In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.
Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.
In diesem Dokument werden die erforderlichen Schritte zum Einrichten der EAP-TLS-Authentifizierung mit OCSP für Echtzeit-Clientzertifikatwiderrufsprüfungen beschrieben.
Cisco empfiehlt, dass Sie über Kenntnisse in folgenden Bereichen verfügen:
Die Informationen in diesem Dokument basierend auf folgenden Software- und Hardware-Versionen:
Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die möglichen Auswirkungen aller Befehle kennen.
Dieses Bild zeigt die Topologie, die für das Beispiel dieses Dokuments verwendet wird.
In EAP-TLS stellt ein Client dem Server sein digitales Zertifikat als Teil des Authentifizierungsprozesses dar. In diesem Dokument wird beschrieben, wie die ISE das Client-Zertifikat validiert, indem der Common Name (CN) des Zertifikats mit dem AD-Server abgeglichen wird und bestätigt wird, ob das Zertifikat mithilfe des OCSP (Online Certificate Status Protocol) widerrufen wurde, das den Echtzeit-Protokollstatus bereitstellt.
Der unter Windows Server 2016 konfigurierte Domänenname ist ad.rem-xxx.com. Dies wird in diesem Dokument als Beispiel verwendet.
Die in diesem Dokument erwähnten OCSP- (Online Certificate Status Protocol) und AD-Server (Active Directory) werden für die Zertifikatsvalidierung verwendet.
Dies ist die Zertifikatskette mit dem allgemeinen Namen jedes im Dokument verwendeten Zertifikats.
Dies ist die minimale Konfiguration in C1000 CLI.
aaa new-model
radius server ISE32
address ipv4 1.x.x.181
key cisco123
aaa group server radius AAASERVER
server name ISE32
aaa authentication dot1x default group AAASERVER
aaa authorization network default group AAASERVER
aaa accounting dot1x default start-stop group AAASERVER
dot1x system-auth-control
interface Vlan12
ip address 192.168.10.254 255.255.255.0
interface Vlan14
ip address 1.x.x.101 255.0.0.0
interface GigabitEthernet1/0/1
Switch port access vlan 14
Switch port mode access
interface GigabitEthernet1/0/3
switchport access vlan 12
switchport mode access
authentication host-mode multi-auth
authentication port-control auto
dot1x pae authenticator
spanning-tree portfast edge
Navigieren Sie zuAuthentication, aktivieren SieEnable IEEE 802.1X authentication, und wählen Sie Microsoft: Smart Card oder sonstiges Zertifikat aus.
Klicken Sie auf die Schaltfläche Einstellungen, aktivieren SieZertifikat auf diesem Computer verwenden, und wählen Sie die vertrauenswürdige Zertifizierungsstelle von Windows PC aus.
Navigieren Sie zuAuthentifizierung, und aktivieren SieZusätzliche Einstellungen. Wählen SieBenutzer- oder Computerauthentifizierung aus der Dropdown-Liste aus.
Navigieren Sie zu Certificates - Current User > Personal > Certificates, und überprüfen Sie das Client-Zertifikat, das für die Authentifizierung verwendet wird.
Doppelklicken Sie auf das Clientzertifikat, navigieren Sie zu Details, überprüfen Sie die Details zu Subject (Betreff), CRL Distribution Points (Zertifikatsperrlisten) und Authority Information Access (Zugriff auf Autoritätsinformationen).
Navigieren Sie zu Active Directory-Benutzer und -Computer, und klicken Sie auf Benutzer. Fügen Sie clientcertCN als Benutzernamen hinzu.
Navigieren Sie zu Windows, und klicken Sie auf Online-Responder-Verwaltung. Bestätigen Sie den Status des OCSP-Servers.
Klicken Sie auf winserver.ad.rem-xxx.com, und überprüfen Sie den Status des OCSP-Signaturzertifikats.
Navigieren Sie zu Administration > Network Devices, und klicken Sie auf Add (Hinzufügen), um ein C1000-Gerät hinzuzufügen.
Navigieren Sie zu Administration > External Identity Sources > Active Directory, klicken Sie aufRegisterkarte Connection, und fügen Sie Active Directory zur ISE hinzu.
Navigieren Sie zur Registerkarte Gruppen, und wählen Sie in der Dropdown-Liste Gruppen aus Verzeichnis auswählen aus.
Klicken Sie auf Gruppen aus der Dropdown-Liste abrufen. Checkad.rem-xxx.com/Users/Cert Publisher und klicken Sie auf OK.
