EAP-TLS 시스템 인증을 사용하는 Windows v3.2용 보안 ACS

소개

이 문서에서는 Windows 버전 3.2용 Cisco ACS(Secure Access Control System)를 사용하여 EAP-TLS(Extensible Authentication Protocol-Transport Layer Security)를 구성하는 방법에 대해 설명합니다.

참고: 머신 인증은 Novell CA(Certificate Authority)에서 지원되지 않습니다. ACS는 EAP-TLS를 사용하여 Microsoft Windows Active Directory에 대한 머신 인증을 지원할 수 있습니다. 최종 사용자 클라이언트는 사용자 인증을 위한 프로토콜을 머신 인증에 사용되는 것과 동일한 프로토콜로 제한할 수 있습니다. 즉, 머신 인증에 EAP-TLS를 사용하려면 사용자 인증에 EAP-TLS를 사용해야 할 수 있습니다. 머신 인증에 대한 자세한 내용은 Cisco Secure Access Control Server 4.1용 사용 설명서의 머신 인증 섹션을 참조하십시오.

참고: EAP-TLS를 통해 시스템을 인증하도록 ACS를 설정할 때 시스템 인증을 위해 ACS가 설정된 경우, 머신 인증만 수행하도록 클라이언트를 구성해야 합니다. 자세한 내용은 Windows Vista, Windows Server 2008 및 Windows XP 서비스 팩 3에서 802.1X 기반 네트워크에 대해 컴퓨터 전용 인증을 활성화하는 방법을 참조하십시오.

사전 요구 사항

요구 사항

이 문서에 대한 특정 요건이 없습니다.

사용되는 구성 요소

이 문서의 정보는 아래의 소프트웨어 및 하드웨어 버전을 기반으로 합니다.

• Cisco Secure ACS for Windows 버전 3.2

• Microsoft Certificate Services(엔터프라이즈 루트 CA[Certificate Authority])로 설치됨)

  참고: 자세한 내용은 Certification Authority 설정에 대한 단계별 가이드를 참조하십시오.

• Windows 2000 Server 서비스 팩 3 및 핫픽스 서비스가 포함된 DNS 323172

  참고: CA 서버 문제가 발생하면 핫픽스 323172를 설치합니다. Windows 2000 SP3 클라이언트에서 IEEE 802.1x 인증을 사용하려면 핫픽스 313664가 필요합니다.

• Cisco Aironet 1200 Series Wireless Access Point 12.01T

• Windows XP Professional(서비스 팩 1 포함)을 실행하는 IBM ThinkPad T30

이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다. 이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다. 라이브 네트워크에서 작업 중인 경우, 사용하기 전에 모든 명령의 잠재적인 영향을 미리 숙지하시기 바랍니다.

배경 이론

EAP-TLS와 PEAP(Protected Extensible Authentication Protocol)는 모두 TLS/SSL(Secure Socket Layer) 터널을 구축하고 사용합니다. EAP-TLS는 ACS(Authentication, Authorization, and Accounting[AAA]) 서버와 클라이언트가 모두 인증서를 가지고 서로 ID를 증명하는 상호 인증을 사용합니다. 그러나 PEAP는 서버측 인증만 사용합니다. 서버에만 인증서가 있으며 클라이언트에 ID를 증명합니다.

표기 규칙

문서 규칙에 대한 자세한 내용은 Cisco 기술 팁 표기 규칙을 참조하십시오.

네트워크 다이어그램

이 문서에서는 아래 다이어그램에 나와 있는 네트워크 설정을 사용합니다.

Windows v3.2용 Cisco Secure ACS 구성

ACS 3.2를 구성하려면 다음 단계를 수행합니다.

1. ACS 서버용 인증서를 가져옵니다.

2. 스토리지의 인증서를 사용하도록 ACS를 구성합니다.

3. ACS에서 신뢰해야 하는 추가 인증 기관을 지정합니다.

4. 서비스를 다시 시작하고 ACS에서 PEAP 설정을 구성합니다.

5. 액세스 포인트를 AAA 클라이언트로 지정하고 구성합니다.

6. 외부 사용자 데이터베이스를 구성합니다.

7. 서비스를 다시 시작합니다.

ACS 서버용 인증서 얻기

인증서를 얻으려면 다음 단계를 수행하십시오.

