Comprendre et configurer EAP-TLS avec un WLC et ISE

Mis à jour:6 novembre 2023
ID du document:213543

Langage exempt de préjugés

Dans le cadre de la documentation associée à ce produit, nous nous efforçons d’utiliser un langage exempt de préjugés. Dans cet ensemble de documents, le langage exempt de discrimination renvoie à une langue qui exclut la discrimination en fonction de l’âge, des handicaps, du genre, de l’appartenance raciale de l’identité ethnique, de l’orientation sexuelle, de la situation socio-économique et de l’intersectionnalité. Des exceptions peuvent s’appliquer dans les documents si le langage est codé en dur dans les interfaces utilisateurs du produit logiciel, si le langage utilisé est basé sur la documentation RFP ou si le langage utilisé provient d’un produit tiers référencé. Découvrez comment Cisco utilise le langage inclusif.

À propos de cette traduction

Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.

    Introduction

    Ce document décrit comment configurer un réseau local sans fil (WLAN) avec 802.1X et le protocole d'authentification extensible EAP-TLS.

      

    Conditions préalables

    Exigences

    Cisco vous recommande de prendre connaissance des rubriques suivantes :

    • Processus d'authentification 802.1X
    • Certificats

    Composants utilisés

    Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :

    • WLC 3504 version 8.10
    • Identity Services Engine (ISE) version 2.7

    The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Si votre réseau est en ligne, assurez-vous de bien comprendre l’incidence possible des commandes.

    Informations générales

    Flux EAP-TLS

    Topology - EAP-TLS Flow

    Étapes du flux EAP-TLS

    1. Le client sans fil est associé au point d'accès (AP). Le point d’accès ne permet pas au client d’envoyer des données à ce stade et envoie une demande d’authentification.Le demandeur répond alors avec une identité de réponse EAP. Le WLC communique ensuite les informations d'ID d'utilisateur au serveur d'authentification. Le serveur RADIUS répond au client avec un paquet de démarrage EAP-TLS. La conversation EAP-TLS commence à ce stade.
    2. L'homologue renvoie une réponse EAP au serveur d'authentification qui contient un message de connexion client_hello, un chiffre défini sur NULL
    3. Le serveur d'authentification répond avec un paquet de demande d'accès qui contient :
    TLS server_hello
handshake message
certificate
server_key_exchange
certificate request
server_hello_done.

    4. Le client répond par un message EAP-Response contenant :

    Certificate ¬ Server can validate to verify that it is trusted.

client_key_exchange

certificate_verify ¬ Verifies the server is trusted

change_cipher_spec

TLS finished

    5. Une fois que le client s'est authentifié avec succès, le serveur RADIUS répond par une demande d'accès, qui contient le message change_cipher_spec et handshake finished.

    6. Lorsqu’il reçoit ce message, le client vérifie le hachage afin d’authentifier le serveur RADIUS.

    7. Une nouvelle clé de chiffrement est dérivée dynamiquement du secret lors de la connexion TLS.

    8/9. EAP-Success est finalement envoyé du serveur à l'authentificateur qui est ensuite transmis au demandeur.

    À ce stade, le client sans fil compatible EAP-TLS peut accéder au réseau sans fil.

    Configurer

    Contrôleur LAN sans fil Cisco

    Étape 1. La première étape consiste à configurer le serveur RADIUS sur le WLC Cisco. Afin d'ajouter un serveur RADIUS, naviguez vers Security > RADIUS > Authentication. Cliquez sur New comme indiqué dans l'image.

    Wireless LAN Controller - Configure RADIUS Server

    Étape 2. Ici, vous devez entrer l'adresse IP et le secret partagé <mot de passe> qui est utilisé afin de valider le WLC sur l'ISE. Cliquez sur Apply afin de continuer comme indiqué dans l'image.

    Wireless LAN Controller - Enter Shared IP Address and Shared Password

    Étape 3. Créez un WLAN pour l'authentification RADIUS.

