Dans le cadre de la documentation associée à ce produit, nous nous efforçons d’utiliser un langage exempt de préjugés. Dans cet ensemble de documents, le langage exempt de discrimination renvoie à une langue qui exclut la discrimination en fonction de l’âge, des handicaps, du genre, de l’appartenance raciale de l’identité ethnique, de l’orientation sexuelle, de la situation socio-économique et de l’intersectionnalité. Des exceptions peuvent s’appliquer dans les documents si le langage est codé en dur dans les interfaces utilisateurs du produit logiciel, si le langage utilisé est basé sur la documentation RFP ou si le langage utilisé provient d’un produit tiers référencé. Découvrez comment Cisco utilise le langage inclusif.
Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.
Ce document décrit comment configurer un réseau local sans fil (WLAN) avec la sécurité 802.1x dans un contrôleur Mobility Express. Ce document explique également l'utilisation du protocole EAP (Extensible Authentication Protocol) - TLS (Transport Layer Security).
Cisco vous recommande de prendre connaissance des rubriques suivantes :
Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Si votre réseau est en ligne, assurez-vous de bien comprendre l’incidence possible des commandes.
TLS server_hello handshake message certificate server_key_exchange certificate request server_hello_done.
Certificate ¬ Server can validate to verify that it is trusted. client_key_exchange certificate_verify ¬ Verifies the server is trusted change_cipher_spec TLS finished
Étape 1. La première étape consiste à créer un WLAN sur Mobility Express. Afin de créer un WLAN, accédez à WLAN > Add new WLAN comme indiqué dans l'image.
Étape 2. Une nouvelle fenêtre contextuelle apparaît lorsque vous cliquez sur Ajouter un nouveau WLAN. Afin de créer un nom de profil, accédez à Ajouter un nouveau WLAN > Général comme indiqué dans l'image.
Étape 3. Configurez le type d'authentification en tant que WPA Enterprise pour 802.1x et configurez RADIUS Server sous Ajouter un nouveau WLAN > WLAN Security comme indiqué dans l'image.
Étape 4. Cliquez sur Add RADIUS Authentication Server et indiquez l'adresse IP du serveur RADIUS et du secret partagé qui doit correspondre exactement à ce qui a été configuré sur ISE, puis cliquez sur Apply comme indiqué dans l'image.
Pour créer la stratégie, vous devez créer la liste de protocoles autorisée à utiliser dans votre stratégie. Étant donné qu'une stratégie dot1x est écrite, spécifiez le type EAP autorisé en fonction de la configuration de la stratégie.
Si vous utilisez la valeur par défaut, vous autorisez la plupart des types EAP pour l'authentification, ce qui peut ne pas être préférable si vous devez verrouiller l'accès à un type EAP spécifique.
Étape 1. Accédez à Stratégie > Eléments de stratégie > Résultats > Authentification > Protocoles autorisés et cliquez sur Ajouter comme indiqué dans l'image.
Étape 2. Dans cette liste de protocoles autorisés, vous pouvez entrer le nom de la liste. Dans ce cas, la case Autoriser EAP-TLS est cochée et d'autres cases sont décochées comme indiqué dans l'image.
Étape 1. Ouvrez la console ISE et accédez à Administration > Network Resources > Network Devices > Add comme indiqué dans l'image.
Étape 2. Saisissez les informations comme indiqué dans l'image.
Étape 1. Accédez à Administration > System > Certificates > Certificate Management > Trusted certificate.
Cliquez sur Import afin d'importer un certificat dans ISE. Une fois que vous avez ajouté un WLC et créé un utilisateur sur ISE, vous devez faire la partie la plus importante de EAP-TLS qui est d'approuver le certificat sur ISE. Pour cela, vous devez générer CSR.
Étape 2. Accédez à Administration > Certificates > Certificate Signing Requests > Generate Certificate Signing Requests (CSR), comme indiqué dans l'image.
Étape 3. Afin de générer CSR, accédez à Utilisation et à partir du ou des certificats seront utilisés pour les options de liste déroulante sélectionnez Authentification EAP comme indiqué dans l'image.
Étape 4. La CSR générée sur ISE peut être affichée. Cliquez sur Affichage comme indiqué dans l'image.
Étape 5. Une fois le CSR généré, recherchez le serveur AC et cliquez sur Demander un certificat comme indiqué dans l'image :
Étape 6. Une fois que vous avez demandé un certificat, vous obtenez des options pour le certificat utilisateur et la demande de certificat avancée, cliquez sur demande de certificat avancée comme indiqué dans l'image.
Étape 7. Collez la CSR générée dans la demande de certificat codée Base-64. Dans l'option Modèle de certificat : déroulante, sélectionnez Serveur Web et cliquez sur Envoyer comme indiqué dans l'image.
Étape 8. Une fois que vous avez cliqué sur Soumettre, vous avez la possibilité de sélectionner le type de certificat, sélectionnez Codé Base-64 et cliquez sur Télécharger la chaîne de certificats comme indiqué dans l'image.
