Unified Wireless Network 로컬 EAP 서버 컨피그레이션 예

다운로드 옵션

PDF (344.0 KB)
다양한 디바이스에서 Adobe Reader로 보기
ePub (89.2 KB)
iPhone, iPad, Android, Sony Reader 또는 Windows Phone의 다양한 앱에서 보기
Mobi (Kindle) (89.9 KB)
Kindle 디바이스에서 보기 또는 다양한 디바이스의 Kindle 앱에서 보기

업데이트:2007년 5월 31일

문서 ID:91628

편견 없는 언어

본 제품에 대한 문서 세트는 편견 없는 언어를 사용하기 위해 노력합니다. 본 설명서 세트의 목적상, 편견 없는 언어는 나이, 장애, 성별, 인종 정체성, 민족 정체성, 성적 지향성, 사회 경제적 지위 및 교차성에 기초한 차별을 의미하지 않는 언어로 정의됩니다. 제품 소프트웨어의 사용자 인터페이스에서 하드코딩된 언어, RFP 설명서에 기초한 언어 또는 참조된 서드파티 제품에서 사용하는 언어로 인해 설명서에 예외가 있을 수 있습니다. 시스코에서 어떤 방식으로 포용적인 언어를 사용하고 있는지 자세히 알아보세요.

이 번역에 관하여

Cisco는 전 세계 사용자에게 다양한 언어로 지원 콘텐츠를 제공하기 위해 기계 번역 기술과 수작업 번역을 병행하여 이 문서를 번역했습니다. 아무리 품질이 높은 기계 번역이라도 전문 번역가의 번역 결과물만큼 정확하지는 않습니다. Cisco Systems, Inc.는 이 같은 번역에 대해 어떠한 책임도 지지 않으며 항상 원본 영문 문서(링크 제공됨)를 참조할 것을 권장합니다.

소개

이 문서에서는 무선 사용자 인증을 위한 Cisco WLC(Wireless LAN Controller)의 로컬 EAP(Extensible Authentication Protocol) 서버 구성에 대해 설명합니다.

로컬 EAP는 사용자 및 무선 클라이언트가 로컬에서 인증될 수 있는 인증 방법입니다. 백엔드 시스템이 중단되거나 외부 인증 서버가 다운되었을 때 무선 클라이언트에 대한 연결을 유지하려는 원격 사무실에서 사용하도록 설계되었습니다. 로컬 EAP를 활성화하면 컨트롤러는 인증 서버 및 로컬 사용자 데이터베이스 역할을 하여 외부 인증 서버에 대한 종속성을 제거합니다. 로컬 EAP는 사용자를 인증하기 위해 로컬 사용자 데이터베이스 또는 LDAP(Lightweight Directory Access Protocol) 백엔드 데이터베이스에서 사용자 자격 증명을 검색합니다. 로컬 EAP는 컨트롤러와 무선 클라이언트 간에 LEAP(Lightweight EAP), EAP-FAST(EAP-Flexible Authentication via Secure Tunneling) 및 EAP-TLS(EAP-Transport Layer Security) 인증을 지원합니다.

WLC에 전역 외부 RADIUS 서버 컨피그레이션이 있는 경우 로컬 EAP 서버를 사용할 수 없습니다. 로컬 EAP 서버를 사용할 수 있을 때까지 모든 인증 요청은 전역 외부 RADIUS로 전달됩니다. WLC가 외부 RADIUS 서버에 대한 연결을 끊으면 로컬 EAP 서버가 활성화됩니다. 전역 RADIUS 서버 컨피그레이션이 없는 경우 로컬 EAP 서버가 즉시 활성화됩니다. 다른 WLC에 연결된 클라이언트를 인증하는 데 로컬 EAP 서버를 사용할 수 없습니다. 다시 말해, 한 WLC는 인증을 위해 다른 WLC에 EAP 요청을 전달할 수 없습니다. 모든 WLC는 자체 로컬 EAP 서버 및 개별 데이터베이스가 있어야 합니다.

참고: WLC에서 외부 radius 서버로 요청을 전송하는 것을 중지하려면 다음 명령을 사용하십시오.

config wlan disable
        config wlan radius_server auth disable 
        config wlan enable

로컬 EAP 서버는 4.1.171.0 소프트웨어 릴리스 이상에서 다음 프로토콜을 지원합니다.