1. ACS 서버에서 웹 브라우저를 열고 http://CA-ip-address/certsrv를 입력하여 CA 서버에 액세스합니다.

2. Administrator로 도메인에 로그인합니다.

   

3. Request a certificate(인증서 요청)를 선택하고 Next(다음)를 클릭합니다.

   

4. Advanced request(고급 요청)를 선택한 후 Next(다음)를 클릭합니다.

   

5. 양식을 사용하여 Submit a certificate request to this CA(이 CA에 인증서 요청 제출)를 선택한 후 Next(다음)를 클릭합니다.

   

6. 인증서 옵션을 구성합니다.

   1. 인증서 템플릿으로 웹 서버를 선택하고 ACS 서버의 이름을 입력합니다.

      

   2. Key Size(키 크기) 필드에 1024를 입력하고 Mark keys as exportable(내보낼 수 있는 키로 표시) 및 Use local machine store(로컬 머신 저장소 사용) 확인란을 선택합니다.

   3. 필요에 따라 다른 옵션을 구성한 다음 Submit(제출)을 클릭합니다.

      

      참고: Potential Scripting Violation(잠재적 스크립팅 위반) 대화 상자가 나타나면 Yes(예)를 클릭하여 계속합니다.

      

7. Install this certificate(이 인증서 설치)를 클릭합니다.

   

   참고: Potential Scripting Violation(잠재적 스크립팅 위반) 대화 상자가 나타나면 Yes(예)를 클릭하여 계속합니다.

   

8. 설치에 성공하면 Certificate Installed(설치된 인증서) 메시지가 나타납니다.

   

스토리지의 인증서를 사용하도록 ACS 구성

ACS에서 스토리지의 인증서를 사용하도록 구성하려면 다음 단계를 완료합니다.

1. ACS 서버에 액세스하려면 웹 브라우저를 열고 http://ACS-ip-address:2002/를 입력합니다.

2. System Configuration(시스템 컨피그레이션)을 클릭한 다음 ACS Certificate Setup(ACS 인증서 설정)을 클릭합니다.

3. Install ACS Certificate(ACS 인증서 설치)를 클릭합니다.

4. Use certificate from storage(스토리지에서 인증서 사용) 라디오 버튼을 클릭합니다.

5. Certificate CN(인증서 CN) 필드에 이 문서의 Obtaining a Certificate From the ACS Serversection(ACS 서버에서 인증서 가져오기) 섹션의 5a단계에서 할당한 인증서의 이름을 입력합니다.

6. Submit(제출)을 클릭합니다.

   

   컨피그레이션이 완료되면 ACS 서버의 컨피그레이션이 변경되었음을 나타내는 확인 메시지가 나타납니다.

   참고: 지금은 ACS를 다시 시작할 필요가 없습니다.

   

ACS에서 신뢰해야 하는 추가 인증 기관 지정

ACS는 자체 인증서를 발급한 CA를 자동으로 신뢰합니다. 클라이언트 인증서가 추가 CA에서 발급된 경우 다음 단계를 완료해야 합니다.

1. System Configuration(시스템 컨피그레이션)을 클릭한 다음 ACS Certificate Setup(ACS 인증서 설정)을 클릭합니다.

2. ACS Certificate Authority Setup(ACS 인증 기관 설정)을 클릭하여 신뢰할 수 있는 인증서 목록에 CA를 추가합니다.

3. CA 인증서 파일 필드에 인증서의 위치를 입력한 다음 Submit(제출)을 클릭합니다.

   

4. Edit Certificate Trust List를 클릭합니다.

5. ACS가 신뢰해야 하는 모든 CA를 선택하고 ACS가 신뢰해서는 안 되는 모든 CA의 선택을 취소합니다.

6. Submit(제출)을 클릭합니다.

   

서비스를 다시 시작하고 ACS에서 EAP-TLS 설정 구성

서비스를 다시 시작하고 EAP-TLS 설정을 구성하려면 다음 단계를 완료하십시오.

1. System Configuration(시스템 컨피그레이션)을 클릭한 다음 Service Control(서비스 제어)을 클릭합니다.

2. 서비스를 다시 시작하려면 Restart(다시 시작)를 클릭합니다.

