown-Optionen verwendet werden, die Option EAP Authentication (EAP-Authentifizierung) aus, wie im Bild gezeigt.

    Certificate Signing Requests

    Schritt 4: Die von der ISE generierte CSR-Anfrage kann angezeigt werden. Klicken Sie wie im Bild dargestellt auf Ansicht.

    Generated CSR on ISE

    Schritt 5: Sobald der CSR generiert wurde, suchen Sie nach dem CA-Server und klicken Sie auf Request a certificate wie in der Abbildung dargestellt:

    Windows Server CA Homepage

    Schritt 6. Nachdem Sie ein Zertifikat angefordert haben, erhalten Sie Optionen für Benutzerzertifikat und erweiterte Zertifikatanforderung. Klicken Sie auf Erweiterte Zertifikatanforderung, wie im Bild dargestellt.

    Submit a CSR Request in Windows Server

    Schritt 7: Fügen Sie die in der Base-64-kodierten Zertifikatsanforderung erzeugte CSR ein. Wählen Sie aus der Dropdown-Liste Zertifikatvorlage die Option Webserver aus, und klicken Sie auf Senden, wie im Bild dargestellt.

    Chose the CSR Details on Windows Server

    Schritt 8: Wenn Sie auf Senden klicken, erhalten Sie die Option, den Zertifikattyp auszuwählen. Wählen Sie Base-64-codiert aus, und klicken Sie auf Zertifikatskette herunterladen, wie im Bild gezeigt.

    Windows Server Listing Certificates Issued

    Schritt 9: Der Download des Zertifikats für den ISE-Server ist abgeschlossen. Sie können das Zertifikat extrahieren. Das Zertifikat enthält zwei Zertifikate, ein Stammzertifikat und ein anderes Zwischenzertifikat. Das Stammzertifikat kann importiert werden unter Administration > Certificates > Trusted Certificates > Import wie in den Bildern dargestellt.

    Import Trusted Certificates on ISE

    Import a New Certificate on ISE

    Schritt 10: Wenn Sie auf Senden klicken, wird das Zertifikat der Liste der vertrauenswürdigen Zertifikate hinzugefügt. Außerdem wird das Zwischenzertifikat benötigt, um eine Bindung mit dem CSR herzustellen, wie im Bild dargestellt.

    Bind Certificate on ISE

    Schritt 11. Wenn Sie auf Zertifikat binden klicken, können Sie die auf Ihrem Desktop gespeicherte Zertifikatsdatei auswählen. Navigieren Sie zum Zwischenzertifikat, und klicken Sie wie im Bild dargestellt auf Senden.

    Bind CA Signed Certificate on ISE

    Schritt 12: Um das Zertifikat anzuzeigen, navigieren Sie zu Administration > Certificates > System Certificates wie im Bild dargestellt.

    System Certificates on ISE

    Client für EAP-TLS

    Benutzerzertifikat auf Client-Computer herunterladen (Windows-Desktop)

    Schritt 1: Um einen Wireless-Benutzer über EAP-TLS zu authentifizieren, müssen Sie ein Client-Zertifikat generieren. Verbinden Sie den Windows-Computer mit dem Netzwerk, sodass Sie auf den Server zugreifen können. Öffnen Sie einen Webbrowser, und geben Sie diese Adresse ein. 

    Schritt 2: Beachten Sie, dass die Zertifizierungsstelle mit dem für die ISE heruntergeladenen Zertifikat identisch sein muss.

    Dazu müssen Sie nach dem gleichen CA-Server suchen, den Sie zum Herunterladen des Zertifikats für den Server verwendet haben. Klicken Sie auf derselben Zertifizierungsstelle auf Zertifikat anfordern wie zuvor, diesmal müssen Sie jedoch Benutzer als Zertifikatvorlage auswählen, wie im Bild gezeigt.

    Submit the CSR

    Schritt 3. Klicken Sie dann auf Download-Zertifikatskette, wie zuvor für Server getan.

    Sobald Sie die Zertifikate erhalten haben, gehen Sie wie folgt vor, um das Zertifikat auf Windows-Laptop zu importieren.

    Schritt 4: Um das Zertifikat zu importieren, müssen Sie von der Microsoft Management Console (MMC) darauf zugreifen.

    1. Um die MMC zu öffnen, navigieren Sie zu Start > Ausführen > MMC.
    2. Navigieren Sie zu Datei > Snap-In hinzufügen/entfernen.
    3. Doppelklicken Sie auf Zertifikate.
    4. Wählen Sie Computerkonto aus.
    5. Wählen Sie Lokaler Computer > Fertig stellen aus.
    6. Klicken Sie auf OK, um das Snap-In-Fenster zu verlassen.
    7. Klicken Sie auf [+] neben Zertifikate > Persönlich > Zertifikate.
    8. Klicken Sie mit der rechten Maustaste auf Zertifikate, und wählen Sie Alle Aufgaben > Importieren aus.
    9. Klicken Sie auf Next (Weiter).
    10. Klicken Sie auf Durchsuchen.
    11. Wählen Sie die .cer-, .crt- oder .pfx-Datei aus, die Sie importieren möchten. 
    12. Klicken Sie auf Öffnen.
    13. Klicken Sie auf Next (Weiter).
    14. Wählen Sie den Zertifikatspeicher basierend auf dem Zertifikatstyp automatisch aus.
    15. Klicken Sie auf Fertig stellen und OK.