도약
EAP-FAST(사용자 이름/비밀번호 및 인증서 모두)
EAP-TLS

사전 요구 사항

요구 사항

다음 주제에 대한 지식을 보유하고 있으면 유용합니다.

기본 작동을 위해 WLC 및 LAP(lightweight access point)를 구성하는 방법에 대한 지식
LWAPP(Lightweight Access Point Protocol) 및 무선 보안 방법에 대한 지식
로컬 EAP 인증에 대한 기본 지식.

사용되는 구성 요소

이 문서의 정보는 다음 소프트웨어 및 하드웨어 버전을 기반으로 합니다.

Windows XP with CB21AG Adapter Card and Cisco Secure Services Client Version 4.05
Cisco 4400 Wireless LAN Controller 4.1.171.0
Windows 2000 Server의 Microsoft 인증 기관

표기 규칙

문서 규칙에 대한 자세한 내용은 Cisco 기술 팁 표기 규칙을 참고하십시오.

Cisco Wireless LAN Controller에서 로컬 EAP 구성

이 문서에서는 WLC의 기본 컨피그레이션이 이미 완료되었다고 가정합니다.

로컬 EAP 컨피그레이션

로컬 EAP를 구성하려면 다음 단계를 완료하십시오.

로컬 네트워크 사용자 추가:

GUI에서 Security(보안) > Local Net Users(로컬 네트워크 사용자) > New(새로 만들기)를 선택하고 사용자 이름, 비밀번호, Guest User(게스트 사용자), WLAN ID 및 Description(설명)을 입력한 후 Apply(적용)를 클릭합니다.

CLI에서 config netuser add <username> <password> <WLAN id> <description> 명령을 사용할 수 있습니다.

참고: 공간적 이유로 인해 이 명령이 두 번째 줄로 내려왔습니다.
```
(Cisco Controller) >config netuser add eapuser2 cisco123 1 Employee user local database
```
사용자 자격 증명 검색 순서를 지정합니다.

GUI에서 Security(보안) > Local EAP(로컬 EAP) > Authentication Priority(인증 우선순위)를 선택합니다. 그런 다음 LDAP를 선택하고 "<" 버튼을 클릭하고 Apply(적용)를 클릭합니다. 이렇게 하면 먼저 로컬 데이터베이스의 사용자 자격 증명이 설정됩니다.

CLI에서:
```
(Cisco Controller) >config local-auth user-credentials local
```
EAP 프로파일을 추가합니다.

GUI에서 이를 수행하려면 Security(보안) > Local EAP(로컬 EAP) > Profiles(프로파일)를 선택하고 New(새로 만들기)를 클릭합니다. 새 창이 나타나면 Profile Name(프로파일 이름)을 입력하고 Apply(적용)를 클릭합니다.

CLI 명령 config local-auth eap-profile add <profile-name>을 사용하여 이 작업을 수행할 수도 있습니다. 이 예에서 프로파일 이름은 EAP-test입니다.
```
(Cisco Controller) >config local-auth eap-profile add EAP-test
```
EAP 프로파일에 방법을 추가합니다.

GUI에서 Security(보안) > Local EAP(로컬 EAP) > Profiles(프로파일)를 선택하고 인증 방법을 추가하려는 프로파일 이름을 클릭합니다. 이 예에서는 LEAP, EAP-FAST 및 EAP-TLS를 사용합니다. 방법을 설정하려면 Apply를 클릭합니다.

CLI 명령 config local-auth eap-profile method add <method-name> <profile-name>을 사용할 수도 있습니다. 이 예제 컨피그레이션에서는 프로파일 EAP-test에 세 가지 방법을 추가합니다. 방법 이름은 LEAP, EAP-FAST 및 EAP-TLS이며 각각 leap, fast 및 tls입니다. 이 출력은 CLI 컨피그레이션 명령을 보여줍니다.
```
(Cisco Controller) >config local-auth eap-profile method add leap EAP-test
(Cisco Controller) >config local-auth eap-profile method add fast EAP-test
(Cisco Controller) >config local-auth eap-profile method add tls EAP-test
```
EAP 방법의 매개변수를 구성합니다. 이는 EAP-FAST에만 사용됩니다. 구성할 매개변수는 다음과 같습니다.
- Server Key(서버 키) - PAC(Protected Access Credentials)를 암호화/해독할 서버 키(16진수)
- Time to Live for PAC (pac-ttl)(PAC에 대한 TTL(Time to Live)) - PAC에 대한 TTL(Time to Live)을 설정합니다.
- Authority ID(authority-id) - 권한 식별자를 설정합니다.
- Anonymous Provision(anonymous Provision)(익명 프로비저닝(anonon-pron)) - 익명 프로비저닝의 허용 여부를 구성합니다. 기본적으로 활성화되어 있습니다.
GUI를 통한 컨피그레이션의 경우 Security(보안) > Local EAP(로컬 EAP) > EAP-FAST Parameters(EAP-FAST 매개변수)를 선택하고 Server key(서버 키), Time to live for the PAC(PAC에 대한 TTL), Authority ID(권한 ID)(16진수) 및 Authority ID Information(권한 ID 정보) 값을 입력합니다.