    Vous pouvez maintenant créer un nouveau WLAN et le configurer pour qu'il utilise le mode WPA entreprise, afin qu'il puisse utiliser RADIUS pour l'authentification.

    Étape 4. Sélectionnez WLANs dans le menu principal, choisissez Create New et cliquez sur Go comme indiqué dans l'image.

    Wireless LAN Controller - Select WLANs from Main Menu and Create New

    Étape 5. Nommez le nouveau WLAN EAP-TLS. Cliquez sur Apply afin de continuer comme indiqué dans l'image.

    Wireless LAN Controller - Name the New WLAN EAP-TLS

    Étape 6. Cliquez sur General et vérifiez que l'état est Enabled. Les stratégies de sécurité par défaut sont l'authentification 802.1X et WPA2, comme illustré dans l'image.

    Wireless LAN Controller - Ensure the Status is Enabled

    Étape 7. À présent, accédez à Security> AAA Servers tab, sélectionnez le serveur RADIUS que vous venez de configurer comme indiqué dans l'image.

    Wireless LAN Controller - Select the RADIUS Server You Configured

    note-icon

    Remarque : il est conseillé de vérifier que vous pouvez atteindre le serveur RADIUS à partir du WLC avant de continuer. RADIUS utilise le port UDP 1812 (pour l'authentification). Vous devez donc vous assurer que ce trafic n'est bloqué nulle part sur le réseau.

    ISE avec Cisco WLC

    Paramètres EAP-TLS

      

    Pour créer la stratégie, vous devez créer la liste de protocoles autorisés à utiliser dans notre stratégie. Étant donné qu'une stratégie dot1x est écrite, spécifiez le type EAP autorisé en fonction de la configuration de la stratégie.

    Si vous utilisez la valeur par défaut, vous autorisez la plupart des types EAP pour l'authentification qui ne sont pas préférés si vous devez verrouiller l'accès à un type EAP spécifique.

    Étape 1. Accédez à Policy > Policy Elements > Results > Authentication > Allowed Protocols et cliquez sur Add comme indiqué dans l'image.

    Define Allowed Protocols Lists on ISE

      

    Étape 2. Dans cette liste de protocoles autorisés, vous pouvez entrer le nom de la liste. Dans ce cas, la case Allow EAP-TLS est cochée et les autres cases sont décochées comme illustré dans l'image. 

    Enter the Name for the List

    Paramètres WLC sur ISE

    Étape 1. Ouvrez la console ISE et accédez à Administration > Network Resources > Network Devices > Add comme indiqué dans l'image.

    ISE Network Devices Page

    Étape 2. Entrez les valeurs indiquées dans l'image.

    ISE - Shared Secret Password

      

    Créer un nouvel utilisateur sur ISE

    Étape 1. Allez à Administration > Identity Management > Identities > Users > Add (gestion > gestion des identités > identités > utilisateurs > ajouter) en suivant les indications de l’image.

    Network Access Users

    Étape 2. Saisissez les informations comme indiqué dans l'image.

    Create a New Network User

    Certificat de confiance sur ISE

    Étape 1. Accédez à Administration > System > Certificates > Certificate Management > Trusted certificates.

    Cliquez sur Import afin d'importer un certificat vers ISE. Une fois que vous avez ajouté un WLC et créé un utilisateur sur ISE, vous devez faire la partie la plus importante de EAP-TLS qui est de faire confiance au certificat sur ISE. Pour cela, nous devons générer de la RSE.

    Étape 2. Accédez à Administration > Certificates > Certificate Signing Requests > Generate Certificate Signing Requests (CSR) comme indiqué dans l'image.

    Enter Information

    Étape 3. Afin de générer CSR, naviguez vers Usage et à partir de Certificate(s) are used for drop down options sélectionnez EAP Authentication comme indiqué dans l'image.

    Certificate Signing Requests

    Étape 4. Le CSR généré sur ISE peut être consulté. Cliquez sur View comme indiqué dans l'image.