    Nach dem Import des Zertifikats müssen Sie Ihren Wireless-Client (in diesem Beispiel Windows Desktop) für EAP-TLS konfigurieren.

    Wireless-Profil für EAP-TLS

    Schritt 1: Ändern Sie das Wireless-Profil, das zuvor für das Protected Extensible Authentication Protocol (PEAP) erstellt wurde, um stattdessen EAP-TLS zu verwenden. Klicken Sie auf EAP-Drahtlosprofil.

      

    Schritt 2. Wählen Sie Microsoft: Smartcard oder anderes Zertifikat und klicken Sie auf OK im Bild angezeigt.

    Chose EAP-TLS Type of Authentication

    Schritt 3: Klicken Sie auf Einstellungen, und wählen Sie das vom CA-Server ausgestellte Stammzertifikat aus, wie im Bild dargestellt.

    Enable Trusted CAs

    Schritt 4: Klicken Sie auf Erweiterte Einstellungen, und wählen Sie auf der Registerkarte mit den 802.1x-Einstellungen die Option Benutzer- oder Computerauthentifizierung aus, wie im Bild dargestellt.

    Choose User or Computer Authentication

    Schritt 5. Versuchen Sie nun, erneut eine Verbindung zum Wireless-Netzwerk herzustellen, wählen Sie das richtige Profil (in diesem Beispiel EAP) und Verbinden. Sie sind wie im Bild dargestellt mit dem Wireless-Netzwerk verbunden.

    List of SSIDs

    Überprüfung

    Verwenden Sie diesen Abschnitt, um zu überprüfen, ob Ihre Konfiguration ordnungsgemäß funktioniert.

    Schritt 1: Der Status des Client-Richtlinienmanagers muss als RUN angezeigt werden. Das bedeutet, dass der Client die Authentifizierung abgeschlossen und die IP-Adresse abgerufen hat und bereit ist, den im Bild angezeigten Datenverkehr weiterzuleiten.

    Client Details : Policy Manager

    Schritt 2: Überprüfen Sie außerdem die richtige EAP-Methode auf dem WLC auf der Seite mit den Client-Details, wie im Bild gezeigt.

    EAP Type Mentioned in the Client Details

    Schritt 3. Hier sind die Client-Details aus der CLI des Controllers (Ausgabe abgeschnitten):

    (Cisco Controller-Standby) >show client detail 34:02:86:96:2f:b7
Client MAC Address............................... 34:02:86:96:2f:b7
Client Username ................................. Administrator
AP MAC Address................................... 00:d7:8f:52:db:a0
AP Name.......................................... Alpha2802_3rdfloor 
AP radio slot Id................................. 0 
Client State..................................... Associated 
Wireless LAN Id.................................. 5 
Wireless LAN Network Name (SSID)................. EAP
Wireless LAN Profile Name........................ EAP
Hotspot (802.11u)................................ Not Supported
BSSID............................................ 00:d7:8f:52:db:a4 
Connected For ................................... 48 secs
Channel.......................................... 1 
IP Address....................................... 10.106.32.239
Gateway Address.................................. 10.106.32.1
Netmask.......................................... 255.255.255.0
Policy Manager State............................. RUN
Policy Type...................................... WPA2
Authentication Key Management.................... 802.1x
Encryption Cipher................................ CCMP-128 (AES)
Protected Management Frame ...................... No
Management Frame Protection...................... No
EAP Type......................................... EAP-TLS

    Schritt 4: Navigieren Sie auf der ISE zu Context Visibility > End Points > Attributes (Kontexttransparenz > Endpunkte > Attribute), wie in den Bildern gezeigt.

    Rule MatchedCertificate Issuer Details

    Identity Store is Displayed in the Live Logs Details

    Fehlerbehebung

    Es sind derzeit keine spezifischen Informationen zur Problembehebung für diese Konfiguration verfügbar.

      

    Revisionsverlauf

    Überarbeitung Veröffentlichungsdatum Kommentare
    4.0
    21-Nov-2024
    Rechtschreibung und Formatierung aktualisiert.
    3.0
    06-Nov-2023
    Aktualisierte maschinelle Übersetzung, Artikelbeschreibung, Alternativer Text und Formatierung.
    1.0
    01-Aug-2018
    Erstveröffentlichung
    TAC Authored

    Beiträge von Cisco Ingenieuren

    • Bharti Khatri
      Technical Consulting Engineer

    War dieses Dokument hilfreich?

    FeedbackFeedback

    Cisco kontaktieren

    Dieses Dokument gilt für folgende Produkte.