다음은 EAP-FAST에 대해 이러한 매개변수를 설정하기 위해 사용할 CLI 컨피그레이션 명령입니다.
```
(Cisco Controller) >config local-auth method fast server-key 12345678
(Cisco Controller) >config local-auth method fast authority-id 43697369f1 CiscoA-ID
(Cisco Controller) >config local-auth method fast pac-ttl 10
```
WLAN당 로컬 인증 활성화:

GUI에서 상단 메뉴의 WLANs를 선택하고 로컬 인증을 구성할 WLAN을 선택합니다. 새 창이 나타납니다. Security(보안) > AAA 탭을 클릭합니다. 로컬 EAP 인증을 선택하고 다음 예와 같이 풀다운 메뉴에서 올바른 EAP 프로파일 이름을 선택합니다.

다음 그림과 같이 CLI config wlan local-auth enable <profile-name> <wlan-id> 컨피그레이션 명령을 실행할 수도 있습니다.
```
(Cisco Controller) >config wlan local-auth enable EAP-test 1 
```
레이어 2 보안 매개변수를 설정합니다.

GUI 인터페이스의 WLAN Edit(WLAN 수정) 창에서 Security(보안) > Layer 2(레이어 2) 탭으로 이동하여 Layer 2 Security(레이어 2 보안) 풀다운 메뉴에서 WPA+WPA2를 선택합니다. WPA+WPA2 Parameters(WPA+WPA2 매개변수) 섹션에서 WPA Encryption(WPA 암호화)을 TKIP 및 WPA2 Encryption AES(WPA2 암호화 AES)로 설정합니다. 그런 다음 Apply를 클릭합니다.

CLI에서 다음 명령을 사용합니다.
```
(Cisco Controller) >config wlan security wpa enable 1 
(Cisco Controller) >config wlan security wpa wpa1 ciphers tkip enable 1
(Cisco Controller) >config wlan security wpa wpa2 ciphers aes enable 1 
```

구성 확인:

(Cisco Controller) >show local-auth config 

User credentials database search order:
    Primary ..................................... Local DB

Timer:
    Active timeout .............................. Undefined

Configured EAP profiles:
    Name ........................................ EAP-test
      Certificate issuer ........................ cisco
      Peer verification options:
        Check against CA certificates ........... Enabled
        Verify certificate CN identity .......... Disabled
        Check certificate date validity ......... Enabled
      EAP-FAST configuration:
        Local certificate required .............. No
        Client certificate required ............. No
      Enabled methods ........................... leap fast tls 
      Configured on WLANs ....................... 1 

EAP Method configuration:
    EAP-FAST:
--More-- or (q)uit
      Server key ................................ <hidden>
      TTL for the PAC ........................... 10
      Anonymous provision allowed ............... Yes
      Authority ID .............................. 43697369f10000000000000000000
      Authority Information ..................... CiscoA-ID

show wlan <wlan id> 명령을 사용하여 wlan 1의 특정 매개변수를 볼 수 있습니다.

