Introduction
Les appareils mobiles sont de plus en plus puissants et populaires auprès des consommateurs. Des millions de ces appareils sont vendus aux consommateurs grâce au Wi-Fi haut débit, ce qui permet aux utilisateurs de communiquer et de collaborer. Les consommateurs sont désormais habitués à l'amélioration de la productivité apportée par ces appareils mobiles dans leur vie et cherchent à apporter leur expérience personnelle dans l'espace de travail. Cela crée les besoins fonctionnels d'une solution BYOD (Bring Your Own Device) sur le lieu de travail.
Ce document présente le déploiement de la solution BYOD dans les filiales. Un employé se connecte à un identifiant SSID (Service Set Identifier) d'entreprise avec son nouvel iPad et est redirigé vers un portail d'auto-inscription. Cisco Identity Services Engine (ISE) authentifie l'utilisateur par rapport à Active Directory (AD) de l'entreprise et télécharge un certificat avec une adresse MAC et un nom d'utilisateur iPad intégrés sur l'iPad, ainsi qu'un profil demandeur qui impose l'utilisation du protocole EAP-TLS (Extensible Authentication Protocol-Transport Layer Security) comme méthode de connectivité dot1x. En fonction de la stratégie d'autorisation d'ISE, l'utilisateur peut alors se connecter à l'aide de dot1x et accéder aux ressources appropriées.
Les fonctionnalités ISE des versions du logiciel du contrôleur LAN sans fil Cisco antérieures à la version 7.2.10.0 ne prenaient pas en charge les clients de commutation locaux qui s'associaient via des points d'accès FlexConnect. La version 7.2.10.0 prend en charge ces fonctionnalités ISE pour les points d'accès FlexConnect pour la commutation locale et les clients authentifiés de manière centralisée. En outre, la version 7.2.10.0 intégrée à ISE 1.1.1 fournit (sans s'y limiter) les fonctionnalités suivantes de la solution BYOD pour les réseaux sans fil :
- Profilage et posture des périphériques
- Enregistrement des périphériques et approvisionnement du demandeur
- Intégration d'appareils personnels (mise en service d'appareils iOS ou Android)
Remarque : bien que pris en charge, les autres périphériques, tels que les ordinateurs portables et les stations de travail sans fil PC ou Mac, ne sont pas inclus dans ce guide.
Conditions préalables
Exigences
Aucune exigence spécifique n'est associée à ce document.
Composants utilisés
Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :
- Commutateurs Cisco Catalyst
- Contrôleurs LAN sans fil (WLAN) Cisco
- Logiciel Cisco WLAN Controller (WLC) versions 7.2.110.0 et ultérieures
- AP 802.11n en mode FlexConnect
- Logiciel Cisco ISE versions 1.1.1 et ultérieures
- Windows 2008 AD avec autorité de certification (CA)
- Serveur DHCP
- Serveur DNS (Domain Name System)
- Protocole NTP (Network Time Protocol)
- Ordinateur portable client sans fil, smartphone et tablettes (Apple iOS, Android, Windows et Mac)
Remarque : reportez-vous aux Notes de version relatives aux contrôleurs LAN sans fil Cisco et aux points d'accès légers Cisco pour la version 7.2.110.0 pour obtenir des informations importantes sur cette version du logiciel. Connectez-vous au site Cisco.com pour obtenir les dernières notes de version avant de charger et de tester le logiciel.
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.
Topologie
Une configuration minimale du réseau, comme illustré dans ce schéma, est nécessaire pour implémenter et tester correctement ces fonctionnalités :
![byod-flexconnect-dg-001.gif byod-flexconnect-dg-001.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-001.gif)
Pour cette simulation, vous avez besoin d'un réseau avec un point d'accès FlexConnect, un site local/distant avec DHCP local, DNS, le WLC et ISE. Le point d'accès FlexConnect est connecté à une agrégation afin de tester la commutation locale avec plusieurs VLAN.
Enregistrement des périphériques et approvisionnement des demandeurs
Un périphérique doit être enregistré pour que son demandeur natif puisse être configuré pour l'authentification dot1x. En fonction de la stratégie d'authentification appropriée, l'utilisateur est redirigé vers la page Invité et authentifié par les informations d'identification de l'employé. L'utilisateur voit la page d'enregistrement du périphérique, qui lui demande des informations sur le périphérique. Le processus de mise en service des périphériques commence alors. Si le système d'exploitation n'est pas pris en charge pour le provisionnement, l'utilisateur est redirigé vers le portail d'enregistrement des ressources afin de marquer ce périphérique pour l'accès MAC Authentication Bypass (MAB). Si le système d'exploitation est pris en charge, le processus d'inscription démarre et configure le demandeur natif du périphérique pour l'authentification dot1x.
Portail d'enregistrement des actifs
Le portail Asset Registration Portal est l'élément de la plate-forme ISE qui permet aux employés d'initier l'intégration des terminaux via un processus d'authentification et d'enregistrement.
Les administrateurs peuvent supprimer des ressources de la page Identités des points de terminaison. Chaque employé peut modifier, supprimer et mettre sur liste noire les ressources qu'il a enregistrées. Les points d'extrémité sur liste noire sont affectés à un groupe d'identité sur liste noire et une stratégie d'autorisation est créée afin d'empêcher l'accès au réseau par les points d'extrémité sur liste noire.
Portail d'auto-inscription
Dans le flux Central Web Authentication (CWA), les employés sont redirigés vers un portail qui leur permet d'entrer leurs informations d'identification, de s'authentifier et de saisir les détails de l'actif particulier qu'ils souhaitent enregistrer. Ce portail, appelé portail d'approvisionnement en libre-service, est similaire au portail d'enregistrement des périphériques. Il permet aux employés d'entrer l'adresse MAC ainsi qu'une description significative du terminal.
Authentification et provisionnement
Une fois que les employés ont sélectionné le portail d'auto-inscription, ils sont invités à fournir un ensemble d'informations d'identification valides afin de passer à la phase de mise en service. Une fois l'authentification réussie, le point de terminaison peut être mis en service dans la base de données des points de terminaison et un certificat est généré pour le point de terminaison. Un lien sur la page permet à l'employé de télécharger l'Assistant Pilote de demandeur (SPW).
Remarque : reportez-vous à l'article Cisco FlexConnect Feature Matrix afin d'afficher la dernière matrice de fonctionnalités FlexConnect pour le BYOD.
Provisionnement pour iOS (iPhone/iPad/iPod)
Pour la configuration EAP-TLS, ISE suit le processus d'inscription Apple Over-the-Air (OTA) :
- Une fois l'authentification réussie, le moteur d'évaluation évalue les stratégies d'approvisionnement du client, ce qui génère un profil de demandeur.
- Si le profil demandeur est défini pour le paramètre EAP-TLS, le processus OTA détermine si l'ISE utilise la signature automatique ou la signature d'une autorité de certification inconnue. Si l'une des conditions est remplie, l'utilisateur est invité à télécharger le certificat d'ISE ou d'AC avant que le processus d'inscription puisse commencer.
- Pour les autres méthodes EAP, ISE envoie le profil final lors d'une authentification réussie.
