Mobility ExpressおよびISEを使用したEAP-TLSの理解と設定

概要

このドキュメントでは、Mobility Express Controllerで802.1xセキュリティを使用するワイヤレスローカルエリアネットワーク(WLAN)をセットアップする方法について説明します。このドキュメントでは、特にExtensible Authentication Protocol(EAP)-Transport Layer Security(TLS)の使用についても説明します。

前提条件

要件

次の項目に関する知識があることが推奨されます。

• Mobility Expressの初期設定
• 802.1x 認証プロセス
• 証明書

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づいています。

• WLC 5508 バージョン 8.5
• Identity Services Engine（ISE）バージョン 2.1

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、初期（デフォルト）設定の状態から起動しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。

背景説明

EAP-TLS フロー

EAP-TLS フローのステップ

1. ワイヤレスクライアントが、アクセスポイント（AP）に関連付けられます。

2. AP は、クライアントがこの時点でデータを送信することを許可せず、認証要求を送信します。

3. サプリカントが、EAP 応答 ID で応答します。WLC が、ユーザ ID 情報を認証サーバに送信します。

4. RADIUS サーバが、EAP-TLS 開始パケットでクライアントに応答します。この時点で EAP-TLS カンバセーションが開始されます。

5. ピアが、EAP 応答を認証サーバに返します。これには、「client_hello」ハンドシェイクメッセージ（NULL に設定された暗号）が含まれています。

6. 認証サーバが、次を含むアクセスチャレンジパケットで応答します。

TLS server_hello
handshake message
certificate
server_key_exchange
certificate request
server_hello_done. 

7. クライアントが、次を含む EAP 応答メッセージで応答します。

Certificate ¬ Server can validate to verify that it is trusted.

client_key_exchange

certificate_verify ¬ Verifies the server is trusted

change_cipher_spec

TLS finished

8. クライアントが正常に認証されると、RADIUS サーバが、「change_cipher_spec」およびハンドシェイク終了メッセージを含むアクセスチャレンジで応答します。これを受信したクライアントは、ハッシュを確認して RADIUS サーバを認証します。新しい暗号キーは、TLSハンドシェイク中にシークレットから動的に取得されます。

9. この時点で、EAP-TLS 対応のワイヤレスクライアントがワイヤレスネットワークにアクセスできます。

設定

Cisco Mobility Express

ステップ1：最初のステップは、Mobility ExpressでWLANを作成することです。WLANを作成するには、図に示すように、[WLAN] > [Add new WLAN]に移動します。

ステップ2:[Add new WLAN]をクリックすると、新しいポップアップウィンドウが表示されます。プロファイル名を作成するには、図に示すように[Add new WLAN] > [General]に移動します。

ステップ3：図に示すように、802.1xの認証タイプをWPA Enterpriseに設定し、[Add new WLAN] > [WLAN Security]でRADIUSサーバを設定します。

ステップ4:Add RADIUS Authentication Serverをクリックし、ISEで設定されている内容と正確に一致する必要があるRADIUSサーバと共有秘密のIPアドレスを指定し、図に示すようにApplyをクリックします。

ISEとCisco Mobility Express

EAP-TLS 設定

ポリシーを作成するには、ポリシーで使用する許可されたプロトコルリストを作成する必要があります。dot1x ポリシーを作成するため、ポリシーの設定方針に基づいて許可される EAP タイプを指定します。

デフォルトを使用すると認証でほとんどの EAP タイプが許可されますが、特定の EAP タイプへのアクセスをロックダウンする必要がある場合、これは適していない可能性があります。

ステップ1：図に示すように、[Policy] > [Policy Elements] > [Results] > [Authentication] > [Allowed Protocols]に移動し、[Add]をクリックします。

ステップ2：この[Allowed Protocol]リストで、リストの名前を入力できます。この場合、図のように、[EAP-TLSを許可（Allow EAP-TLS）] チェックボックスをオンにして、他のチェックボックスをオフにします。