(Cisco Controller) >show wlan 1


WLAN Identifier.................................. 1
Profile Name..................................... austinlab
Network Name (SSID).............................. austinlab
Status........................................... Disabled
MAC Filtering.................................... Disabled
Broadcast SSID................................... Enabled
AAA Policy Override.............................. Disabled
Number of Active Clients......................... 0
Exclusionlist Timeout............................ 60 seconds
Session Timeout.................................. 1800 seconds
Interface........................................ management
WLAN ACL......................................... unconfigured
DHCP Server...................................... Default
DHCP Address Assignment Required................. Disabled
Quality of Service............................... Silver (best effort)
WMM.............................................. Disabled
CCX - AironetIe Support.......................... Enabled
CCX - Gratuitous ProbeResponse (GPR)............. Disabled
Dot11-Phone Mode (7920).......................... Disabled
Wired Protocol................................... None
--More-- or (q)uit
IPv6 Support..................................... Disabled
Radio Policy..................................... All
Local EAP Authentication......................... Enabled (Profile 'EAP-test')
Security

   802.11 Authentication:........................ Open System
   Static WEP Keys............................... Disabled
   802.1X........................................ Disabled
   Wi-Fi Protected Access (WPA/WPA2)............. Enabled
      WPA (SSN IE)............................... Enabled
         TKIP Cipher............................. Enabled
         AES Cipher.............................. Disabled
      WPA2 (RSN IE).............................. Enabled
         TKIP Cipher............................. Disabled
         AES Cipher.............................. Enabled
                                                            Auth Key Management
         802.1x.................................. Enabled
         PSK..................................... Disabled
         CCKM.................................... Disabled
   CKIP ......................................... Disabled
   IP Security................................... Disabled
   IP Security Passthru.......................... Disabled
   Web Based Authentication...................... Disabled
--More-- or (q)uit
   Web-Passthrough............................... Disabled
   Conditional Web Redirect...................... Disabled
   Auto Anchor................................... Disabled
   Cranite Passthru.............................. Disabled
   Fortress Passthru............................. Disabled
   H-REAP Local Switching........................ Disabled
   Infrastructure MFP protection................. Enabled 
                                          (Global Infrastructure MFP Disabled)
   Client MFP.................................... Optional
   Tkip MIC Countermeasure Hold-down Timer....... 60

 Mobility Anchor List
 WLAN ID     IP Address       Status

구성할 수 있는 다른 로컬 인증 매개변수, 특히 활성 시간 초과 타이머가 있습니다. 이 타이머는 모든 RADIUS 서버가 실패한 후 로컬 EAP가 사용되는 기간을 구성합니다.

GUI에서 Security(보안) > Local EAP(로컬 EAP) > General(일반)을 선택하고 시간 값을 설정합니다. 그런 다음 Apply를 클릭합니다.

CLI에서 다음 명령을 실행합니다.

(Cisco Controller) >config local-auth active-timeout ?
<1 to 3600> Enter the timeout period for the Local EAP to remain active, 
in seconds.
(Cisco Controller) >config local-auth active-timeout 60

show local-auth config 명령을 실행할 때 이 타이머가 설정된 값을 확인할 수 있습니다.

(Cisco Controller) >show local-auth config 

User credentials database search order:
    Primary ..................................... Local DB

Timer:
    Active timeout .............................. 60

Configured EAP profiles:
    Name ........................................ EAP-test
... Skip

수동 PAC를 생성하고 로드해야 하는 경우 GUI 또는 CLI를 사용할 수 있습니다.

GUI의 상단 메뉴에서 COMMANDS를 선택하고 오른쪽 목록에서 Upload File(파일 업로드)을 선택합니다. File Type(파일 유형) 풀다운 메뉴에서 PAC(Protected Access Credential)를 선택합니다. 모든 매개변수를 입력하고 Upload(업로드)를 클릭합니다.

CLI에서 다음 명령을 입력합니다.

(Cisco Controller) >transfer upload datatype pac 
(Cisco Controller) >transfer upload pac ?
               
username     Enter the user (identity) of the PAC 
               
 (Cisco Controller) >transfer upload pac test1 ?
               
<validity>     Enter the PAC validity period (days)
               
(Cisco Controller) >transfer upload pac test1 60 ?
               
<password>     Enter a password to protect the PAC
               
 (Cisco Controller) >transfer upload pac test1 60 cisco123

(Cisco Controller) >transfer upload serverip 10.1.1.1

(Cisco Controller) >transfer upload filename manual.pac

(Cisco Controller) >transfer upload start 

Mode............................................. TFTP  
TFTP Server IP................................... 10.1.1.1
TFTP Path........................................ /
TFTP Filename.................................... manual.pac
Data Type........................................ PAC         
PAC User......................................... test1
PAC Validity..................................... 60 days
PAC Password..................................... cisco123

Are you sure you want to start? (y/N) y
PAC transfer starting.
File transfer operation completed successfully.