Mise en service pour Android
Pour des raisons de sécurité, l'agent Android doit être téléchargé depuis le site Android Marketplace et ne peut pas être mis en service depuis ISE. Cisco télécharge une version candidate de l'assistant sur le marché Android via le compte de l'éditeur du marché Android.
Voici le processus de mise en service d'Android :
- Cisco utilise le kit de développement logiciel (SDK) afin de créer le package Android avec une extension .apk.
- Cisco télécharge un package sur le marché Android.
- L'utilisateur configure la stratégie dans le provisionnement du client avec les paramètres appropriés.
- Après l'enregistrement du périphérique, l'utilisateur final est redirigé vers le service d'approvisionnement du client lorsque l'authentification dot1x échoue.
- La page du portail d'approvisionnement fournit un bouton qui redirige l'utilisateur vers le portail Android Marketplace où il peut télécharger le SPW.
- Le SPW Cisco est lancé et effectue le provisionnement du demandeur :
- SPW découvre l'ISE et télécharge le profil depuis ISE.
- SPW crée une paire certificat/clé pour EAP-TLS.
- SPW effectue un appel de requête proxy SCEP (Simple Certificate Enrollment Protocol) vers ISE et obtient le certificat.
- SPW applique les profils sans fil.
- SPW déclenche une nouvelle authentification si les profils sont correctement appliqués.
- Le SPW se ferme.
Auto-enregistrement BYOD sans fil double SSID
Voici le processus d'auto-enregistrement du BYOD sans fil avec double SSID :
- L'utilisateur s'associe au SSID Invité.
- L'utilisateur ouvre un navigateur et est redirigé vers le portail invité ISE CWA.
- L'utilisateur saisit un nom d'utilisateur et un mot de passe d'employé dans le portail invité.
- ISE authentifie l'utilisateur et, en fonction du fait qu'il s'agit d'un employé et non d'un invité, le redirige vers la page d'accueil Enregistrement des périphériques de l'employé.
- L'adresse MAC est préremplie dans la page d'accueil Enregistrement du périphérique pour l'ID de périphérique. L'utilisateur saisit une description et accepte la politique d'utilisation acceptable (AUP) si nécessaire.
- L'utilisateur sélectionne Accept et commence à télécharger et à installer le SPW.
- Le demandeur de l'appareil de cet utilisateur est mis en service avec tous les certificats.
- La CoA se produit, et le périphérique se réassocie au SSID d'entreprise (CORP) et s'authentifie avec EAP-TLS (ou une autre méthode d'autorisation utilisée pour ce demandeur).
Auto-enregistrement BYOD sans fil SSID unique
Dans ce scénario, il y a un seul SSID pour l'accès d'entreprise (CORP) qui prend en charge à la fois le protocole PEAP (Protected Extensible Authentication Protocol) et EAP-TLS. Il n'y a pas de SSID invité.
Il s'agit du processus d'auto-enregistrement BYOD sans fil SSID unique :
- L'utilisateur s'associe à CORP.
- L'utilisateur saisit un nom d'utilisateur et un mot de passe d'employé dans le demandeur pour l'authentification PEAP.
- L'ISE authentifie l'utilisateur et, sur la base de la méthode PEAP, fournit une politique d'autorisation d'acceptation avec redirection vers la page d'invité Enregistrement des périphériques des employés.
- L'utilisateur ouvre un navigateur et est redirigé vers la page d'accueil Enregistrement des périphériques des employés.
- L'adresse MAC est préremplie dans la page d'accueil Enregistrement du périphérique pour l'ID de périphérique. L'utilisateur saisit une description et accepte le protocole AUP.
- L'utilisateur sélectionne Accept et commence à télécharger et à installer le SPW.
- Le demandeur de l'appareil de cet utilisateur est mis en service avec tous les certificats.
- CoA se produit et le périphérique se réassocie au SSID CORP et s'authentifie avec EAP-TLS.
Configuration des fonctionnalités
Complétez ces étapes afin de commencer la configuration :
- Pour ce guide, assurez-vous que la version du WLC est 7.2.110.0 ou ultérieure.
![byod-flexconnect-dg-002.gif byod-flexconnect-dg-002.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-002.gif)
- Accédez à Security > RADIUS > Authentication, et ajoutez le serveur RADIUS au WLC.
![byod-flexconnect-dg-003.gif byod-flexconnect-dg-003.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-003.gif)
- Ajoutez l'ISE 1.1.1 au WLC :
- Saisissez un secret partagé.
- Définissez Support for RFC 3576 sur Enabled.
![byod-flexconnect-dg-004.gif byod-flexconnect-dg-004.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-004.gif)
- Ajoutez le même serveur ISE qu'un serveur de comptabilité RADIUS.
![byod-flexconnect-dg-005.gif byod-flexconnect-dg-005.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-005.gif)
- Créez une liste de contrôle d'accès de pré-authentification WLC à utiliser dans la stratégie ISE ultérieurement. Naviguez jusqu'à WLC > Security > Access Control Lists > FlexConnect ACLss, et créez une nouvelle ACL FlexConnect nommée ACL-REDIRECT (dans cet exemple).
![byod-flexconnect-dg-006.gif byod-flexconnect-dg-006.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-006.gif)
- Dans les règles de liste de contrôle d’accès, autorisez tout le trafic vers/depuis l’ISE et autorisez le trafic client pendant le provisionnement du demandeur.
- Pour la première règle (séquence 1) :
- Définissez Source sur Any.
- Définissez IP (adresse ISE)/ Netmask 255.255.255.255.
- Définir l'action sur Autoriser.
![byod-flexconnect-dg-007.gif byod-flexconnect-dg-007.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-007.gif)
- Pour la deuxième règle (séquence 2), définissez l'adresse IP source (adresse ISE)/ masque 255.255.255.255 sur Any et l'action sur Permit.
![byod-flexconnect-dg-008.gif byod-flexconnect-dg-008.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-008.gif)
- Créez un nouveau groupe FlexConnect nommé Flex1 (dans cet exemple) :
- Accédez à FlexConnect Group > WebPolicies tab.
- Dans le champ ACL WebPolicy, cliquez sur Add, et sélectionnez ACL-REDIRECT ou l'ACL FlexConnect créée précédemment.
- Confirmez qu'il renseigne le champ Listes de contrôle d'accès WebPolicy.
![byod-flexconnect-dg-009.gif byod-flexconnect-dg-009.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-009.gif)
- Cliquez sur Apply et sur Save Configuration.
Configuration d’un réseau local sans fil (WLAN)
Complétez ces étapes afin de configurer le WLAN :
- Créez un SSID WLAN ouvert pour l'exemple de double SSID :
- Entrez un nom WLAN : DemoCWA (dans cet exemple).
- Sélectionnez l'option Enabled pour Status.