3. EAP-TLS 설정을 구성하려면 System Configuration(시스템 컨피그레이션)을 클릭한 다음 Global Authentication Setup(글로벌 인증 설정)을 클릭합니다.

4. Allow EAP-TLS(EAP-TLS 허용)를 선택한 다음 하나 이상의 인증서 비교를 선택합니다.

5. Submit(제출)을 클릭합니다.

   

액세스 포인트를 AAA 클라이언트로 지정 및 구성

액세스 포인트(AP)를 AAA 클라이언트로 구성하려면 다음 단계를 완료하십시오.

1. Network Configuration(네트워크 컨피그레이션)을 클릭합니다.

2. AAA Clients 아래에서 Add Entry를 클릭합니다.

   

3. AAA Client Hostname(AAA 클라이언트 호스트 이름) 필드에 액세스 포인트 호스트 이름을 입력하고 AAA Client IP Address(AAA 클라이언트 IP 주소) 필드에 IP 주소를 입력합니다.

4. Key(키) 필드에 ACS 및 액세스 포인트의 공유 비밀 키를 입력합니다.

5. 인증 방법으로 RADIUS (Cisco Aironet)를 선택하고 Submit(제출)을 클릭합니다.

   

외부 사용자 데이터베이스 구성

외부 사용자 데이터베이스를 구성하려면 다음 단계를 완료합니다.

1. External User Databases(외부 사용자 데이터베이스)를 클릭한 다음 Database Configuration(데이터베이스 컨피그레이션)을 클릭합니다.

2. Windows 데이터베이스를 클릭합니다.

   참고: Windows 데이터베이스가 이미 정의되어 있지 않은 경우 새 구성 만들기를 클릭한 다음 제출을 클릭합니다.

3. Configure를 클릭합니다.

4. Configure Domain List 아래에서 SEC-SYD 도메인을 Available Domains에서 Domain List로 이동합니다.

   

5. Windows EAP Settings(Windows EAP 설정) 영역에서 Permit EAP-TLS machine authentication(EAP-TLS 머신 인증 허용) 확인란을 클릭하여 머신 인증을 활성화합니다.

   참고: 머신 인증 이름 접두사는 변경하지 마십시오. Microsoft는 현재 "/host"(기본값)를 사용하여 사용자 인증과 머신 인증을 구분합니다.

6. 선택적으로, 도메인 스트리핑을 활성화하기 위해 EAP-TLS Strip Domain Name(EAP-TLS 스트립 도메인 이름) 확인란을 선택할 수 있습니다.

7. Submit(제출)을 클릭합니다.

   

8. External User Databases(외부 사용자 데이터베이스)를 클릭한 다음 Unknown User Policy(알 수 없는 사용자 정책)를 클릭합니다.

9. Check the following external user databases(다음 외부 사용자 데이터베이스 확인) 라디오 버튼을 클릭합니다.

10. 외부 데이터베이스 목록에서 선택한 데이터베이스 목록으로 Windows 데이터베이스를 이동합니다.

11. Submit(제출)을 클릭합니다.

    

서비스 다시 시작

ACS 구성을 마쳤으면 서비스를 재시작하려면 다음 단계를 완료하십시오.

1. System Configuration(시스템 컨피그레이션)을 클릭한 다음 Service Control(서비스 제어)을 클릭합니다.

2. Restart를 클릭합니다.

MS 인증서 머신 자동 등록 구성

자동 머신 인증서 등록을 위해 도메인을 구성하려면 다음 단계를 완료하십시오.

1. 제어판 > 관리 도구 > Active Directory 사용자 및 컴퓨터 열기 로 이동합니다.

2. 도메인 sec-syd를 마우스 오른쪽 버튼으로 클릭하고 속성을 선택합니다.

3. Group Policy(그룹 정책) 탭을 클릭합니다.

4. Default Domain Policy(기본 도메인 정책)를 클릭한 다음 Edit(수정)를 클릭합니다.

5. Computer Configuration(컴퓨터 구성) > Windows Settings(Windows 설정) > Security Settings(보안 설정) > Public Key Policies(공개 키 정책) > Automatic Certificate Request Settings(자동 인증서 요청 설정)로 이동합니다.

   

6. 메뉴 모음에서 Action(작업) > New(새로 만들기) > Automatic Certificate Request(자동 인증서 요청)로 이동하여 Next(다음)를 클릭합니다.