Microsoft 인증 기관

EAP-FAST 버전 2 및 EAP-TLS 인증을 사용하려면 WLC 및 모든 클라이언트 장치에 유효한 인증서가 있어야 하며 인증 기관의 공개 인증서도 알고 있어야 합니다.

설치

Windows 2000 Server에 아직 Certification Authority 서비스가 설치되어 있지 않으면 설치해야 합니다.

Windows 2000 Server에서 Microsoft 인증 기관을 활성화하려면 다음 단계를 완료하십시오.

제어판에서 프로그램 추가/제거를 선택합니다. :
왼쪽에서 Windows 구성 요소 추가/제거를 선택합니다.
Certificate Services(인증서 서비스)를 선택합니다.

계속하기 전에 이 경고를 검토하십시오.
설치할 인증 기관 유형을 선택합니다. 간단한 독립 실행형 권한을 생성하려면 Stand-alone root CA를 선택합니다.
인증 기관에 대한 필수 정보를 입력합니다. 이 정보는 인증 기관에 대한 자체 서명 인증서를 생성합니다. 사용하는 CA 이름을 기억하십시오.

인증 기관은 데이터베이스에 인증서를 저장합니다. 이 예에서는 Microsoft에서 제안한 기본 설정을 사용합니다.
Microsoft 인증 기관 서비스는 IIS Microsoft 웹 서버를 사용하여 클라이언트 및 서버 인증서를 만들고 관리합니다. 이를 위해 IIS 서비스를 다시 시작해야 합니다.

이제 Microsoft Windows 2000 Server에서 새 서비스를 설치합니다. 새 Windows 구성 요소를 설치하려면 Windows 2000 Server 설치 CD가 있어야 합니다.

이제 인증 기관이 설치되었습니다.

Cisco Wireless LAN Controller에 인증서 설치

Cisco Wireless LAN Controller의 로컬 EAP 서버에서 EAP-FAST 버전 2 및 EAP-TLS를 사용하려면 다음 3단계를 수행하십시오.

무선 LAN 컨트롤러에 디바이스 인증서를 설치합니다.
무선 LAN 컨트롤러에 벤더 CA 인증서를 다운로드합니다.
EAP-TLS를 사용하도록 Wireless LAN Controller를 구성합니다.

이 문서의 예에서 ACS(Access Control Server)는 Microsoft Active Directory 및 Microsoft Certification Authority와 동일한 호스트에 설치되지만, ACS 서버가 다른 서버에 있는 경우에는 컨피그레이션이 동일해야 합니다.

무선 LAN 컨트롤러에 디바이스 인증서 설치

다음 단계를 완료하십시오.

. WLC로 가져올 인증서를 생성하려면 다음 단계를 완료합니다.
1. http://<serverIpAddr>/certsrv로 이동합니다.
2. Request a Certificate(인증서 요청)를 선택하고 Next(다음)를 클릭합니다.
3. Advanced Request(고급 요청)를 선택하고 Next(다음)를 클릭합니다.
4. 양식을 사용하여 Submit a certificate request to this CA(이 CA에 인증서 요청 제출)를 선택하고 Next(다음)를 클릭합니다.
5. 인증서 템플릿에 대한 웹 서버를 선택하고 관련 정보를 입력합니다. 그런 다음 키를 내보낼 수 있는 것으로 표시합니다.
6. 이제 컴퓨터에 설치해야 하는 인증서를 받게 됩니다.
PC에서 인증서를 검색하려면 다음 단계를 완료합니다.
1. Internet Explorer 브라우저를 열고 도구 > 인터넷 옵션 > 콘텐츠를 선택합니다.
2. Certificates를 클릭합니다.
3. 풀다운 메뉴에서 새로 설치된 인증서를 선택합니다.
4. Export(내보내기)를 클릭합니다.
5. Next(다음)를 두 번 클릭하고 Yes(예)를 선택하여 개인 키를 내보냅니다. 이 형식은 PKCS#12(.PFX 형식)입니다.
6. Enable strong protection(강력한 보호 활성화)을 선택합니다.
7. 비밀번호를 입력합니다.
8. <tme2.pfx> 파일에 저장합니다.

PEM 형식으로 변환하기 위해 Openssl이 설치된 컴퓨터에 PKCS#12 형식의 인증서를 복사합니다.

openssl pkcs12 -in tme2.pfx -out tme2.pem  

!--- The command to be given, -in 
         
           . 
         