ISEでのMobility Expressの設定

ステップ 1： 図のように、ISE コンソールを開き、[管理（Administration）] > [ネットワークリソース（Network Resources）] > [ネットワークデバイス（Network Devices）] > [追加（Add）] に移動します。

ステップ 2： 図のように、情報を入力します。

ISE での証明書の信頼確立

ステップ 1： [管理（Administration）] > [システム（System）] > [証明書（Certificates）] > [証明書の管理（Certificate Management）] > [信頼できる証明書（Trusted Certificates）] に移動します。

[インポート（Import）]をクリックして ISEに証明書をインポートします。WLC を追加し、ISE でユーザを作成したら、ISE で証明書の信頼を確立するという EAP-TLS の最も重要な部分を実行する必要があります。そのためには、CSRを生成する必要があります。

ステップ 2： 図のように、[管理（Administrauon）] > [証明書（Certificates）] > [証明書署名要求（Certificate Signing Requests）] > [証明書署名要求（CSR）の生成（Generate Certificate Signing Requests (CSR)）] に移動します。

ステップ 3： CSR を生成するには、図のように、[用途（Usage）] に移動し、[次の目的で証明書を使用（Certificate(s) will be used for）] ドロップダウンオプションから [EAP認証（EAP Authentication）] を選択します。

ステップ4:ISEで生成されたCSRを表示できます。図のように、[表示（View）] をクリックします。

ステップ5:CSRが生成されたら、CAサーバを参照し、図に示すように[Request a certificate]をクリックします。

ステップ6：証明書を要求すると、ユーザ証明書と高度な証明書要求のオプションが表示され、図に示すように高度な証明書要求をクリックします。

ステップ 7： 生成された CSR を [Base-64エンコード証明書要求（Base-64 encoded certificate request）] に貼り付けます。[証明書テンプレート：]ドロップダウンオプションから、[Web Server]を選択し、[送信]をクリックします（図を参照）。

ステップ8:[Submit]をクリックすると、証明書の種類を選択するオプションが表示され、Base-64 encodedを選択して、図に示すように[Download certificate chain]をクリックします。

ステップ9:ISEサーバの証明書のダウンロードが完了します。証明書を抽出できます。証明書には、ルート証明書と中間証明書の 2 つの証明書が含まれています。ルート証明書は、図のように、[管理（Administration）] > [証明書（Certifictes）] > [信頼できる証明書（Trusted certificates）] > [インポート（Import）] を選択してインポートできます。

ステップ10:[Submit]をクリックすると、証明書が信頼できる証明書リストに追加されます。また、図のように、CSR にバインドするには中間証明書が必要です。

ステップ11:[Bind certificate]をクリックすると、デスクトップに保存されている証明書ファイルを選択するオプションが表示されます。図のように、中間証明書を選択し、[送信（Submit）] をクリックします。

ステップ12：証明書を表示するには、図に示すように、[Administration] > [Certificates] > [System Certificates]に移動します。

EAP-TLS 用のクライアント

クライアントマシン（Windows デスクトップ）へのユーザ証明書のダウンロード

ステップ 1： EAP-TLS を使用してワイヤレスユーザを認証するには、クライアント証明書を生成する必要があります。サーバにアクセスできるように、Windows コンピュータをネットワークに接続します。Web ブラウザを開き、次のアドレスを入力します：https://sever ip addr/certsrv—

ステップ2:CAは、ISE用に証明書をダウンロードしたCAと同じである必要があります。

そのために、サーバ用の証明書のダウンロードに使用した CA サーバにアクセスする必要があります。同じ CA で以前と同じように [証明書を要求する（Request a certificate）] をクリックしますが、今回は、図のように、[証明書テンプレート（Certificate Template）] で [ユーザ（User）] を選択する必要があります。