    Generated CSR on ISE

    Étape 5. Une fois que CSR est généré, recherchez CA server et cliquez sur Request a certificate comme indiqué dans l'image :

    Windows Server CA Homepage

    Étape 6. Une fois que vous avez demandé un certificat, vous obtenez les options User Certificate et advanced certificate request, cliquez sur advanced certificate request comme indiqué dans l'image.

    Submit a CSR Request in Windows Server

    Étape 7. Collez le CSR généré dans la demande de certificat codée en Base-64. Dans la liste déroulante Modèle de certificat :, choisissez Serveur Web et cliquez sur Envoyer, comme illustré dans l'image.

    Chose the CSR Details on Windows Server

    Étape 8. Une fois que vous cliquez sur Submit, vous obtenez l'option pour sélectionner le type de certificat, sélectionnez Base-64 encoded et cliquez sur Download certificate chain comme indiqué dans l'image.

    Windows Server Listing Certificates Issued

    Étape 9. Le téléchargement du certificat est terminé pour le serveur ISE. Vous pouvez extraire le certificat, qui contient deux certificats, un certificat racine et un certificat intermédiaire. Le certificat racine peut être importé sous Administration > Certificates > Trusted certificates > Import comme indiqué dans les images.

    Import Trusted Certificates on ISE

    Import a New Certificate on ISE

    Étape 10. Une fois que vous avez cliqué sur Submit, le certificat est ajouté à la liste des certificats de confiance. En outre, le certificat intermédiaire est nécessaire pour établir une liaison avec CSR, comme illustré dans l'image.

    Bind Certificate on ISE

    Étape 11. Une fois que vous avez cliqué sur Bind certificate, il y a une option pour choisir le fichier de certificat enregistré dans votre bureau. Accédez au certificat intermédiaire et cliquez sur Submit comme indiqué dans l'image.

    Bind CA Signed Certificate on ISE

    Étape 12. Pour afficher le certificat, accédez à Administration > Certificates > System Certificates comme indiqué dans l'image.

    System Certificates on ISE

    Client pour EAP-TLS

    Télécharger le certificat utilisateur sur l'ordinateur client (Bureau Windows)

    Étape 1. Pour authentifier un utilisateur sans fil via EAP-TLS, vous devez générer un certificat client. Connectez votre ordinateur Windows au réseau afin de pouvoir accéder au serveur. Ouvrez un navigateur Web et entrez l'adresse suivante : https://sever ip addr/certsrv—

    Étape 2. Notez que l'autorité de certification doit être identique à celle avec laquelle le certificat a été téléchargé pour ISE.

    Pour cela, vous devez rechercher le même serveur AC que celui que vous avez utilisé pour télécharger le certificat pour le serveur. Sur la même autorité de certification, cliquez sur Demander un certificat comme précédemment, mais cette fois, vous devez sélectionner User comme modèle de certificat, comme illustré dans l'image.

    Submit the CSR

    Étape 3. Cliquez ensuite sur télécharger la chaîne de certificats comme cela a été fait précédemment pour le serveur.

    Une fois que vous avez obtenu les certificats, utilisez ces étapes afin d'importer le certificat sur l'ordinateur portable Windows :

    Étape 4. Pour importer le certificat, vous devez y accéder à partir de la console MMC (Microsoft Management Console).

    1. Afin d'ouvrir la MMC naviguez à Démarrer > Exécuter > MMC.
    2. Accédez à Fichier > Ajouter/Supprimer un composant logiciel enfichable
    3. Double-cliquez sur Certificats.
    4. Sélectionnez Compte d'ordinateur.
    5. Sélectionnez Ordinateur local > Terminer
    6. Cliquez sur OK afin de quitter la fenêtre du composant logiciel enfichable.
    7. Cliquez sur [+] en regard de Certificats > Personnel > Certificats.
    8. Cliquez avec le bouton droit sur Certificates et sélectionnez All Tasks> Import.
    9. Cliquez sur Next (Suivant).
    10. Cliquez sur Browse.
    11. Sélectionnez le .cer, .crt, ou .pfx que vous souhaitez importer. 
    12. Cliquez sur Open.
    13. Cliquez sur Next (Suivant).
    14. Sélectionnez Sélectionner automatiquement le magasin de certificats en fonction du type de certificat.
    15. Cliquez sur Terminer et sur OK

    Une fois l'importation du certificat terminée, vous devez configurer votre client sans fil (bureau Windows, dans cet exemple) pour EAP-TLS.