Enter Import Password:              

!--- Enter the password given previously, from step 2g.

MAC verified OK
Enter PEM pass phrase:      

!--- Enter a phrase.

Verifying - Enter PEM pass phrase:

변환된 PEM 형식 디바이스 인증서를 WLC에 다운로드합니다.

(Cisco Controller) >transfer download datatype eapdevcert

(Cisco Controller) >transfer download certpassword password 

!--- From step 3.

Setting password to <cisco123>

(Cisco Controller) >transfer download filename tme2.pem

(Cisco Controller) >transfer download start

Mode............................................. TFTP
Data Type........................................ Vendor Dev Cert
TFTP Server IP................................... 10.1.1.12
TFTP Packet Timeout.............................. 6
TFTP Max Retries................................. 10
TFTP Path........................................ /
TFTP Filename.................................... tme2.pem

This may take some time.
Are you sure you want to start? (y/N) y

TFTP EAP Dev cert transfer starting.

Certificate installed.
  Reboot the switch to use new certificate.

재부팅되면 인증서를 확인합니다.

(Cisco Controller) >show local-auth certificates

Certificates available for Local EAP authentication:

Certificate issuer .............................. vendor
  CA certificate:
    Subject: C=US, ST=ca, L=san jose, O=cisco, OU=wnbu, CN=tme
     Issuer: C=US, ST=ca, L=san jose, O=cisco, OU=wnbu, CN=tme
      Valid: 2007 Feb 28th, 19:35:21 GMT to 2012 Feb 28th, 19:44:44 GMT
  Device certificate:
    Subject: C=US, ST=ca, L=san jose, O=cisco, OU=wnbu, CN=tme2
     Issuer: C=US, ST=ca, L=san jose, O=cisco, OU=wnbu, CN=tme
      Valid: 2007 Mar 28th, 23:08:39 GMT to 2009 Mar 27th, 23:08:39 GMT

무선 LAN 컨트롤러에 벤더 CA 인증서 다운로드

다음 단계를 완료하십시오.

벤더 CA 인증서를 검색하려면 다음 단계를 완료합니다.
1. http://<serverIpAddr>/certsrv로 이동합니다.
2. Retrieve the CA Certificate(CA 인증서 검색)를 선택하고 Next(다음)를 클릭합니다.
3. CA Certificate를 선택합니다.
4. DER encoded를 클릭합니다.
5. Download CA certificate(CA 인증서 다운로드)를 클릭하고 인증서를 rootca.cer로 저장합니다.
openssl x509 -in rootca.cer -inform DER -out rootca.pem -outform PEM 명령을 사용하여 벤더 CA를 DER 형식에서 PEM 형식으로 변환합니다.

출력 파일은 PEM 형식의 rootca.pem입니다.

벤더 CA 인증서 다운로드:

(Cisco Controller) >transfer download datatype eapcacert

(Cisco Controller) >transfer download filename ?
               
<filename>     Enter filename up to 16 alphanumeric characters.
               
(Cisco Controller) >transfer download filename rootca.pem

(Cisco Controller) >transfer download start ?
               
(Cisco Controller) >transfer download start 

Mode............................................. TFTP  
Data Type........................................ Vendor CA Cert
TFTP Server IP................................... 10.1.1.12
TFTP Packet Timeout.............................. 6
TFTP Max Retries................................. 10
TFTP Path........................................ /
TFTP Filename.................................... rootca.pem

This may take some time.
Are you sure you want to start? (y/N) y

TFTP EAP CA cert transfer starting.

Certificate installed.
  Reboot the switch to use new certificate.

EAP-TLS를 사용하도록 Wireless LAN Controller 구성

다음 단계를 완료하십시오.

GUI에서 Security(보안) > Local EAP(로컬 EAP) > Profiles(프로파일)를 선택하고 프로파일을 선택한 후 다음 설정을 확인합니다.

필요한 로컬 인증서가 활성화되어 있습니다.
필요한 클라이언트 인증서가 활성화되어 있습니다.
인증서 발급자가 공급업체입니다.
CA 인증서에 대한 검사가 활성화되어 있습니다.