![byod-flexconnect-dg-010.gif byod-flexconnect-dg-010.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-010.gif)
- Accédez à l'onglet Security > Layer 2 et définissez ces attributs :
- Sécurité de couche 2 : aucune
- Filtrage MAC : activé (case cochée)
- Transition rapide : Désactivé (case non cochée)
![byod-flexconnect-dg-011.gif byod-flexconnect-dg-011.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-011.gif)
- Accédez à l'onglet AAA Servers, et définissez ces attributs :
- Serveurs d'authentification et de compte : activé
- Serveur 1 : <adresse IP ISE>
![byod-flexconnect-dg-012.gif byod-flexconnect-dg-012.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-012.gif)
- Faites défiler l'onglet AAA Servers. Sous Ordre de priorité d'authentification pour l'utilisateur d'authentification Web, assurez-vous que RADIUS est utilisé pour l'authentification et que les autres ne sont pas utilisés.
![byod-flexconnect-dg-013.gif byod-flexconnect-dg-013.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-013.gif)
- Accédez à l'onglet Avancé, et définissez ces attributs :
- Autoriser le remplacement AAA : activé
- État NAC : Radius NAC
![byod-flexconnect-dg-014.gif byod-flexconnect-dg-014.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-014.gif)
Remarque : le contrôle d'admission réseau (NAC) RADIUS n'est pas pris en charge lorsque le point d'accès FlexConnect est en mode déconnecté. Ainsi, si le point d'accès FlexConnect est en mode autonome et perd la connexion au WLC, tous les clients sont déconnectés et le SSID n'est plus annoncé.
- Faites défiler la page vers le bas dans l'onglet Avancé et définissez Commutation locale FlexConnect sur Activé.
![byod-flexconnect-dg-015.gif byod-flexconnect-dg-015.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-015.gif)
- Cliquez sur Apply et sur Save Configuration.
![byod-flexconnect-dg-016.gif byod-flexconnect-dg-016.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-016.gif)
- Créez un SSID WLAN 802.1X nommé Demo1x (dans cet exemple) pour les scénarios SSID simple et double.
![byod-flexconnect-dg-017.gif byod-flexconnect-dg-017.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-017.gif)
- Accédez à l'onglet Security > Layer 2 et définissez ces attributs :
- Sécurité de couche 2 : WPA+WPA2
- Transition rapide : Désactivé (case non cochée)
- Gestion des clés d'authentification : 802.lX : Activer
![byod-flexconnect-dg-018.gif byod-flexconnect-dg-018.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-018.gif)
- Accédez à l'onglet Avancé, et définissez ces attributs :
- Autoriser le remplacement AAA : activé
- État NAC : Radius NAC
![byod-flexconnect-dg-019.gif byod-flexconnect-dg-019.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-019.gif)
- Faites défiler vers le bas dans l'onglet Advanced, et définissez FlexConnect Local Switching sur Enabled.
![byod-flexconnect-dg-020.gif byod-flexconnect-dg-020.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-020.gif)
- Cliquez sur Apply et sur Save Configuration.
![byod-flexconnect-dg-021.gif byod-flexconnect-dg-021.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-021.gif)
- Vérifiez que les deux nouveaux WLAN ont été créés.
![byod-flexconnect-dg-022.gif byod-flexconnect-dg-022.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-022.gif)
Configuration du point d'accès FlexConnect
Complétez ces étapes afin de configurer le point d'accès FlexConnect :
- Accédez à WLC > Wireless, et cliquez sur le point d'accès FlexConnect cible.
![byod-flexconnect-dg-023.gif byod-flexconnect-dg-023.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-023.gif)
- Cliquez sur l'onglet FlexConnect.
![byod-flexconnect-dg-024.gif byod-flexconnect-dg-024.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-024.gif)
- Activez la prise en charge VLAN (case cochée), définissez l'ID du VLAN natif, puis cliquez sur VLAN Mappings.
![byod-flexconnect-dg-025.gif byod-flexconnect-dg-025.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-025.gif)
- Définissez l'ID de VLAN sur 21 (dans cet exemple) pour le SSID pour la commutation locale.
![byod-flexconnect-dg-026.gif byod-flexconnect-dg-026.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-026.gif)
- Cliquez sur Apply et sur Save Configuration.
Configuration ISE
Complétez ces étapes afin de configurer l'ISE :
- Connectez-vous au serveur ISE : <https://ise>.
![byod-flexconnect-dg-027.gif byod-flexconnect-dg-027.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-027.gif)
- Accédez à Administration > Identity Management > External Identity Sources.
![byod-flexconnect-dg-028.gif byod-flexconnect-dg-028.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-028.gif)
- Cliquez sur Active Directory.
![byod-flexconnect-dg-029.gif byod-flexconnect-dg-029.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-029.gif)
- Dans l'onglet Connexion :
- Ajoutez le nom de domaine de corp.rf-demo.com (dans cet exemple) et remplacez le nom du magasin d'identités par défaut par AD1.
- Cliquez sur Save Configuration.
- Cliquez sur Joindre, et fournissez le nom d'utilisateur et le mot de passe du compte Administrateur AD requis pour joindre.
- L'état doit être vert. Enable Connected to : (case cochée).
![byod-flexconnect-dg-030.gif byod-flexconnect-dg-030.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-030.gif)
- Effectuer un test de connexion de base à AD avec un utilisateur de domaine actuel.
![byod-flexconnect-dg-031.gif byod-flexconnect-dg-031.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-031.gif)
- Si la connexion à Active Directory réussit, une boîte de dialogue confirme que le mot de passe est correct.
![byod-flexconnect-dg-032.gif byod-flexconnect-dg-032.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-032.gif)
- Naviguez jusqu'à Administration > Identity Management > External Identity Sources :
- Cliquez sur Certificate Authentication Profile.
- Cliquez sur Add pour un nouveau profil d'authentification de certificat (CAP).
![byod-flexconnect-dg-033.gif byod-flexconnect-dg-033.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-033.gif)
- Entrez le nom CertAuth (dans cet exemple) pour le CAP ; pour l'attribut Principal Username X509, sélectionnez Common Name, puis cliquez sur Submit.
![byod-flexconnect-dg-034.gif byod-flexconnect-dg-034.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-034.gif)
- Vérifiez que le nouveau CAP est ajouté.
![byod-flexconnect-dg-035.gif byod-flexconnect-dg-035.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-035.gif)
- Accédez à Administration > Identity Management > Identity Source Sequences, et cliquez sur Add .
![byod-flexconnect-dg-036.gif byod-flexconnect-dg-036.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-036.gif)
- Attribuez à la séquence le nom TestSequence (dans cet exemple).
![byod-flexconnect-dg-037.gif byod-flexconnect-dg-037.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-037.gif)
- Faites défiler jusqu'à Certificate Based Authentication :
- Enable Select Certificate Authentication Profile (case cochée).
- Sélectionnez CertAuth (ou un autre profil CAP créé précédemment).
![byod-flexconnect-dg-038.gif byod-flexconnect-dg-038.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-038.gif)
- Faites défiler jusqu'à Authentication Search List :
- Déplacer AD1 de Disponible à Sélectionné.
- Cliquez sur le bouton Haut afin de déplacer AD1 vers la priorité supérieure.
![byod-flexconnect-dg-039.gif byod-flexconnect-dg-039.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-039.gif)
- Cliquez sur Submit afin d'enregistrer.
![byod-flexconnect-dg-040.gif byod-flexconnect-dg-040.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-040.gif)
- Vérifiez que la nouvelle séquence source d'identité est ajoutée.