7. 컴퓨터를 선택하고 다음을 클릭합니다.

8. 이 예에서는 인증 기관 "Our TAC CA"를 확인합니다.

9. Next(다음)를 클릭한 다음 Finish(마침)를 클릭합니다.

Cisco 액세스 포인트 구성

ACS를 인증 서버로 사용하도록 AP를 구성하려면 다음 단계를 완료하십시오.

1. AP에 액세스하려면 웹 브라우저를 열고 http://-AP-ip-address/certsrv를 입력합니다.

2. 툴바에서 Setup(설정)을 클릭합니다.

3. Services(서비스)에서 Security(보안)를 클릭한 다음 Authentication Server(인증 서버)를 클릭합니다.

   참고: AP에 계정을 구성한 경우 로그인해야 합니다.

4. 인증자 컨피그레이션 설정을 입력합니다.

   • 802.1x 프로토콜 버전(EAP 인증의 경우)으로 802.1x-2001을 선택합니다.

   • Server Name/IP(서버 이름/IP) 필드에 ACS 서버의 IP 주소를 입력합니다.

   • Server Type(서버 유형)으로 RADIUS를 선택합니다.

   • Port(포트) 필드에 1645 또는 1812를 입력합니다.

   • Specify and Configure the Access Point as an AAA Client(액세스 포인트를 AAA 클라이언트로 지정 및 구성)에서 지정한 공유 비밀 키를 입력합니다.

   • 서버를 어떻게 사용할지 지정하려면 EAP 인증 옵션을 선택합니다.

5. 완료되면 확인을 클릭합니다.

   

6. WEP(무선 데이터 암호화)를 클릭합니다.

7. 내부 데이터 암호화 설정을 입력합니다.

   • 데이터 암호화 수준을 설정하려면 Use of Data Encryption by Stations is 드롭다운 목록에서 Full Encryption을 선택합니다.

   • Accept Authentication Type(인증 유형 수락)의 Open(열기) 확인란을 선택하여 허용되는 인증 유형을 설정하고, Network-EAP를 선택하여 LEAP를 활성화합니다.

   • Require EAP(EAP 필요)의 경우, Open(열기) 확인란을 선택하여 EAP를 요구합니다.

   • Encryption Key 필드에 암호화 키를 입력하고 Key Size 드롭다운 목록에서 128비트를 선택합니다.

8. 완료되면 확인을 클릭합니다.

   

9. Network(네트워크) > Service Sets(서비스 세트) > SSID Idx를 선택하여 올바른 SSID(서비스 세트 식별자)가 사용되는지 확인합니다.

10. OK(확인)를 클릭합니다.

    

무선 클라이언트 구성

ACS 3.2를 구성하려면 다음 단계를 완료하십시오.

1. 도메인에 가입합니다.

2. 사용자에 대한 인증서를 가져옵니다.

3. 무선 네트워킹을 구성합니다.

도메인 가입

도메인에 무선 클라이언트를 추가하려면 다음 단계를 완료합니다.

참고: 이 단계를 완료하려면 무선 클라이언트가 유선 연결 또는 802.1x 보안이 비활성화된 무선 연결을 통해 CA에 연결되어 있어야 합니다.

1. Windows XP에 로컬 관리자로 로그인합니다.

2. Control Panel(제어판) > Performance and Maintenance(성능 및 유지 관리) > System(시스템)으로 이동합니다.

3. 컴퓨터 이름 탭을 클릭한 다음 변경을 클릭합니다.

4. Computer Name(컴퓨터 이름) 필드에 호스트 이름을 입력합니다.

5. Domain(도메인)을 선택한 다음 도메인 이름(이 예에서는 SEC-SYD)을 입력합니다.

6. OK(확인)를 클릭합니다.

   

7. 로그인 대화 상자가 나타나면 도메인에 가입할 수 있는 권한이 있는 계정으로 로그인합니다.

8. 컴퓨터가 도메인에 성공적으로 가입하면 컴퓨터를 다시 시작합니다.

   컴퓨터가 도메인의 구성원이 됩니다. 시스템 자동 등록이 구성되었으므로 시스템에 설치된 CA용 인증서와 시스템 인증용 인증서가 있습니다.

사용자에 대한 인증서 얻기

사용자에 대한 인증서를 가져오려면 다음 단계를 완료합니다.