클라이언트 장치에 인증 기관 인증서 설치

클라이언트에 대한 루트 CA 인증서 다운로드 및 설치

클라이언트는 인증 기관 서버에서 루트 CA 인증서를 가져와야 합니다. 클라이언트 인증서를 가져와 Windows XP 시스템에 설치하는 데 사용할 수 있는 몇 가지 방법이 있습니다. 유효한 인증서를 취득하려면 Windows XP 사용자가 사용자 ID를 사용하여 로그인해야 하며 네트워크에 연결되어 있어야 합니다.

Windows XP 클라이언트의 웹 브라우저 및 네트워크에 대한 유선 연결을 사용하여 사설 루트 인증 기관 서버에서 클라이언트 인증서를 얻었습니다. 이 절차는 Microsoft Certification Authority 서버에서 클라이언트 인증서를 가져오는 데 사용됩니다.

클라이언트에서 웹 브라우저를 사용하고 브라우저를 Certification Authority 서버로 지정합니다. 이렇게 하려면 http://IP-address-of-Root-CA/certsrv을 입력합니다.
Domain_Name\user_name을 사용하여 로그인합니다. XP 클라이언트를 사용할 개인의 사용자 이름을 사용하여 로그인해야 합니다.
Welcome(시작) 창에서 Retrieve a CA certificate(CA 인증서 검색)를 선택하고 Next(다음)를 클릭합니다.
Base64 Encoding 및 Download CA certificate를 선택합니다.
Certificate Issued(발급된 인증서) 창에서 Install this certificate(이 인증서 설치)를 클릭하고 Next(다음)를 클릭합니다.
Automatically select the certificate store(인증서 저장소 자동 선택)를 선택하고 Next(다음)를 클릭하여 Import(가져오기) 메시지를 성공적으로 표시합니다.
인증 기관 인증서를 검색하기 위해 인증 기관에 연결:
Download CA certificate(CA 인증서 다운로드)를 클릭합니다.
인증 기관 인증서가 올바르게 설치되었는지 확인하려면 Internet Explorer를 열고 도구 > 인터넷 옵션 > 내용 > 인증서를 선택합니다.

신뢰할 수 있는 루트 인증 기관에서 새로 설치된 인증 기관을 확인해야 합니다.

클라이언트 장치에 대한 클라이언트 인증서 생성

클라이언트는 WLC가 WLAN EAP-TLS 클라이언트를 인증할 수 있도록 인증 기관 서버에서 인증서를 받아야 합니다. 클라이언트 인증서를 가져와 Windows XP 시스템에 설치하기 위해 사용할 수 있는 몇 가지 방법이 있습니다. 유효한 인증서를 취득하려면 Windows XP 사용자가 사용자 ID를 사용하여 로그인해야 하며 네트워크 연결(유선 연결 또는 802.1x 보안이 비활성화된 WLAN 연결)이 있어야 합니다.

Windows XP 클라이언트의 웹 브라우저 및 네트워크에 대한 유선 연결을 사용하여 사설 루트 인증 기관 서버에서 클라이언트 인증서를 가져옵니다. 이 절차는 Microsoft Certification Authority 서버에서 클라이언트 인증서를 가져오는 데 사용됩니다.

클라이언트에서 웹 브라우저를 사용하고 브라우저를 Certification Authority 서버로 지정합니다. 이렇게 하려면 http://IP-address-of-Root-CA/certsrv을 입력합니다.
Domain_Name\user_name을 사용하여 로그인합니다. XP 클라이언트를 사용하는 개인의 사용자 이름을 사용하여 로그인해야 합니다. 사용자 이름은 클라이언트 인증서에 포함됩니다.
Welcome(시작) 창에서 Request a certificate(인증서 요청)를 선택하고 Next(다음)를 클릭합니다.
Advanced request(고급 요청)를 선택하고 Next(다음)를 클릭합니다.
양식을 사용하여 Submit a certificate request to this CA(이 CA에 인증서 요청 제출)를 선택하고 Next(다음)를 클릭합니다.
Advanced Certificate Request(고급 인증서 요청) 양식에서 Certificate Template as User(사용자로서 인증서 템플릿)를 선택하고 Key Size(키 크기)를 1024로 지정한 다음 Submit(제출)을 클릭합니다.
Certificate Issued(발급된 인증서) 창에서 Install this certificate(이 인증서 설치)를 클릭합니다. 이렇게 하면 Windows XP 클라이언트에 클라이언트 인증서가 성공적으로 설치됩니다.
Client Authentication Certificate를 선택합니다.