![byod-flexconnect-dg-041.gif byod-flexconnect-dg-041.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-041.gif)
- Utilisez AD afin d'authentifier le portail Mes périphériques. Accédez à ISE > Administration > Identity Management > Identity Source Sequence, et modifiez MyDevices_Portal_Sequence.
![byod-flexconnect-dg-042.gif byod-flexconnect-dg-042.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-042.gif)
- Ajoutez AD1 à la liste Sélectionné et cliquez sur le bouton Haut afin de déplacer AD1 vers la priorité supérieure.
![byod-flexconnect-dg-043.gif byod-flexconnect-dg-043.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-043.gif)
- Cliquez sur Save.
![byod-flexconnect-dg-044.gif byod-flexconnect-dg-044.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-044.gif)
- Vérifiez que la séquence de magasin d'identités pour MyDevices_Portal_Sequence contient AD1.
![byod-flexconnect-dg-045.gif byod-flexconnect-dg-045.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-045.gif)
- Répétez les étapes 16 à 19 afin d'ajouter AD1 pour Guest_Portal_Sequence, et cliquez sur Save.
![byod-flexconnect-dg-046.gif byod-flexconnect-dg-046.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-046.gif)
- Vérifiez que Guest_Portal_Sequence contient AD1.
![byod-flexconnect-dg-047.gif byod-flexconnect-dg-047.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-047.gif)
- Afin d'ajouter le WLC au périphérique d'accès réseau (WLC), naviguez à Administration > Ressources réseau > Périphériques réseau, et cliquez sur Add.
![byod-flexconnect-dg-048.gif byod-flexconnect-dg-048.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-048.gif)
- Ajoutez le nom du WLC, l'adresse IP, le masque de sous-réseau, etc.
![byod-flexconnect-dg-049.gif byod-flexconnect-dg-049.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-049.gif)
- Faites défiler jusqu'à Authentication Settings, puis saisissez Shared Secret. Cela doit correspondre au secret partagé du WLC RADIUS.
![byod-flexconnect-dg-050.gif byod-flexconnect-dg-050.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-050.gif)
- Cliquez sur Submit.
- Accédez à ISE > Policy > Policy Elements > Results.
![byod-flexconnect-dg-051.gif byod-flexconnect-dg-051.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-051.gif)
- Développez Results and Authorization, cliquez sur Authorization Profiles, puis cliquez sur Add pour un nouveau profil.
![byod-flexconnect-dg-052.gif byod-flexconnect-dg-052.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-052.gif)
- Donnez à ce profil les valeurs suivantes :
- Nom : CWA
![byod-flexconnect-dg-053.gif byod-flexconnect-dg-053.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-053.gif)
- Activer l'authentification Web (case cochée) :
- Authentification Web : centralisée
- ACL : ACL-REDIRECT (Cela doit correspondre au nom de l'ACL de pré-auth du WLC.)
- Redirection : par défaut
![byod-flexconnect-dg-054.gif byod-flexconnect-dg-054.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-054.gif)
- Cliquez sur Submit, et confirmez que le profil d'autorisation CWA a été ajouté.
![byod-flexconnect-dg-055.gif byod-flexconnect-dg-055.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-055.gif)
- Cliquez sur Add afin de créer un nouveau profil d'autorisation.
![byod-flexconnect-dg-056.gif byod-flexconnect-dg-056.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-056.gif)
- Donnez à ce profil les valeurs suivantes :
- Nom : Provisionnement
![byod-flexconnect-dg-057.gif byod-flexconnect-dg-057.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-057.gif)
- Activer l'authentification Web (case cochée) :
- Valeur d'authentification Web : Approvisionnement du demandeur
![byod-flexconnect-dg-058.gif byod-flexconnect-dg-058.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-058.gif)
- ACL : ACL-REDIRECT (Cela doit correspondre au nom de l'ACL de pré-auth du WLC.)
![byod-flexconnect-dg-059.gif byod-flexconnect-dg-059.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-059.gif)
- Cliquez sur Submit, et confirmez que le profil d'autorisation Provisionnement a été ajouté.
![byod-flexconnect-dg-060.gif byod-flexconnect-dg-060.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-060.gif)
- Faites défiler vers le bas dans Résultats, développez Approvisionnement client, et cliquez sur Ressources.
![byod-flexconnect-dg-061.gif byod-flexconnect-dg-061.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-061.gif)
- Sélectionnez Profil du demandeur natif.
![byod-flexconnect-dg-062.gif byod-flexconnect-dg-062.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-062.gif)
- Attribuez au profil le nom WirelessSP (dans cet exemple).
![byod-flexconnect-dg-063.gif byod-flexconnect-dg-063.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-063.gif)
- Entrez les valeurs suivantes :
- Type de connexion : sans fil
- SSID : Demo1x (cette valeur provient de la configuration WLAN WLC 802.1x)
- Protocole autorisé : TLS
- Taille de la clé : 1024
![byod-flexconnect-dg-064.gif byod-flexconnect-dg-064.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-064.gif)
- Cliquez sur Submit.
- Cliquez sur Save.
![byod-flexconnect-dg-065.gif byod-flexconnect-dg-065.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-065.gif)
- Vérifiez que le nouveau profil a été ajouté.
![byod-flexconnect-dg-066.gif byod-flexconnect-dg-066.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-066.gif)
- Accédez à Policy > Client Provisioning.
![byod-flexconnect-dg-067.gif byod-flexconnect-dg-067.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-067.gif)
- Saisissez les valeurs suivantes pour la règle de mise en service des périphériques iOS :
- Nom de la règle : iOS
- Groupes d'identités : Tous
![byod-flexconnect-dg-068.gif byod-flexconnect-dg-068.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-068.gif)
- Systèmes d'exploitation : Mac iOS All
![byod-flexconnect-dg-069.gif byod-flexconnect-dg-069.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-069.gif)
- Résultats : WirelessSP (il s'agit du profil de demandeur natif créé précédemment)
![byod-flexconnect-dg-070.gif byod-flexconnect-dg-070.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-070.gif)
- Accédez à Results > Wizard Profile (liste déroulante) > WirelessSP.
![byod-flexconnect-dg-071.gif byod-flexconnect-dg-071.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-071.gif)
![byod-flexconnect-dg-072.gif byod-flexconnect-dg-072.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-072.gif)
- Vérifiez que le profil de mise en service iOS a été ajouté.
![byod-flexconnect-dg-073.gif byod-flexconnect-dg-073.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-073.gif)
- Sur le côté droit de la première règle, localisez la liste déroulante Actions et sélectionnez Dupliquer ci-dessous (ou ci-dessus).
![byod-flexconnect-dg-074.gif byod-flexconnect-dg-074.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-074.gif)
- Remplacez le nom de la nouvelle règle par Android.
![byod-flexconnect-dg-075.gif byod-flexconnect-dg-075.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-075.gif)
- Remplacez les systèmes d'exploitation par Android.
![byod-flexconnect-dg-076.gif byod-flexconnect-dg-076.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-076.gif)
- Laissez les autres valeurs inchangées.
- Cliquez sur Save (Enregistrer) (écran inférieur gauche).
![byod-flexconnect-dg-077.gif byod-flexconnect-dg-077.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-077.gif)
- Accédez à ISE > Policy > Authentication.