1. 인증서가 필요한 계정으로 무선 클라이언트(랩톱)의 Windows XP 및 도메인(SEC-SYD)에 로그인합니다.

2. CA 서버에 액세스하려면 웹 브라우저를 열고 http://-CA-ip-address/certsrv를 입력합니다.

3. 동일한 어카운트의 CA 서버에 로그인합니다.

   참고: 인증서는 현재 사용자의 프로필 아래에 있는 무선 클라이언트에 저장되므로 Windows 및 CA에 로그인하려면 동일한 계정을 사용해야 합니다.

   

4. Request a certificate(인증서 요청) 라디오 버튼을 클릭하고 Next(다음)를 클릭합니다.

   

5. Advanced request(고급 요청) 라디오 버튼을 클릭한 다음 Next(다음)를 클릭합니다.

   

6. Submit a certificate request to this CA using a form(양식 라디오 버튼을 사용하여 이 CA에 인증서 요청 제출)을 클릭한 다음 Next(다음)를 클릭합니다.

   

7. Certificate Template(인증서 템플릿)에서 User(사용자)를 선택하고 Key Size(키 크기) 필드에 1024를 입력합니다.

8. 필요에 따라 다른 옵션을 구성하고 Submit(제출)을 클릭합니다.

   

   참고: Potential Scripting Violation(잠재적 스크립팅 위반) 대화 상자가 나타나면 Yes(예)를 클릭하여 계속합니다.

   

9. Install this certificate(이 인증서 설치)를 클릭합니다.

   

   참고: Potential Scripting Violation(잠재적 스크립팅 위반) 대화 상자가 나타나면 Yes(예)를 클릭하여 계속합니다.

   

   참고: CA의 자체 인증서가 무선 클라이언트에 저장되지 않은 경우 루트 인증서 저장소가 나타날 수 있습니다. 인증서를 로컬 스토리지에 저장하려면 Yes(예)를 클릭합니다.

   

   설치에 성공하면 확인 메시지가 나타납니다.

   

무선 네트워킹 구성

무선 네트워킹 옵션을 설정하려면 다음 단계를 완료하십시오.

1. 도메인에 도메인 사용자로 로그인합니다.

2. 제어판 > 네트워크 및 인터넷 연결 > 네트워크 연결로 이동합니다.

3. 무선 연결을 마우스 오른쪽 단추로 클릭하고 속성을 선택합니다.

4. Wireless Networks(무선 네트워크) 탭을 클릭합니다.

5. 사용 가능한 네트워크 목록에서 무선 네트워크를 선택한 다음 구성을 클릭합니다.

   

6. Authentication(인증) 탭에서 Enable IEEE 802.1x authentication for this network(이 네트워크에 대해 IEEE 802.1x 인증 활성화) 확인란을 선택합니다.

7. EAP 유형 드롭다운 목록에서 스마트 카드 또는 기타 인증서를 선택한 다음 속성을 클릭합니다.

   참고: 머신 인증을 활성화하려면 Authenticate as computer when computer information available 확인란을 선택합니다.

   

8. Use a certificate on this computer(이 컴퓨터에서 인증서 사용) 라디오 버튼을 클릭한 다음 Use simple certificate selection(단순 인증서 선택 사용) 확인란을 선택합니다.

9. Validate server certificates(서버 인증서 검증) 확인란을 선택하고 OK(확인)를 클릭합니다.

   참고: 클라이언트가 도메인에 가입하면 CA의 인증서가 자동으로 신뢰할 수 있는 루트 인증 기관으로 설치됩니다. 클라이언트는 클라이언트의 인증서에 서명한 CA를 자동으로 신뢰합니다. 추가 CA는 신뢰할 수 있는 루트 인증 기관 목록에서 확인하여 신뢰할 수 있습니다.

   

10. 네트워크 속성 창의 연결 탭에서 데이터 암호화(WEP 사용)와 키가 자동으로 제공됨 확인란을 선택합니다.

11. OK(확인)를 클릭한 다음 OK(확인)를 다시 클릭하여 네트워크 컨피그레이션 창을 닫습니다.

    

다음을 확인합니다.

이 섹션에서는 컨피그레이션이 제대로 작동하는지 확인하기 위해 사용할 수 있는 정보를 제공합니다.

