In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.
Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.
In diesem Dokument wird beschrieben, wie Sie ein Wireless Local Area Network (WLAN) mit 802.1x-Sicherheit in einem Mobility Express-Controller einrichten. In diesem Dokument wird auch speziell die Verwendung von Extensible Authentication Protocol (EAP) - Transport Layer Security (TLS) erläutert.
Cisco empfiehlt, über Kenntnisse in folgenden Bereichen zu verfügen:
Die Informationen in diesem Dokument basieren auf den folgenden Software- und Hardwareversionen:
Die Informationen in diesem Dokument wurden von den Geräten in einer bestimmten Laborumgebung erstellt. Alle in diesem Dokument verwendeten Geräte haben mit einer leeren (Standard-)Konfiguration begonnen. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die potenziellen Auswirkungen eines Befehls verstehen.
TLS server_hello handshake message certificate server_key_exchange certificate request server_hello_done.
Certificate ¬ Server can validate to verify that it is trusted. client_key_exchange certificate_verify ¬ Verifies the server is trusted change_cipher_spec TLS finished
Schritt 1: Der erste Schritt besteht in der Erstellung eines WLAN auf Mobility Express. Um ein WLAN zu erstellen, navigieren Sie zu WLAN > Add new WLAN wie im Bild gezeigt.
Schritt 2: Ein neues Popup-Fenster wird angezeigt, wenn Sie auf Neues WLAN hinzufügen klicken. Um einen Profilnamen zu erstellen, navigieren Sie zu Neues WLAN hinzufügen > Allgemein, wie im Bild gezeigt.
Schritt 3: Konfigurieren Sie den Authentifizierungstyp als WPA Enterprise für 802.1x, und konfigurieren Sie RADIUS-Server unter Neues WLAN hinzufügen > WLAN-Sicherheit, wie im Bild gezeigt.
Schritt 4: Klicken Sie auf RADIUS Authentication Server hinzufügen, und geben Sie die IP-Adresse des RADIUS-Servers und des Shared Secret an, die genau mit den auf der ISE konfigurierten Daten übereinstimmen muss, und klicken Sie dann wie im Bild gezeigt auf Apply.
Um die Richtlinie zu erstellen, müssen Sie die zulässige Protokollliste erstellen, die in der Richtlinie verwendet werden soll. Da eine 802.1x-Richtlinie geschrieben wird, geben Sie den zulässigen EAP-Typ basierend auf der Konfiguration der Richtlinie an.
Wenn Sie die Standardeinstellung verwenden, lassen Sie die meisten EAP-Typen für die Authentifizierung zu, die möglicherweise nicht empfohlen werden, wenn Sie den Zugriff auf einen bestimmten EAP-Typ sperren müssen.
Schritt 1: Navigieren Sie zu Richtlinien > Richtlinienelemente > Ergebnisse > Authentifizierung > Zulässige Protokolle, und klicken Sie auf Hinzufügen, wie im Bild gezeigt.
Schritt 2: In dieser Liste der zulässigen Protokolle können Sie den Namen für die Liste eingeben. In diesem Fall ist das Kontrollkästchen Zulassen von EAP-TLS aktiviert, und andere Felder sind wie im Bild gezeigt deaktiviert.
Schritt 1: Öffnen Sie die ISE-Konsole, und navigieren Sie zu Administration > Network Resources > Network Devices > Add (Verwaltung > Netzwerkressourcen > Netzwerkgeräte > Hinzufügen, wie im Bild gezeigt.
Schritt 2: Geben Sie die im Bild angezeigten Informationen ein.
Schritt 1: Navigieren Sie zu Administration > System > Certificates > Certificate Management > Trusted Certificates.
Klicken Sie auf Importieren, um ein Zertifikat in die ISE zu importieren. Wenn Sie einen WLC hinzufügen und einen Benutzer auf der ISE erstellen, müssen Sie den wichtigsten Teil von EAP-TLS ausführen, der darin besteht, dem Zertifikat auf der ISE zu vertrauen. Dafür müssen Sie CSR generieren.
Schritt 2: Navigieren Sie zu Administration > Certificates > Certificate Signing Requests > Generate Certificate Signing Requests (CSR) (Verwaltung > Certificates > Certificate Signing Requests > Generate Certificate Signing Requests (CSR) wie im Bild gezeigt.
Schritt 3: Um eine CSR-Anfrage zu erstellen, navigieren Sie zu Usage (Nutzung), und die Zertifikate werden für Dropdown-Optionen verwendet, um die EAP-Authentifizierung wie im Bild gezeigt auszuwählen.
Schritt 4: Der auf der ISE generierte CSR kann angezeigt werden. Klicken Sie auf Ansicht, wie im Bild gezeigt.
Schritt 5: Sobald der CSR erstellt wurde, suchen Sie nach dem CA-Server, und klicken Sie auf Zertifikat anfordern, wie im Bild gezeigt:
Schritt 6: Wenn Sie ein Zertifikat anfordern, erhalten Sie Optionen für Benutzerzertifikat und erweiterte Zertifikatsanforderung, und klicken Sie auf Erweiterte Zertifikatsanforderung wie im Bild gezeigt.
Schritt 7: Fügen Sie den in Base-64 kodierten Zertifikatsanforderung generierten CSR ein. Wählen Sie aus der Dropdown-Option Zertifikatsvorlage: die Option Webserver aus, und klicken Sie auf Senden, wie im Bild gezeigt.
Schritt 8: Wenn Sie auf Senden klicken, können Sie den Zertifikatstyp auswählen, Base-64-verschlüsselt auswählen und auf Zertifikatskette herunterladen klicken, wie im Bild gezeigt.