![byod-flexconnect-dg-078.gif byod-flexconnect-dg-078.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-078.gif)
- Modifiez la condition pour inclure Wireless_MAB et développez Wired_MAB.
![byod-flexconnect-dg-079.gif byod-flexconnect-dg-079.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-079.gif)
- Cliquez sur la liste déroulante Nom de la condition.
![byod-flexconnect-dg-080.gif byod-flexconnect-dg-080.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-080.gif)
- Sélectionnez Dictionaries > Compound Condition.
![byod-flexconnect-dg-081.gif byod-flexconnect-dg-081.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-081.gif)
- Sélectionnez Wireless_MAB.
![byod-flexconnect-dg-082.gif byod-flexconnect-dg-082.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-082.gif)
- À droite de la règle, sélectionnez la flèche à développer.
![byod-flexconnect-dg-083.gif byod-flexconnect-dg-083.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-083.gif)
- Sélectionnez ces valeurs dans la liste déroulante :
- Source d'identité : TestSequence (valeur créée précédemment)
- Si l'authentification a échoué : Reject
- Si utilisateur introuvable : Continuer
- Si le processus a échoué : Abandonner
![byod-flexconnect-dg-084.gif byod-flexconnect-dg-084.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-084.gif)
- Accédez à la règle Dot1X, et modifiez ces valeurs :
![byod-flexconnect-dg-085.gif byod-flexconnect-dg-085.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-085.gif)
- Cliquez sur Save.
![byod-flexconnect-dg-088.gif byod-flexconnect-dg-088.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-088.gif)
- Accédez à ISE > Policy > Authorization.
![byod-flexconnect-dg-089.gif byod-flexconnect-dg-089.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-089.gif)
- Les règles par défaut (telles que Liste noire par défaut, Profil et Par défaut) sont déjà configurées à partir de l'installation ; les deux premières peuvent être ignorées ; la règle par défaut sera modifiée ultérieurement.
![byod-flexconnect-dg-090.gif byod-flexconnect-dg-090.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-090.gif)
- À droite de la deuxième règle (téléphones IP Cisco avec profil), cliquez sur la flèche vers le bas en regard de Edit, puis sélectionnez Insert New Rule Below.
![byod-flexconnect-dg-091.gif byod-flexconnect-dg-091.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-091.gif)
Un nouveau numéro de règle standard est ajouté.
![byod-flexconnect-dg-092.gif byod-flexconnect-dg-092.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-092.gif)
- Remplacez le nom de la règle Standard Rule # par OpenCWA. Cette règle lance le processus d'enregistrement sur le WLAN ouvert (SSID double) pour les utilisateurs qui viennent sur le réseau invité afin d'avoir des périphériques provisionnés.
![byod-flexconnect-dg-093.gif byod-flexconnect-dg-093.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-093.gif)
- Cliquez sur le signe plus (+) pour Condition(s), puis cliquez sur Sélectionner une condition existante dans la bibliothèque.
![byod-flexconnect-dg-094.gif byod-flexconnect-dg-094.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-094.gif)
- Sélectionnez Compound Conditions > Wireless_MAB.
![byod-flexconnect-dg-095.gif byod-flexconnect-dg-095.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-095.gif)
- Dans le profil AuthZ, cliquez sur le signe plus (+), puis sélectionnez Standard.
![byod-flexconnect-dg-096.gif byod-flexconnect-dg-096.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-096.gif)
- Sélectionnez le CWA standard (il s'agit du profil d'autorisation créé précédemment).
![byod-flexconnect-dg-097.gif byod-flexconnect-dg-097.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-097.gif)
- Vérifiez que la règle est ajoutée avec les conditions et l'autorisation correctes.
![byod-flexconnect-dg-098.gif byod-flexconnect-dg-098.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-098.gif)
- Cliquez sur Done (Terminé) (à droite de la règle).
![byod-flexconnect-dg-099.gif byod-flexconnect-dg-099.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-099.gif)
- À droite de la même règle, cliquez sur la flèche vers le bas en regard de Modifier, puis sélectionnez Insérer une nouvelle règle ci-dessous.
![byod-flexconnect-dg-100.gif byod-flexconnect-dg-100.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-100.gif)
- Remplacez le nom de la règle Standard Rule # par PEAPrule (dans cet exemple). Cette règle s'applique au protocole PEAP (également utilisé pour un seul scénario SSID) pour vérifier que l'authentification 802.1X sans TLS (Transport Layer Security) et que le provisionnement du demandeur réseau est initié avec le profil d'autorisation de provisionnement créé précédemment.
![byod-flexconnect-dg-101.gif byod-flexconnect-dg-101.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-101.gif)
- Remplacez la condition par Wireless_802.1X.
![byod-flexconnect-dg-102.gif byod-flexconnect-dg-102.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-102.gif)
- Cliquez sur l'icône d'engrenage sur le côté droit de la condition, et sélectionnez Ajouter un attribut/une valeur. Il s'agit d'une condition « et » et non d'une condition « ou ».
![byod-flexconnect-dg-103.gif byod-flexconnect-dg-103.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-103.gif)
- Localisez et sélectionnez Network Access.
![byod-flexconnect-dg-104.gif byod-flexconnect-dg-104.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-104.gif)
- Sélectionnez AuthenticationMethod, et entrez les valeurs suivantes :
![byod-flexconnect-dg-105.gif byod-flexconnect-dg-105.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-105.gif)
- AuthenticationMethod : égal à
![byod-flexconnect-dg-106.gif byod-flexconnect-dg-106.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-106.gif)
- Sélectionnez MSCHAPV2.
![byod-flexconnect-dg-107.gif byod-flexconnect-dg-107.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-107.gif)
Ceci est un exemple de la règle ; assurez-vous de confirmer que la condition est un AND.
![byod-flexconnect-dg-108.gif byod-flexconnect-dg-108.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-108.gif)
- Dans Profil AuthZ, sélectionnez Standard > Provisionner (il s'agit du profil d'autorisation créé précédemment).
![byod-flexconnect-dg-109.gif byod-flexconnect-dg-109.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-109.gif)
![byod-flexconnect-dg-110.gif byod-flexconnect-dg-110.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-110.gif)
- Cliquez sur Done.
![byod-flexconnect-dg-099.gif byod-flexconnect-dg-099.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-099.gif)
- À droite de la règle PEAP, cliquez sur la flèche vers le bas en regard de Edit, puis sélectionnez Insert New Rule Below.
![byod-flexconnect-dg-111.gif byod-flexconnect-dg-111.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-111.gif)
- Modifiez le nom de la règle en remplaçant Standard Rule # par AllowRule (dans cet exemple). Cette règle sera utilisée afin d'autoriser l'accès aux périphériques enregistrés avec des certificats installés.
![byod-flexconnect-dg-112.gif byod-flexconnect-dg-112.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-112.gif)
- Sous Condition(s), sélectionnez Conditions composées.
![byod-flexconnect-dg-113.gif byod-flexconnect-dg-113.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-113.gif)
- Sélectionnez Wireless_802.1X.
![byod-flexconnect-dg-114.gif byod-flexconnect-dg-114.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-114.gif)
- Ajoutez un attribut AND.