• 무선 클라이언트가 인증되었는지 확인하려면 다음 단계를 완료하십시오.

  1. 무선 클라이언트에서 제어판 > 네트워크 및 인터넷 연결 > 네트워크 연결로 이동합니다.

  2. 메뉴 모음에서 보기 > 타일로 이동합니다.

  무선 연결은 "인증 성공" 메시지를 표시해야 합니다.

• 무선 클라이언트가 인증되었는지 확인하려면 ACS 웹 인터페이스에서 Reports and Activity(보고서 및 활동) > Passed Authentications(통과한 인증) > Passed Authentications active.csv(전달된 인증 active.csv)로 이동합니다.

문제 해결

이 섹션에서는 설정 문제 해결에 사용할 수 있는 정보를 제공합니다.

• MS 인증서 서비스가 Windows 2000 Advanced Server(서비스 팩 3 포함)에 엔터프라이즈 루트 CA로 설치되었는지 확인합니다.

• Windows 2000 및 서비스 팩 3과 함께 Cisco Secure ACS for Windows 버전 3.2를 사용하고 있는지 확인합니다.

• 무선 클라이언트에서 머신 인증이 실패할 경우 무선 연결에서 네트워크 연결이 없습니다. 무선 클라이언트에서 프로필이 캐시된 계정만 도메인에 로그인할 수 있습니다. 시스템을 유선 네트워크에 연결하거나 802.1x 보안 없이 무선 연결용으로 설정해야 합니다.

• CA가 도메인에 가입할 때 CA와의 자동 등록이 실패할 경우 가능한 이유로 이벤트 뷰어를 선택합니다.

• 무선 클라이언트의 사용자 프로필에 유효한 인증서가 없으면 암호가 올바르더라도 시스템 및 도메인에 로그온할 수 있지만 무선 연결에는 연결이 없습니다.

• 무선 클라이언트의 ACS 인증서가 유효하지 않은 경우(인증서의 유효한 "from" 및 "to" 날짜, 클라이언트의 날짜 및 시간 설정, CA 트러스트에 따라 다름), 클라이언트는 이를 거부하고 인증이 실패합니다. ACS는 웹 인터페이스의 Reports and Activity(보고서 및 활동) > Failed Attempts(실패한 시도) > Failed Attempts XXX.csv(실패한 시도 XXX.csv) 아래에 "EAP-TLS 또는 PEAP 인증이 SSL 핸드셰이크 중에 실패했습니다."와 유사한 인증 실패 코드가 있는 실패한 인증을 기록합니다. CSAuth.log 파일에 필요한 오류 메시지는 이 메시지와 유사합니다.

  AUTH 06/04/2003 14:56:41 E 0345 1644 EAP: buildEAPRequestMsg: 
  other side probably didn't accept our certificate

• ACS에 있는 클라이언트의 인증서가 유효하지 않은 경우(인증서의 유효한 "시작" 및 "끝" 날짜, 서버의 날짜 및 시간 설정, CA 트러스트에 따라 다름), 서버는 이를 거부하고 인증이 실패합니다. ACS는 웹 인터페이스의 Reports and Activity(보고서 및 활동) > Failed Attempts(실패한 시도) > Failed Attempts XXX.csv(실패한 시도 XXX.csv) 아래에 "EAP-TLS 또는 PEAP 인증이 SSL 핸드셰이크 중에 실패했습니다."와 유사한 인증 실패 코드가 있는 실패한 인증을 기록합니다. ACS가 CA를 신뢰하지 않기 때문에 ACS가 클라이언트의 인증서를 거부하는 경우, CSAuth.log 파일의 예상 오류 메시지는 다음 메시지와 유사합니다.

  AUTH 06/04/2003 15:47:43 E 0345 1696 EAP: ProcessResponse:
  SSL handshake failed, status = 3 (SSL alert fatal:unknown CA certificate)

  인증서가 만료되어 ACS가 클라이언트의 인증서를 거부하는 경우 CSAuth.log 파일의 예상 오류 메시지는 다음 메시지와 유사합니다.