이제 클라이언트 인증서가 생성됩니다.
인증서가 설치되어 있는지 확인하려면 Internet Explorer로 이동하여 도구 > 인터넷 옵션 > 내용 > 인증서를 선택합니다. Personal(개인) 탭에 인증서가 표시됩니다.

클라이언트 디바이스에서 Cisco Secure Services Client를 사용하는 EAP-TLS

다음 단계를 완료하십시오.

WLC는 기본적으로 SSID를 브로드캐스트하므로, 스캐닝된 SSID의 Create Networks(네트워크 생성) 목록에 표시됩니다. 네트워크 프로필을 생성하려면 목록에서 SSID(Enterprise)를 클릭하고 Create Network(네트워크 생성)를 클릭합니다.

WLAN 인프라가 브로드캐스트 SSID가 비활성화된 상태로 구성된 경우 SSID를 수동으로 추가해야 합니다. 이렇게 하려면 Access Devices(액세스 디바이스) 아래에서 Add(추가)를 클릭하고 적절한 SSID(예: Enterprise)를 수동으로 입력합니다. 클라이언트에 대한 활성 프로브 동작을 구성합니다. 즉, 클라이언트가 구성된 SSID에 대해 능동적으로 프로브합니다. Add Access Device(액세스 디바이스 추가) 창에 SSID를 입력한 후 Actively search for this access device(이 액세스 디바이스에 대해 능동적으로 검색)를 지정합니다.

참고: 프로필에 대해 EAP 인증 설정이 처음 구성되지 않은 경우 포트 설정은 엔터프라이즈 모드(802.1X)를 허용하지 않습니다.
Network Profile(네트워크 프로파일) 창을 실행하려면 Create Network(네트워크 생성)를 클릭합니다. 그러면 선택한(또는 구성된) SSID를 인증 메커니즘과 연결할 수 있습니다. 프로필에 대한 설명 이름을 지정합니다.

참고: 이 인증 프로필에서 여러 WLAN 보안 유형 및/또는 SSID를 연결할 수 있습니다.
인증을 켜고 EAP-TLS 방법을 확인 하십시오. 그런 다음 Configure를 클릭하여 EAP-TLS 속성을 구성합니다.
Network Configuration Summary(네트워크 컨피그레이션 요약)에서 Modify(수정)를 클릭하여 EAP/자격 증명 설정을 구성합니다.
Turn On Authentication(인증 켜기)을 지정하고 Protocol(프로토콜) 아래에서 EAP-TLS를 선택한 다음 Identity(ID)로 Username(사용자 이름)을 선택합니다.
네트워크 인증에 로그온 자격 증명을 사용하려면 Use Single Sign on Credentials를 지정합니다. EAP-TLS 매개변수를 설정하려면 Configure(구성)를 클릭합니다.
보안 EAP-TLS 컨피그레이션을 보유하려면 RADIUS 서버 인증서를 확인해야 합니다. 이렇게 하려면 Validate Server Certificate(서버 인증서 검증)를 선택합니다.
RADIUS 서버 인증서의 유효성을 검사하려면 올바른 인증서만 수락하려면 Cisco Secure Services Client 정보를 제공해야 합니다. Client(클라이언트) > Trusted Servers(신뢰할 수 있는 서버) > Manage Current User Trusted Servers(현재 사용자 신뢰할 수 있는 서버 관리)를 선택합니다.
규칙의 이름을 지정하고 서버 인증서의 이름을 확인합니다.

EAP-TLS 컨피그레이션이 완료되었습니다.
무선 네트워크 프로파일에 연결합니다. Cisco Secure Services Client에서 사용자 로그인을 요청합니다.

Cisco Secure Services Client가 서버 인증서를 받고 이를 확인합니다(규칙이 구성되고 인증 기관이 설치된 상태). 그런 다음 사용자에게 사용할 인증서를 요청합니다.
클라이언트가 인증되면 Manage Networks(네트워크 관리) 탭의 Profile(프로파일) 아래에서 SSID를 선택하고 Status(상태)를 클릭하여 연결 세부사항을 쿼리합니다.

Connection Details(연결 세부사항) 창에서는 클라이언트 디바이스, 연결 상태 및 통계, 인증 방법에 대한 정보를 제공합니다. WiFi Details(WiFi 세부사항) 탭은 RSSI, 802.11 채널 및 인증/암호화를 포함하여 802.11 연결 상태에 대한 세부사항을 제공합니다.