![byod-flexconnect-dg-115.gif byod-flexconnect-dg-115.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-115.gif)
- Cliquez sur l'icône d'engrenage sur le côté droit de la condition, et sélectionnez Ajouter un attribut/une valeur.
![byod-flexconnect-dg-116.gif byod-flexconnect-dg-116.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-116.gif)
- Localisez et sélectionnez Radius.
![byod-flexconnect-dg-117.gif byod-flexconnect-dg-117.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-117.gif)
- Sélectionnez Calling-Station-ID—[31].
![byod-flexconnect-dg-118.gif byod-flexconnect-dg-118.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-118.gif)
- Sélectionnez Égal.
![byod-flexconnect-dg-119.gif byod-flexconnect-dg-119.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-119.gif)
- Accédez à CERTIFICATE, puis cliquez sur la flèche droite.
![byod-flexconnect-dg-123.gif byod-flexconnect-dg-123.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-123.gif)
- Sélectionnez Autre nom du sujet.
![byod-flexconnect-dg-121.gif byod-flexconnect-dg-121.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-121.gif)
- Pour le profil AuthZ, sélectionnez Standard.
![byod-flexconnect-dg-122.gif byod-flexconnect-dg-122.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-122.gif)
- Sélectionnez Autoriser l'accès.
![byod-flexconnect-dg-123.gif byod-flexconnect-dg-123.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-123.gif)
- Cliquez sur Done.
![byod-flexconnect-dg-099.gif byod-flexconnect-dg-099.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-099.gif)
Voici un exemple de la règle :
![byod-flexconnect-dg-124.gif byod-flexconnect-dg-124.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-124.gif)
- Recherchez la règle Default afin de modifier PermitAccess en DenyAccess.
![byod-flexconnect-dg-125.gif byod-flexconnect-dg-125.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-125.gif)
- Cliquez sur Edit afin de modifier la règle par défaut.
![byod-flexconnect-dg-126.gif byod-flexconnect-dg-126.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-126.gif)
- Accédez au profil AuthZ existant de PermitAccess.
![byod-flexconnect-dg-127.gif byod-flexconnect-dg-127.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-127.gif)
- Sélectionnez Standard.
![byod-flexconnect-dg-128.gif byod-flexconnect-dg-128.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-128.gif)
- Sélectionnez RefuserAccès.
![byod-flexconnect-dg-129.gif byod-flexconnect-dg-129.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-129.gif)
- Vérifiez que la règle par défaut a la valeur DenyAccess si aucune correspondance n'est trouvée.
![byod-flexconnect-dg-130.gif byod-flexconnect-dg-130.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-130.gif)
- Cliquez sur Done.
![byod-flexconnect-dg-099.gif byod-flexconnect-dg-099.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-099.gif)
Il s’agit d’un exemple des principales règles requises pour ce test ; elles s’appliquent à un seul SSID ou à deux SSID.
![byod-flexconnect-dg-131.gif byod-flexconnect-dg-131.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-131.gif)
- Cliquez sur Save.
![byod-flexconnect-dg-132.gif byod-flexconnect-dg-132.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-132.gif)
- Accédez à ISE > Administration > System > Certificates afin de configurer le serveur ISE avec un profil SCEP.
![byod-flexconnect-dg-133.gif byod-flexconnect-dg-133.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-133.gif)
- Dans Opérations de certificat, cliquez sur Profils CA SCEP.
![byod-flexconnect-dg-134.gif byod-flexconnect-dg-134.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-134.gif)
- Cliquez sur Add.
![byod-flexconnect-dg-135.gif byod-flexconnect-dg-135.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-135.gif)
- Entrez les valeurs suivantes pour ce profil :
- Nom : mySCEP (dans cet exemple)
- URL : https://<ca-server>/CertSrv/mscep/ (Vérifiez la configuration de votre serveur AC pour obtenir l'adresse correcte.)
![byod-flexconnect-dg-136.gif byod-flexconnect-dg-136.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-136.gif)
- Cliquez sur Test Connectivity afin de tester la connectivité de la connexion SCEP.
![byod-flexconnect-dg-137.gif byod-flexconnect-dg-137.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-137.gif)
- Cette réponse indique que la connectivité du serveur a réussi.
![byod-flexconnect-dg-138.gif byod-flexconnect-dg-138.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-138.gif)
- Cliquez sur Submit.
![byod-flexconnect-dg-139.gif byod-flexconnect-dg-139.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-139.gif)
- Le serveur répond que le profil AC a été créé avec succès.
![byod-flexconnect-dg-140.gif byod-flexconnect-dg-140.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-140.gif)
- Vérifiez que le profil d'autorité de certification SCEP est ajouté.
![byod-flexconnect-dg-141.gif byod-flexconnect-dg-141.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-141.gif)
Expérience utilisateur - Provisionnement d'iOS
SSID double
Cette section couvre le double SSID et décrit comment se connecter à l'invité à provisionner et comment se connecter à un WLAN 802.1x.
Complétez ces étapes afin de provisionner iOS dans le scénario de double SSID :
- Sur l'appareil iOS, accédez à Réseaux Wi-Fi, et sélectionnez DemoCWA (WLAN ouvert configuré sur WLC).
![byod-flexconnect-dg-142.gif byod-flexconnect-dg-142.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-142.gif)
- Ouvrez le navigateur Safari sur l'appareil iOS et visitez une URL accessible (par exemple, un serveur Web interne/externe). L'ISE vous redirige vers le portail. Cliquez sur Continue.
![byod-flexconnect-dg-143.gif byod-flexconnect-dg-143.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-143.gif)
- Vous êtes redirigé vers le portail invité pour vous connecter.
![byod-flexconnect-dg-144.gif byod-flexconnect-dg-144.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-144.gif)
- Connectez-vous avec un compte d'utilisateur et un mot de passe AD. Installez le profil AC lorsque vous y êtes invité.
![byod-flexconnect-dg-145.gif byod-flexconnect-dg-145.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-145.gif)
- Cliquez sur Installer le certificat approuvé du serveur AC.
![byod-flexconnect-dg-146.gif byod-flexconnect-dg-146.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-146.gif)
- Cliquez sur Terminé une fois le profil complètement installé.
![byod-flexconnect-dg-147.gif byod-flexconnect-dg-147.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-147.gif)
- Revenez au navigateur et cliquez sur Register. Notez l'ID de périphérique qui contient l'adresse MAC du périphérique.
![byod-flexconnect-dg-148.gif byod-flexconnect-dg-148.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-148.gif)
- Cliquez sur Install afin d'installer le profil vérifié.
![byod-flexconnect-dg-149.gif byod-flexconnect-dg-149.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-149.gif)
- Cliquez sur Installer maintenant.
![byod-flexconnect-dg-150.gif byod-flexconnect-dg-150.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-150.gif)
- Une fois le processus terminé, le profil WirelessSP confirme que le profil est installé. Cliquez sur Done.
![byod-flexconnect-dg-151.gif byod-flexconnect-dg-151.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-151.gif)
- Accédez à Réseaux Wi-Fi, et changez le réseau en Demo1x. Votre périphérique est maintenant connecté et utilise TLS.