  AUTH 06/04/2005 15:02:08 E 0345 1692 EAP: ProcessResponse:
  SSL handshake failed, status = 3 (SSL alert fatal:certificate expired)

• ACS 웹 인터페이스의 로그에서 Reports and Activity(보고서 및 활동) > Passed Authentications(통과한 인증) > Passed Authentications(통과한 인증) XXX.csv 및 Reports and Activity(보고서 및 활동) > Failed Attempts(실패한 시도) > Failed Attempts XXX.csv에서 EAP-TLS 인증은 <user-id>@<domain> 형식으로 표시됩니다. PEAP 인증은 <DOMAIN>\<user-id> 형식으로 표시됩니다.

• 아래 단계에 따라 ACS 서버의 인증서 및 신뢰를 확인할 수 있습니다.

  1. 관리자 권한이 있는 계정으로 ACS 서버의 Windows에 로그인합니다.

  2. 시작 > 실행으로 이동하여 mmc를 입력한 다음 확인을 클릭하여 Microsoft Management Console을 엽니다.

  3. 메뉴 모음에서 Console(콘솔) > Add/Remove Snap-in(스냅인 추가/제거)으로 이동하여 Add(추가)를 클릭합니다.

  4. Certificates(인증서)를 선택하고 Add(추가)를 클릭합니다.

  5. 컴퓨터 계정을 선택하고 다음을 클릭한 다음 로컬 컴퓨터(이 콘솔이 실행 중인 컴퓨터)를 선택합니다.

  6. Finish(마침)를 클릭하고 Close(닫기)를 클릭한 다음 OK(확인)를 클릭합니다.

  7. ACS 서버에 유효한 서버측 인증서가 있는지 확인하려면 Console Root(콘솔 루트) > Certificates (Local Computer)(인증서(로컬 컴퓨터)) > Personal(개인) > Certificates(인증서)로 이동하여 ACS 서버에 대한 인증서(이 예에서는 OurACS로 명명됨)가 있는지 확인합니다.

  8. 인증서를 열고 다음 항목을 확인합니다.

     • 인증서가 의도된 모든 용도로 검증되지 않는다는 것에 대한 경고는 없습니다.

     • 인증서를 신뢰할 수 없다는 경고는 없습니다.

     • "이 인증서는 원격 컴퓨터의 ID를 확인하기 위한 것입니다."

     • 인증서가 만료되지 않았고 유효화되었습니다(유효한 "시작" 및 "끝" 날짜를 확인하십시오).

     • "이 인증서에 해당하는 개인 키가 있습니다."

  9. Details(세부사항) 탭에서 Version(버전) 필드의 값이 V3이고 Enhanced Key Usage(고급 키 사용) 필드의 값이 Server Authentication(서버 인증)(1.3.6.1.5.5.7.3.1)인지 확인합니다.

  10. ACS 서버가 CA 서버를 신뢰하는지 확인하려면 Console Root(콘솔 루트) > Certificates (Local Computer)(인증서(로컬 컴퓨터)) > Trusted Root Certification Authorities(신뢰할 수 있는 루트 인증 기관) > Certificates(인증서)로 이동하여 CA 서버에 대한 인증서(이 예에서는 Our TAC CA로 지정됨)가 있는지 확인합니다.

  11. 인증서를 열고 다음 항목을 확인합니다.

      • 인증서가 의도된 모든 용도로 검증되지 않는다는 것에 대한 경고는 없습니다.

      • 인증서를 신뢰할 수 없다는 경고는 없습니다.

      • 인증서의 용도가 정확합니다.

      • 인증서가 만료되지 않았고 유효화되었습니다(유효한 "시작" 및 "끝" 날짜를 확인하십시오).

      ACS와 클라이언트가 동일한 루트 CA를 사용하지 않은 경우 CA 서버 인증서의 전체 체인이 설치되었는지 확인합니다. 인증서가 하위 인증 기관에서 가져온 경우에도 마찬가지입니다.

• 아래 단계에 따라 무선 클라이언트의 머신 인증서 및 신뢰를 확인할 수 있습니다.

  1. 관리자 권한이 있는 계정으로 ACS 서버의 Windows에 로그인합니다. 시작 > 실행으로 이동하여 mmc를 입력하고 확인을 클릭하여 Microsoft Management Console을 엽니다.

  2. 메뉴 모음에서 콘솔 > 스냅인 추가/제거로 이동한 다음 추가를 클릭합니다.