Schritt 9: Der Zertifikatsdownload ist für den ISE-Server abgeschlossen. Sie können das Zertifikat extrahieren. Das Zertifikat enthält zwei Zertifikate, ein Stammzertifikat und ein anderes Zwischenzertifikat. Das Stammzertifikat kann unter Administration > Certificates > Trusted Certificates > Import importiert werden, wie in den Bildern gezeigt.
Schritt 10: Wenn Sie auf Senden klicken, wird das Zertifikat der Liste der vertrauenswürdigen Zertifikate hinzugefügt. Außerdem wird das Zwischenzertifikat benötigt, um wie im Bild gezeigt an CSR zu binden.
Schritt 11: Wenn Sie auf Bind Certificate klicken, können Sie die auf Ihrem Desktop gespeicherte Zertifikatsdatei auswählen. Navigieren Sie zum Zwischenzertifikat, und klicken Sie auf Senden, wie im Bild gezeigt.
Schritt 12: Um das Zertifikat anzuzeigen, navigieren Sie zu Administration > Certificates > System Certificates (Verwaltung > Zertifikate > Systemzertifikate), wie im Bild gezeigt.
Schritt 1: Um einen Wireless-Benutzer über EAP-TLS zu authentifizieren, müssen Sie ein Client-Zertifikat generieren. Schließen Sie Ihren Windows-Computer an das Netzwerk an, damit Sie auf den Server zugreifen können. Öffnen Sie einen Webbrowser, und geben Sie folgende Adresse ein: https://sever ip addr/certsrv:
Schritt 2: Beachten Sie, dass die CA die gleiche sein muss, mit der das Zertifikat für die ISE heruntergeladen wurde.
Dazu müssen Sie nach demselben CA-Server suchen, den Sie zum Herunterladen des Zertifikats für den Server verwendet haben. Klicken Sie auf derselben CA auf Zertifikat anfordern, wie zuvor. Diesmal müssen Sie jedoch Benutzer als Zertifikatsvorlage auswählen, wie im Bild gezeigt.
Schritt 3: Klicken Sie anschließend auf Zertifikatskette herunterladen, wie zuvor für den Server ausgeführt.
Wenn Sie die Zertifikate erhalten haben, führen Sie die folgenden Schritte aus, um das Zertifikat auf dem Windows-Laptop zu importieren.
Schritt 4: Um das Zertifikat zu importieren, müssen Sie über die Microsoft Management Console (MMC) darauf zugreifen.
Nachdem der Import des Zertifikats abgeschlossen ist, müssen Sie den Wireless-Client (Windows-Desktop in diesem Beispiel) für EAP-TLS konfigurieren.
Schritt 1: Ändern Sie das zuvor für PEAP (Protected Extensible Authentication Protocol) erstellte Wireless-Profil, um stattdessen EAP-TLS zu verwenden. Klicken Sie auf EAP Wireless Profile.
Schritt 2: Wählen Sie Microsoft: Smartcard oder anderes Zertifikat und klicken Sie auf OK, wie im Bild gezeigt.
Schritt 3: Klicken Sie auf Einstellungen, und wählen Sie das Stammzertifikat aus, das vom CA-Server ausgegeben wurde, wie im Bild gezeigt.
Schritt 4: Klicken Sie auf Erweiterte Einstellungen, und wählen Sie Benutzer- oder Computerauthentifizierung aus der Registerkarte 802.1x-Einstellungen aus, wie im Bild gezeigt.
Schritt 5: Versuchen Sie jetzt erneut, eine Verbindung zum Wireless-Netzwerk herzustellen, wählen Sie das richtige Profil (in diesem Beispiel EAP) aus, und stellen Sie eine Verbindung her. Sie sind mit dem Wireless-Netzwerk verbunden, wie im Bild gezeigt.
In diesem Abschnitt überprüfen Sie, ob Ihre Konfiguration ordnungsgemäß funktioniert.
Schritt 1: Beim Client-EAP-Typ muss es sich um EAP-TLS handeln. Dies bedeutet, dass der Client die Authentifizierung mithilfe von EAP-TLS abgeschlossen hat, IP-Adresse erhalten hat und bereit ist, den Datenverkehr wie in den Bildern gezeigt zu übergeben.
Schritt 2: Nachfolgend finden Sie die Client-Details aus der CLI des Controllers (Ausgabe geklickt):
(Cisco Controller) >show client detail 34:02:86:96:2f:b7 Client MAC Address............................... 34:02:86:96:2f:b7 Client Username ................................. Administrator AP MAC Address................................... c8:f9:f9:83:47:b0 AP Name.......................................... AP442b.03a9.7f72 AP radio slot Id................................. 1 Client State..................................... Associated Client User Group................................ Administrator Client NAC OOB State............................. Access Wireless LAN Id.................................. 6 Wireless LAN Network Name (SSID)................. ME_EAP Wireless LAN Profile Name........................ ME_EAP Hotspot (802.11u)................................ Not Supported BSSID............................................ c8:f9:f9:83:47:ba Connected For ................................... 18 secs Channel.......................................... 56 IP Address....................................... 10.127.209.55 Gateway Address.................................. 10.127.209.49 Netmask.......................................... 255.255.255.240 IPv6 Address..................................... fe80::2818:15a4:65f9:842 --More-- or (q)uit Security Policy Completed........................ Yes Policy Manager State............................. RUN Policy Type...................................... WPA2 Authentication Key Management.................... 802.1x Encryption Cipher................................ CCMP-128 (AES) Protected Management Frame ...................... No Management Frame Protection...................... No EAP Type......................................... EAP-TLS
Schritt 3: Navigieren Sie auf der ISE zu Kontext-Transparenz > Endpunkte > Attribute, wie in den Bildern gezeigt.
Für diese Konfiguration sind derzeit keine spezifischen Informationen zur Fehlerbehebung verfügbar.