![byod-flexconnect-dg-152.gif byod-flexconnect-dg-152.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-152.gif)
- Sur l'ISE, accédez à Operations > Authentications. Les événements montrent le processus par lequel le périphérique est connecté au réseau invité ouvert, passe par le processus d'enregistrement avec l'approvisionnement du demandeur et est autorisé à autoriser l'accès après l'enregistrement.
![byod-flexconnect-dg-153.gif byod-flexconnect-dg-153.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-153.gif)
- Accédez à ISE > Administration > Identity Management > Groups > Endpoint Identity Groups > RegisteredDevices. L'adresse MAC a été ajoutée à la base de données.
![byod-flexconnect-dg-154.gif byod-flexconnect-dg-154.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-154.gif)
SSID unique
Cette section couvre le SSID unique et décrit comment se connecter directement à un WLAN 802.1x, fournir un nom d'utilisateur/mot de passe AD pour l'authentification PEAP, fournir un accès via un compte invité et se reconnecter avec TLS.
Complétez ces étapes afin de provisionner iOS dans le scénario SSID unique :
- Si vous utilisez le même périphérique iOS, supprimez le terminal des périphériques enregistrés.
![byod-flexconnect-dg-155.gif byod-flexconnect-dg-155.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-155.gif)
- Sur l'appareil iOS, accédez à Paramètres > Généraux > Profils. Supprimer les profils installés dans cet exemple.
![byod-flexconnect-dg-156.gif byod-flexconnect-dg-156.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-156.gif)
- Cliquez sur Remove afin de supprimer les profils précédents.
![byod-flexconnect-dg-157.gif byod-flexconnect-dg-157.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-157.gif)
![byod-flexconnect-dg-158.gif byod-flexconnect-dg-158.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-158.gif)
- Connectez-vous directement à la norme 802.1x avec le périphérique existant (effacé) ou avec un nouveau périphérique iOS.
- Connectez-vous à Dot1x, entrez un nom d'utilisateur et un mot de passe, puis cliquez sur Joindre.
![byod-flexconnect-dg-159.gif byod-flexconnect-dg-159.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-159.gif)
- Répétez les étapes 90 et suivantes à partir de la section Configuration ISE jusqu'à ce que les profils appropriés soient complètement installés.
- Accédez à ISE > Operations > Authentications afin de surveiller le processus. Cet exemple montre le client qui est connecté directement au WLAN 802.1X lors de son provisionnement, de sa déconnexion et de sa reconnexion au même WLAN à l'aide de TLS.
![byod-flexconnect-dg-160.gif byod-flexconnect-dg-160.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-160.gif)
- Accédez à WLC > Monitor > [Client MAC]. Dans les détails du client, notez que le client est à l'état EXÉCUTÉ, que sa commutation de données est définie sur local et que l'authentification est centralisée. Ceci est vrai pour les clients qui se connectent au point d'accès FlexConnect.
![](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-160.gif)
Expérience utilisateur - Mise en service Android
SSID double
Cette section couvre le double SSID et décrit comment se connecter à l'invité à provisionner et comment se connecter à un WLAN 802.1x.
Le processus de connexion de l'appareil Android est très similaire à celui d'un appareil iOS (SSID simple ou double). Cependant, une différence importante est que l'appareil Android a besoin d'accéder à Internet pour accéder à Google Marketplace (maintenant Google Play) et télécharger l'agent demandeur.
Complétez ces étapes afin de provisionner un appareil Android (comme le Samsung Galaxy dans cet exemple) dans le scénario de double SSID :
- Sur l'appareil Android, utilisez le Wi-Fi afin de vous connecter à DemoCWA, et ouvrez le WLAN invité.
![byod-flexconnect-dg-162.gif byod-flexconnect-dg-162.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-162.gif)
- Acceptez tout certificat afin de vous connecter à ISE.
![byod-flexconnect-dg-163.gif byod-flexconnect-dg-163.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-163.gif)
- Saisissez un nom d'utilisateur et un mot de passe sur le portail invité pour vous connecter.
![byod-flexconnect-dg-164.gif byod-flexconnect-dg-164.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-164.gif)
- Cliquez sur Register. L'appareil tente d'accéder à Internet afin d'accéder à Google Marketplace. Ajoutez des règles supplémentaires à la liste de contrôle d'accès de pré-authentification (telle que ACL-REDIRECT) dans le contrôleur afin d'autoriser l'accès à Internet.
![byod-flexconnect-dg-165.gif byod-flexconnect-dg-165.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-165.gif)
- Google répertorie Cisco Network Setup comme une application Android. Cliquez sur Install.
![byod-flexconnect-dg-166.gif byod-flexconnect-dg-166.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-166.gif)
- Connectez-vous à Google et cliquez sur INSTALL.
![byod-flexconnect-dg-167.gif byod-flexconnect-dg-167.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-167.gif)
- Click OK.
![byod-flexconnect-dg-168.gif byod-flexconnect-dg-168.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-168.gif)
- Sur l'appareil Android, recherchez l'application Cisco SPW installée et ouvrez-la.
![byod-flexconnect-dg-169.gif byod-flexconnect-dg-169.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-169.gif)
- Assurez-vous que vous êtes toujours connecté au portail invité depuis votre appareil Android.
- Cliquez sur Start afin de démarrer l'assistant de configuration Wi-Fi.
![byod-flexconnect-dg-170.gif byod-flexconnect-dg-170.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-170.gif)
- Le SPW Cisco commence à installer les certificats.
![byod-flexconnect-dg-171.gif byod-flexconnect-dg-171.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-171.gif)
- Lorsque vous y êtes invité, définissez un mot de passe pour le stockage des informations d'identification.
![byod-flexconnect-dg-172.gif byod-flexconnect-dg-172.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-172.gif)
- Le SPW Cisco renvoie un nom de certificat, qui contient la clé utilisateur et le certificat utilisateur. Cliquez sur OK afin de confirmer.
![byod-flexconnect-dg-173.gif byod-flexconnect-dg-173.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-173.gif)
- Cisco SPW continue et demande un autre nom de certificat, qui contient le certificat CA. Entrez le nom iseca (dans cet exemple), puis cliquez sur OK pour continuer.
![byod-flexconnect-dg-174.gif byod-flexconnect-dg-174.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-174.gif)
- L'appareil Android est maintenant connecté.
![byod-flexconnect-dg-175.gif byod-flexconnect-dg-175.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-175.gif)
Portail Mes périphériques
Le portail Mes périphériques permet aux utilisateurs de mettre sur liste noire les périphériques précédemment enregistrés en cas de perte ou de vol d'un périphérique. Il permet également aux utilisateurs de se réinscrire si nécessaire.
Complétez ces étapes afin de mettre un périphérique sur liste noire :
- Pour vous connecter au portail Mes périphériques, ouvrez un navigateur, connectez-vous à https://ise-server:8443/mydevices (notez le numéro de port 8443) et connectez-vous avec un compte Active Directory.
![byod-flexconnect-dg-176.gif byod-flexconnect-dg-176.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-176.gif)
- Localisez le périphérique sous Device ID, et cliquez sur Lost? afin de lancer la liste noire d'un périphérique.