  3. Certificates(인증서)를 선택하고 Add(추가)를 클릭합니다.

  4. 컴퓨터 계정을 선택하고 다음을 클릭한 다음 로컬 컴퓨터(이 콘솔이 실행 중인 컴퓨터)를 선택합니다.

  5. Finish(마침)를 클릭하고 Close(닫기)를 클릭한 다음 OK(확인)를 클릭합니다.

  6. 컴퓨터에 유효한 클라이언트 측 인증서가 있는지 확인하십시오. 인증서가 유효하지 않으면 머신 인증이 실패합니다. 인증서를 확인하려면 Console Root(콘솔 루트) > Certificates (Local Computer)(인증서(로컬 컴퓨터)) > Personal(개인) > Certificates(인증서)로 이동합니다. 시스템에 대한 인증서가 있는지 확인하십시오. 이름은 <host-name>.<domain> 형식입니다. 인증서를 열고 다음 항목을 확인합니다.

     • 인증서가 의도된 모든 용도로 검증되지 않는다는 것에 대한 경고는 없습니다.

     • 인증서를 신뢰할 수 없다는 경고는 없습니다.

     • "이 인증서는 원격 컴퓨터에 대한 ID를 증명하기 위한 것입니다."

     • 인증서가 만료되지 않았고 유효화되었습니다(유효한 "시작" 및 "끝" 날짜를 확인하십시오).

     • "이 인증서에 해당하는 개인 키가 있습니다."

• Details(세부사항) 탭에서 Version(버전) 필드의 값이 V3이고 Enhanced Key Usage(고급 키 사용) 필드에 최소한 Client Authentication(클라이언트 인증)(1.3.6.1.5.5.7.3.2) 값이 포함되어 있는지 확인합니다. 추가 용도가 나열될 수 있습니다. Subject(제목) 필드에 CN = <host-name>.<domain> 값이 포함되어 있는지 확인합니다. 추가 값이 나열될 수 있습니다. 호스트 이름 및 도메인이 인증서에 지정된 것과 일치하는지 확인합니다.

• 클라이언트의 프로파일이 CA 서버를 신뢰하는지 확인하려면 Console Root(콘솔 루트) > Certificates (Current User)(인증서(현재 사용자)) > Trusted Root Certification Authorities(신뢰할 수 있는 루트 인증 기관) > Certificates(인증서)로 이동합니다. CA 서버에 대한 인증서가 있는지 확인합니다(이 예에서는 Our TAC CA). 인증서를 열고 다음 항목을 확인합니다.

  • 인증서가 의도된 모든 용도로 검증되지 않는다는 것에 대한 경고는 없습니다.

  • 인증서를 신뢰할 수 없다는 경고는 없습니다.

  • 인증서의 용도가 정확합니다.

  • 인증서가 만료되지 않았고 유효화되었습니다(유효한 "시작" 및 "끝" 날짜를 확인하십시오).

  ACS와 클라이언트가 동일한 루트 CA를 사용하지 않은 경우 CA 서버 인증서의 전체 체인이 설치되었는지 확인합니다. 인증서가 하위 인증 기관에서 가져온 경우에도 마찬가지입니다.

• Windows v3.2용 Cisco Secure ACS 구성에 설명된 대로 ACS 설정을 확인합니다.

• MS 인증서 서비스 구성에 설명된 대로 CA 설정을 확인합니다.

• Cisco 액세스 포인트 구성에 설명된 대로 AP 설정을 확인합니다.

• 무선 클라이언트 구성에 설명된 대로 무선 클라이언트 설정을 확인합니다.

• 사용자 계정이 AAA 서버의 내부 데이터베이스 또는 구성된 외부 데이터베이스 중 하나에 있는지 확인하고 계정이 비활성화되지 않았는지 확인합니다.

• SHA-2(Secure Hash Algorithm 2)에 구축된 CA에서 발급한 인증서는 현재 SHA-2를 지원하지 않는 Java로 개발되었으므로 Cisco Secure ACS와 호환되지 않습니다. 이 문제를 해결하려면 CA를 다시 설치하고 SHA-1로 인증서를 발급하도록 구성합니다.

관련 정보

• Windows용 Cisco Secure ACS 지원 페이지
• 무선 LAN 네트워크용 EAP-TLS 구축 설명서
• Windows용 Cisco Secure ACS의 버전 및 AAA 디버그 정보 가져오기
• Technical Support - Cisco Systems