    Profil sans fil pour EAP-TLS

    Étape 1. Modifiez le profil sans fil qui a été créé précédemment pour le protocole PEAP (Protected Extensible Authentication Protocol) afin d'utiliser le EAP-TLS à la place. Cliquez sur Profil sans fil EAP.

      

    Étape 2. Sélectionnez Microsoft : Smart Card ou un autre certificat et cliquez sur OK affiché dans l'image.

    Chose EAP-TLS Type of Authentication

    Étape 3. Cliquez sur settings et sélectionnez le certificat racine émis à partir du serveur AC comme indiqué dans l'image.

    Enable Trusted CAs

    Étape 4. Cliquez sur Advanced Settings et sélectionnez User or computer authentication dans l'onglet 802.1x settings comme indiqué dans l'image.

    Choose User or Computer Authentication

    Étape 5. À présent, essayez de vous reconnecter au réseau sans fil, sélectionnez le profil correct (EAP, dans cet exemple) et Connect. Vous êtes connecté au réseau sans fil comme illustré dans l'image.

    List of SSIDs

    Vérifier

    Utilisez cette section pour confirmer que votre configuration fonctionne correctement.

    Étape 1. L'état du gestionnaire de stratégies client doit être RUN. Cela signifie que le client a terminé l'authentification, obtenu l'adresse IP et est prêt à transmettre le trafic affiché dans l'image.

    Client Details : Policy Manager

    Étape 2. Vérifiez également la méthode EAP correcte sur le WLC dans la page de détails du client, comme indiqué dans l'image.

    EAP Type Mentioned in the Client Details

    Étape 3. Voici les détails du client de la CLI du contrôleur (extrait de la sortie) :

    (Cisco Controller-Standby) >show client detail 34:02:86:96:2f:b7
Client MAC Address............................... 34:02:86:96:2f:b7
Client Username ................................. Administrator
AP MAC Address................................... 00:d7:8f:52:db:a0
AP Name.......................................... Alpha2802_3rdfloor 
AP radio slot Id................................. 0 
Client State..................................... Associated 
Wireless LAN Id.................................. 5 
Wireless LAN Network Name (SSID)................. EAP
Wireless LAN Profile Name........................ EAP
Hotspot (802.11u)................................ Not Supported
BSSID............................................ 00:d7:8f:52:db:a4 
Connected For ................................... 48 secs
Channel.......................................... 1 
IP Address....................................... 10.106.32.239
Gateway Address.................................. 10.106.32.1
Netmask.......................................... 255.255.255.0
Policy Manager State............................. RUN
Policy Type...................................... WPA2
Authentication Key Management.................... 802.1x
Encryption Cipher................................ CCMP-128 (AES)
Protected Management Frame ...................... No
Management Frame Protection...................... No
EAP Type......................................... EAP-TLS

    Étape 4. Sur ISE, accédez à Context Visbility > End Points > Attributes comme indiqué dans les images.

    Rule MatchedCertificate Issuer Details

    Identity Store is Displayed in the Live Logs Details

    Dépannage

    Aucune information spécifique n'est actuellement disponible pour dépanner cette configuration.

      

    Historique de révision

    Révision Date de publication Commentaires
    3.0
    06-Nov-2023
    Mise à jour de traduction automatique, description de l'article, texte de remplacement et mise en forme.
    1.0
    01-Aug-2018
    Première publication
    TAC Authored

    Contribution d’experts de Cisco

    • Bharti Khatri
      Ingénieur TAC Cisco

    Ce document vous est-il utile?

    FeedbackCommentaires

    Contacter Cisco

    Ce document s’applique à ces produits