ステップ3：次に、サーバに対して以前に行った証明書チェーンのダウンロードをクリックします。

証明書を取得したら、次の手順に従って、Windowsラップトップで証明書をインポートします。

ステップ 4： 証明書をインポートするには、Microsoft 管理コンソール（MMC）から証明書にアクセスする必要があります。

1. MMC を開くには、[スタート（Start）] > [ファイル名を指定して実行（Run）] > [MMC] に移動します。
2. [ファイル（File）] > [スナップインの追加と削除（Add / Remove Snap In] に移動します。
3. [証明書（Certificates）] をダブルクリックします。
4. [コンピュータアカウント]を選択します。
5. [ローカルコンピューター（Local Computer）] > [完了（Finish）] を選択します。
6. [OK] をクリックして[スナップイン（Snap-In）] ウィンドウを終了します。
7. [証明書（Certificates）] の横にある [+] をクリックし、[個人（Personal）] > [証明書（Certificates）] を選択します。
8. [証明書（Certificates）] を右クリックし、[すべてのタスク（All Tasks）] > [インポート（Import）] を選択します。
9. [next] をクリックします。
10. [Browse] をクリックします。
11. インポートする .cer、.crt、または .pfx ファイルを選択します。
12. [Open] をクリックします。
13. [next] をクリックします。
14. [証明書の種類に基づいて、自動的に証明書ストアを選択する（Automatically select the certificate store based on the type of certificate）] を選択します。
15. [完了（Finish）]、[OK] の順にクリックしてます。

証明書のインポートが完了したら、ワイヤレスクライアント（この例では Windows デスクトップ）を EAP-TLS 用に設定する必要があります。

EAP-TLS のワイヤレスプロファイル

ステップ1：代わりにEAP-TLSを使用するために、Protected Extensible Authentication Protocol(PEAP)用に作成されたワイヤレスプロファイルを変更します。EAP ワイヤレスプロファイルをクリックします。

ステップ 2： 図のように、[Microsoft：図に示すように、スマートカードまたは他の証明書をクリックし、[OK]をクリックします。

ステップ 3： [設定（Settings）] をクリックし、図のように、CA サーバから発行されたルート証明書を選択します。

ステップ4：図に示すように、[Advanced Settings]をクリックし、[802.1x settings]タブから[User or computer authentication]を選択します。

ステップ5：次に、ワイヤレスネットワークに接続し直し、正しいプロファイル（この例ではEAP）を選択し、Connectを選択します。図のように、ワイヤレスネットワークに接続されます。

確認

ここでは、設定が正常に機能しているかどうかを確認します。

ステップ1：クライアントのEAP-TypeはEAP-TLSである必要があります。これは、クライアントがEAP-TLSを使用して認証を完了し、IPアドレスを取得し、図に示すようにトラフィックを渡す準備ができていることを意味します。

ステップ2：コントローラのCLIからのクライアントの詳細を次に示します（出力を省略）。

(Cisco Controller) >show client detail 34:02:86:96:2f:b7
Client MAC Address............................... 34:02:86:96:2f:b7
Client Username ................................. Administrator
AP MAC Address................................... c8:f9:f9:83:47:b0
AP Name.......................................... AP442b.03a9.7f72 
AP radio slot Id................................. 1 
Client State..................................... Associated 
Client User Group................................ Administrator
Client NAC OOB State............................. Access
Wireless LAN Id.................................. 6 
Wireless LAN Network Name (SSID)................. ME_EAP
Wireless LAN Profile Name........................ ME_EAP
Hotspot (802.11u)................................ Not Supported
BSSID............................................ c8:f9:f9:83:47:ba 
Connected For ................................... 18 secs
Channel.......................................... 56 
IP Address....................................... 10.127.209.55
Gateway Address.................................. 10.127.209.49
Netmask.......................................... 255.255.255.240
IPv6 Address..................................... fe80::2818:15a4:65f9:842
--More-- or (q)uit
Security Policy Completed........................ Yes
Policy Manager State............................. RUN
Policy Type...................................... WPA2
Authentication Key Management.................... 802.1x
Encryption Cipher................................ CCMP-128 (AES)
Protected Management Frame ...................... No
Management Frame Protection...................... No
EAP Type......................................... EAP-TLS

ステップ3：図に示すように、ISEで[Context Visbility] > [End Points] > [Attributes]に移動します。

トラブルシュート

現在、この設定に関する特定のトラブルシューティング情報はありません。