Navigieren Sie zu Administration > External Identity Sources > Certificate Authentication Profile, und klicken Sie auf die Schaltfläche Add, um ein neues Zertifikatauthentifizierungsprofil hinzuzufügen.
Navigieren Sie zu Administration > Identity Source Sequences, und fügen Sie eine Identity Source Sequence hinzu.
Navigieren Sie zu Administration > Certificates > System Certificates, und bestätigen Sie, dass das Serverzertifikat von der vertrauenswürdigen Zertifizierungsstelle signiert wurde.
Navigieren Sie zu Administration > Certificates > OCSP Client Profile, und klicken Sie auf Add (Hinzufügen), um ein neues OCSP-Clientprofil hinzuzufügen.
Navigieren Sie zu Administration > Certificates > Trusted Certificates, und bestätigen Sie, dass die vertrauenswürdige Zertifizierungsstelle in die ISE importiert wurde.
Überprüfen Sie die Zertifizierungsstelle, und klicken Sie auf die Schaltfläche Bearbeiten, und geben Sie die Details der OCSP-Konfiguration für die Zertifikatsstatusvalidierung ein.
Navigieren Sie zu Policy > Results > Authentication > Allowed Protocols, bearbeiten Sie die Liste der Standard-Netzwerkzugriffsdienste, und aktivieren Sie dann Allow EAP-TLS.
Navigieren Sie zu Policy > Policy Sets, und klicken Sie auf +, um einen Policy Set hinzuzufügen.
Navigieren Sie zu Policy Sets, und klicken Sie auf EAP-TLS-Test, um eine Authentifizierungsrichtlinie hinzuzufügen.
Navigieren Sie zu Policy Sets, und klicken Sie auf EAP-TLS-Test, um eine Autorisierungsrichtlinie hinzuzufügen.
Führenshow authentication sessions interface GigabitEthernet1/0/3 details Sie den Befehl aus, um die Authentifizierungssitzung in C1000 zu bestätigen.
Switch#show authentication sessions interface GigabitEthernet1/0/3 details
Interface: GigabitEthernet1/0/3
MAC Address: b496.9114.398c
IPv6 Address: Unknown
IPv4 Address: 192.168.10.10
User-Name: clientcertCN
Status: Authorized
Domain: DATA
Oper host mode: multi-auth
Oper control dir: both
Session timeout: N/A
Restart timeout: N/A
Periodic Acct timeout: N/A
Session Uptime: 111s
Common Session ID: 01C20065000000933E4E87D9
Acct Session ID: 0x00000078
Handle: 0xB6000043
Current Policy: POLICY_Gi1/0/3
Local Policies:
Service Template: DEFAULT_LINKSEC_POLICY_SHOULD_SECURE (priority 150)
Server Policies:
Method status list:
Method State
dot1x Authc Success
Schritt 2: RADIUS-Live-Protokoll bestätigen
Navigieren Sie zu Operations > RADIUS > Live Logs (Vorgänge > RADIUS > Live-Protokolle) in der ISE-GUI, und bestätigen Sie das Live-Protokoll zur Authentifizierung.
Bestätigen Sie das detaillierte Live-Protokoll der Authentifizierung.
Fehlerbehebung
1. Debug-Protokoll
Dieses Debug-Protokoll (prrt-server.log) hilft Ihnen, das detaillierte Verhalten der Authentifizierung in der ISE zu bestätigen.