Étape 9. Le téléchargement du certificat est terminé pour le serveur ISE. Vous pouvez extraire le certificat, le certificat contient deux certificats, un certificat racine et un autre certificat intermédiaire. Le certificat racine peut être importé sous Administration > Certificats > Certificats approuvés > Importer comme indiqué dans les images.
Étape 10. Lorsque vous cliquez sur Soumettre, le certificat est ajouté à la liste des certificats approuvés. En outre, le certificat intermédiaire est nécessaire pour se lier à CSR comme indiqué dans l'image.
Étape 11. Lorsque vous cliquez sur Lier le certificat, vous pouvez choisir le fichier de certificat enregistré sur votre bureau. Accédez au certificat intermédiaire et cliquez sur Soumettre comme indiqué dans l'image.
Étape 12. Pour afficher le certificat, accédez à Administration > Certificates > System Certificates comme indiqué dans l'image.
Étape 1. Pour authentifier un utilisateur sans fil via EAP-TLS, vous devez générer un certificat client. Connectez votre ordinateur Windows au réseau pour accéder au serveur. Ouvrez un navigateur Web et entrez cette adresse : https://sever ip addr/certsrv—
Étape 2. Notez que l'autorité de certification doit être identique à celle avec laquelle le certificat a été téléchargé pour ISE.
Pour cela, vous devez rechercher le même serveur AC que celui que vous avez utilisé pour télécharger le certificat pour le serveur. Sur la même autorité de certification, cliquez sur Demander un certificat comme précédemment fait, mais cette fois, vous devez sélectionner Utilisateur comme modèle de certificat comme indiqué dans l'image.
Étape 3. Ensuite, cliquez sur télécharger la chaîne de certificats comme précédemment pour le serveur.
Une fois les certificats obtenus, suivez ces étapes afin d'importer le certificat sur l'ordinateur portable Windows.
Étape 4. Pour importer le certificat, vous devez y accéder à partir de Microsoft Management Console (MMC).
Une fois l'importation du certificat terminée, vous devez configurer votre client sans fil (windows desktop dans cet exemple) pour EAP-TLS.
Étape 1. Modifiez le profil sans fil créé précédemment pour le protocole PEAP (Protected Extensible Authentication Protocol) afin d'utiliser EAP-TLS à la place. Cliquez sur Profil sans fil EAP.
Étape 2. Sélectionnez Microsoft : Carte à puce ou autre certificat et cliquez sur OK comme indiqué dans l'image.
Étape 3. Cliquez sur Paramètres et sélectionnez le certificat racine émis à partir du serveur AC comme indiqué dans l'image.
Étape 4. Cliquez sur Advanced Settings et sélectionnez User or computer authentication dans l'onglet 802.1x settings (Paramètres avancés) comme indiqué dans l'image.
Étape 5. Maintenant, essayez de vous reconnecter au réseau sans fil, sélectionnez le profil correct (EAP dans cet exemple) et Connect. Vous êtes connecté au réseau sans fil comme l'illustre l'image.
Utilisez cette section pour confirmer que votre configuration fonctionne correctement.
Étape 1. Le type EAP du client doit être EAP-TLS. Cela signifie que le client a terminé l'authentification, avec l'utilisation d'EAP-TLS, obtenu l'adresse IP et est prêt à transmettre le trafic comme indiqué dans les images.
Étape 2. Voici les détails client de l'interface de ligne de commande du contrôleur (sortie clipsée) :
(Cisco Controller) >show client detail 34:02:86:96:2f:b7 Client MAC Address............................... 34:02:86:96:2f:b7 Client Username ................................. Administrator AP MAC Address................................... c8:f9:f9:83:47:b0 AP Name.......................................... AP442b.03a9.7f72 AP radio slot Id................................. 1 Client State..................................... Associated Client User Group................................ Administrator Client NAC OOB State............................. Access Wireless LAN Id.................................. 6 Wireless LAN Network Name (SSID)................. ME_EAP Wireless LAN Profile Name........................ ME_EAP Hotspot (802.11u)................................ Not Supported BSSID............................................ c8:f9:f9:83:47:ba Connected For ................................... 18 secs Channel.......................................... 56 IP Address....................................... 10.127.209.55 Gateway Address.................................. 10.127.209.49 Netmask.......................................... 255.255.255.240 IPv6 Address..................................... fe80::2818:15a4:65f9:842 --More-- or (q)uit Security Policy Completed........................ Yes Policy Manager State............................. RUN Policy Type...................................... WPA2 Authentication Key Management.................... 802.1x Encryption Cipher................................ CCMP-128 (AES) Protected Management Frame ...................... No Management Frame Protection...................... No EAP Type......................................... EAP-TLS
Étape 3. Sur ISE, naviguez jusqu'à Visibilité contextuelle > Terminaux > Attributs comme indiqué dans les images.
Il n'existe actuellement aucune information de dépannage spécifique pour cette configuration.