![byod-flexconnect-dg-177.gif byod-flexconnect-dg-177.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-177.gif)
- Lorsque l'ISE affiche un avertissement, cliquez sur Yes afin de continuer.
![byod-flexconnect-dg-178.gif byod-flexconnect-dg-178.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-178.gif)
- ISE confirme que le périphérique est marqué comme perdu.
![byod-flexconnect-dg-179.gif byod-flexconnect-dg-179.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-179.gif)
- Toute tentative de connexion au réseau avec le périphérique précédemment enregistré est désormais bloquée, même si un certificat valide est installé. Voici un exemple de périphérique sur liste noire dont l'authentification échoue :
![byod-flexconnect-dg-180.gif byod-flexconnect-dg-180.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-180.gif)
- Un administrateur peut accéder à ISE > Administration > Identity Management > Groups, cliquer sur Endpoint Identity Groups > Blacklist et voir que le périphérique est sur liste noire.
![byod-flexconnect-dg-181.gif byod-flexconnect-dg-181.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-181.gif)
Complétez ces étapes afin de réactiver un périphérique sur liste noire :
- Dans le portail Mes périphériques, cliquez sur Réinstaller pour ce périphérique.
![byod-flexconnect-dg-182.gif byod-flexconnect-dg-182.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-182.gif)
- Lorsque ISE vous invite à émettre un avertissement, cliquez sur Yes afin de continuer.
![byod-flexconnect-dg-183.gif byod-flexconnect-dg-183.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-183.gif)
- ISE confirme que le périphérique a été correctement réinstallé. Connectez le périphérique réinstallé au réseau afin de tester que le périphérique sera désormais autorisé.
![byod-flexconnect-dg-184.gif byod-flexconnect-dg-184.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-184.gif)
Référence - Certificats
ISE nécessite non seulement un certificat racine CA valide, mais également un certificat valide signé par l'autorité de certification.
Complétez ces étapes afin d'ajouter, lier et importer un nouveau certificat d'autorité de certification approuvée :
- Accédez à ISE > Administration > System > Certificates, cliquez sur Local Certificates, puis cliquez sur Add.
![byod-flexconnect-dg-185.gif byod-flexconnect-dg-185.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-185.gif)
- Sélectionnez Générer une demande de signature de certificat (CSR).
![byod-flexconnect-dg-186.gif byod-flexconnect-dg-186.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-186.gif)
- Entrez l’objet du certificat CN=<ISE-SERVER hostname.FQDN>. Pour les autres champs, vous pouvez utiliser la valeur par défaut ou les valeurs requises par la configuration de votre autorité de certification. Cliquez sur Submit.
![byod-flexconnect-dg-187.gif byod-flexconnect-dg-187.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-187.gif)
- ISE vérifie que le CSR a été généré.
![byod-flexconnect-dg-188.gif byod-flexconnect-dg-188.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-188.gif)
- Afin d'accéder au CSR, cliquez sur les opérations Certificate Signing Requests.
![byod-flexconnect-dg-189.gif byod-flexconnect-dg-189.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-189.gif)
- Sélectionnez la CSR récemment créée, puis cliquez sur Export.
![byod-flexconnect-dg-190.gif byod-flexconnect-dg-190.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-190.gif)
- ISE exporte le CSR vers un fichier .pem. Cliquez sur Save File, puis sur OK afin d'enregistrer le fichier sur l'ordinateur local.
![byod-flexconnect-dg-191.gif byod-flexconnect-dg-191.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-191.gif)
- Localisez et ouvrez le fichier de certificat ISE à l'aide d'un éditeur de texte.
![byod-flexconnect-dg-192.gif byod-flexconnect-dg-192.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-192.gif)
- Copiez le contenu entier du certificat.
![byod-flexconnect-dg-193.gif byod-flexconnect-dg-193.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-193.gif)
- Connectez-vous au serveur AC et connectez-vous avec un compte administrateur. Le serveur est une autorité de certification Microsoft 2008 sur https://10.10.10.10/certsrv (dans cet exemple).
![byod-flexconnect-dg-194.gif byod-flexconnect-dg-194.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-194.gif)
- Cliquez sur Demander un certificat.
![byod-flexconnect-dg-195.gif byod-flexconnect-dg-195.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-195.gif)
- Cliquez sur Advanced certificate request (requête de certificat avancée).
![byod-flexconnect-dg-196.gif byod-flexconnect-dg-196.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-196.gif)
- Cliquez sur la deuxième option afin d'envoyer une demande de certificat en utilisant un CMC codé en base 64 ou ... .
![byod-flexconnect-dg-197.gif byod-flexconnect-dg-197.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-197.gif)
- Collez le contenu du fichier de certificat ISE (.pem) dans le champ Requête enregistrée, assurez-vous que le modèle de certificat est Web Server, puis cliquez sur Submit.
![byod-flexconnect-dg-198.gif byod-flexconnect-dg-198.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-198.gif)
- Cliquez sur Télécharger le certificat.
![byod-flexconnect-dg-199.gif byod-flexconnect-dg-199.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-199.gif)
- Enregistrez le fichier certnew.cer ; il sera utilisé ultérieurement afin d'établir une liaison avec l'ISE.
![byod-flexconnect-dg-200.gif byod-flexconnect-dg-200.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-200.gif)
- Dans Certificats ISE, accédez à Certificats locaux, puis cliquez sur Add > Bind CA Certificate.
![byod-flexconnect-dg-201.gif byod-flexconnect-dg-201.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-201.gif)
- Recherchez le certificat qui a été enregistré sur l'ordinateur local à l'étape précédente, activez les protocoles EAP et Management Interface (les cases sont cochées), puis cliquez sur Submit. ISE peut prendre plusieurs minutes ou plus pour redémarrer les services.
![byod-flexconnect-dg-202.gif byod-flexconnect-dg-202.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-202.gif)
- Revenez à la page de renvoi de l'autorité de certification (https://CA/certsrv/) et cliquez sur Download a CA certificate, certificate chain, or CRL.
![byod-flexconnect-dg-203.gif byod-flexconnect-dg-203.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-203.gif)
- Cliquez sur Download CA certificate.
![byod-flexconnect-dg-204.gif byod-flexconnect-dg-204.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-204.gif)
- Enregistrez le fichier sur l'ordinateur local.
![byod-flexconnect-dg-205.gif byod-flexconnect-dg-205.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-205.gif)
- Une fois le serveur ISE en ligne, accédez à Certificates, et cliquez sur Certificate Authority Certificates.
![byod-flexconnect-dg-206.gif byod-flexconnect-dg-206.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-206.gif)
- Cliquez sur Import.
![byod-flexconnect-dg-207.gif byod-flexconnect-dg-207.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-207.gif)
- Recherchez le certificat CA, activez Trust for client authentication (la case est cochée), puis cliquez sur Submit.
![byod-flexconnect-dg-208.gif byod-flexconnect-dg-208.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-208.gif)
- Vérifiez que le nouveau certificat CA approuvé est ajouté.
![byod-flexconnect-dg-209.gif byod-flexconnect-dg-209.gif](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113606-byod-flexconnect-dg-209.gif)
Informations connexes