- Laufzeit-AAA
// OCSP request and response
Crypto,2024-06-05 09:43:33,064,DEBUG,0x7f9822961700,NIL-CONTEXT,Crypto::Result=0, CryptoLib.CSSL.OCSP Callback - starting OCSP request to primary,SSL.cpp:1444
Crypto,2024-06-05 09:43:33,064,DEBUG,0x7f9822961700,NIL-CONTEXT,Crypto::Result=0, Crypto.OcspClient::performRequest - Start processing OCSP request, URL=http://winserver.ad.rem-xxx.com/ocsp, use nonce=1,OcspClient.cpp:144
Crypto,2024-06-05 09:43:33,104,DEBUG,0x7f9822961700,NIL-CONTEXT,Crypto::Result=0, Crypto.OcspClient::performRequest - Received OCSP server response,OcspClient.cpp:411
Crypto,2024-06-05 09:43:33,104,DEBUG,0x7f9822961700,NIL-CONTEXT,Crypto::Result=0, Crypto.OcspClient::performRequest - Nonce verification passed,OcspClient.cpp:426
Crypto,2024-06-05 09:43:33,104,DEBUG,0x7f9822961700,NIL-CONTEXT,Crypto::Result=0, Crypto.OcspClient::performRequest - OCSP responser name 8CD12ECAB78607FA07194126EDA82BA7789CE00C,OcspClient.cpp:462
Crypto,2024-06-05 09:43:33,104,DEBUG,0x7f9822961700,NIL-CONTEXT,Crypto::Result=0, Crypto.OcspClient::performRequest - Verify response signature and KU/EKU attributes of response signer certificate,OcspClient.cpp:472
Crypto,2024-06-05 09:43:33,104,DEBUG,0x7f9822961700,NIL-CONTEXT,Crypto::Result=0, Crypto.OcspClient::performRequest - Response signature verification passed,OcspClient.cpp:482
Crypto,2024-06-05 09:43:33,104,DEBUG,0x7f9822961700,NIL-CONTEXT,Crypto::Result=0, Crypto.OcspClient::performRequest - Response contains 1 single responses for certificates,OcspClient.cpp:490
Crypto,2024-06-05 09:43:33,104,DEBUG,0x7f9822961700,NIL-CONTEXT,Crypto::Result=0, Crypto.OcspClient::performRequest - User certificate status: Good,OcspClient.cpp:598
Crypto,2024-06-05 09:43:33,104,DEBUG,0x7f9822961700,NIL-CONTEXT,Crypto::Result=0, CryptoLib.CSSL.OCSP Callback - perform OCSP request succeeded, status: Good,SSL.cpp:1684
// Radius session
Radius,2024-06-05 09:43:33,120,DEBUG,0x7f982d7b9700,cntx=0000017387,sesn=ise32-01/506864164/73,CPMSessionID=01C20065000000933E4E87D9,CallingStationID=B4-96-91-14-39-8C,RADIUS PACKET:: Code=1(AccessRequest) Identifier=238 Length=324
[1] User-Name - value: [clientcertCN]
[4] NAS-IP-Address - value: [1.x.x.101]
[5] NAS-Port - value: [50103]
[24] State - value: [37CPMSessionID=01C20065000000933E4E87D9;31SessionID=ise32-01/506864164/73;]
[87] NAS-Port-Id - value: [GigabitEthernet1/0/3]
Radius,2024-06-05 09:43:33,270,DEBUG,0x7f982d9ba700,cntx=0000017387,sesn=ise32-01/506864164/73,CPMSessionID=01C20065000000933E4E87D9,user=clientcertCN,CallingStationID=B4-96-91-14-39-8C,RADIUS PACKET:: Code=2(AccessAccept) Identifier=238 Length=294
[1] User-Name - value: [clientcertCN]
Radius,2024-06-05 09:43:33,342,DEBUG,0x7f982d1b6700,cntx=0000017401,sesn=ise32-01/506864164/74,CPMSessionID=01C20065000000933E4E87D9,CallingStationID=B4-96-91-14-39-8C,RADIUS PACKET:: Code=4(AccountingRequest) Identifier=10 Length=286
[1] User-Name - value: [clientcertCN]
[4] NAS-IP-Address - value: [1.x.x.101]
[5] NAS-Port - value: [50103]
[40] Acct-Status-Type - value: [Interim-Update]
[87] NAS-Port-Id - value: [GigabitEthernet1/0/3]
[26] cisco-av-pair - value: [audit-session-id=01C20065000000933E4E87D9]
[26] cisco-av-pair - value: [method=dot1x] ,RADIUSHandler.cpp:2455
Radius,2024-06-05 09:43:33,350,DEBUG,0x7f982e1be700,cntx=0000017401,sesn=ise32-01/506864164/74,CPMSessionID=01C20065000000933E4E87D9,user=clientcertCN,CallingStationID=B4-96-91-14-39-8C,RADIUS PACKET:: Code=5(AccountingResponse) Identifier=10 Length=20,RADIUSHandler.cpp:2455
2. TCP-Dump
Im TCP-Dump in der ISE erwarten Sie Informationen zur OCSP-Antwort und zur Radius-Sitzung.
OCSP-Anfrage und -Antwort:
Radius-Sitzung:
Zugehörige Informationen
Überarbeitung | Veröffentlichungsdatum | Kommentare |
---|---|---|
1.0 |
19-Jul-2024 |
Erstveröffentlichung |