Comprendre et configurer EAP-TLS avec Mobility Express et ISE

Introduction

Ce document décrit comment configurer un réseau local sans fil (WLAN) avec la sécurité 802.1x dans un contrôleur Mobility Express. Ce document explique également l'utilisation du protocole EAP (Extensible Authentication Protocol) - TLS (Transport Layer Security).

Conditions préalables

Conditions requises

Cisco vous recommande de prendre connaissance des rubriques suivantes :

• Configuration initiale de Mobility Express
• Processus d'authentification 802.1x
• Certificats

Components Used

Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :

• WLC 5508 version 8.5
• Identity Services Engine (ISE) version 2.1

The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Si votre réseau est en ligne, assurez-vous de bien comprendre l’incidence possible des commandes.

Informations générales

Flux EAP-TLS

Étapes du flux EAP-TLS

1. Le client sans fil est associé au point d'accès (AP).

2. Le point d'accès n'autorise pas le client à envoyer des données à ce stade et envoie une demande d'authentification.

3. Le demandeur répond ensuite avec une identité de réponse EAP. Le WLC communique ensuite les informations d'ID utilisateur au serveur d'authentification.

4. Le serveur RADIUS répond au client avec un paquet de démarrage EAP-TLS. La conversation EAP-TLS commence à ce stade.

5. L'homologue renvoie une réponse EAP au serveur d'authentification qui contient un message de connexion « client_hello », un chiffre défini sur NULL.

6. Le serveur d’authentification répond par un paquet Access-Challenge qui contient :

TLS server_hello
handshake message
certificate
server_key_exchange
certificate request
server_hello_done. 

7. Le client répond avec un message de réponse EAP qui contient :

Certificate ¬ Server can validate to verify that it is trusted.

client_key_exchange

certificate_verify ¬ Verifies the server is trusted

change_cipher_spec

TLS finished

8. Une fois le client authentifié, le serveur RADIUS répond avec un défi d'accès, qui contient le message « change_cipher_spec » et le message de fin de la connexion. À la réception de ce message, le client vérifie le hachage afin d'authentifier le serveur RADIUS. Une nouvelle clé de chiffrement est dérivée dynamiquement du secret pendant la connexion TLS.

9. À ce stade, le client sans fil compatible EAP-TLS peut accéder au réseau sans fil.

Configuration

Cisco Mobility Express

Étape 1. La première étape consiste à créer un WLAN sur Mobility Express. Afin de créer un WLAN, accédez à WLAN > Add new WLAN comme indiqué dans l'image.

Étape 2. Une nouvelle fenêtre contextuelle apparaît lorsque vous cliquez sur Ajouter un nouveau WLAN. Afin de créer un nom de profil, accédez à Ajouter un nouveau WLAN > Général comme indiqué dans l'image.

Étape 3. Configurez le type d'authentification en tant que WPA Enterprise pour 802.1x et configurez RADIUS Server sous Ajouter un nouveau WLAN > WLAN Security comme indiqué dans l'image.

Étape 4. Cliquez sur Add RADIUS Authentication Server et indiquez l'adresse IP du serveur RADIUS et du secret partagé qui doit correspondre exactement à ce qui a été configuré sur ISE, puis cliquez sur Apply comme indiqué dans l'image.

ISE avec Cisco Mobility Express

Paramètres EAP-TLS

Pour créer la stratégie, vous devez créer la liste de protocoles autorisée à utiliser dans votre stratégie. Étant donné qu'une stratégie dot1x est écrite, spécifiez le type EAP autorisé en fonction de la configuration de la stratégie.

Si vous utilisez la valeur par défaut, vous autorisez la plupart des types EAP pour l'authentification, ce qui peut ne pas être préférable si vous devez verrouiller l'accès à un type EAP spécifique.

Étape 1. Accédez à Stratégie > Eléments de stratégie > Résultats > Authentification > Protocoles autorisés et cliquez sur Ajouter comme indiqué dans l'image.

Étape 2. Dans cette liste de protocoles autorisés, vous pouvez entrer le nom de la liste. Dans ce cas, la case Autoriser EAP-TLS est cochée et d'autres cases sont décochées comme indiqué dans l'image.

Paramètres Mobility Express sur ISE

Étape 1. Ouvrez la console ISE et accédez à Administration > Network Resources > Network Devices > Add comme indiqué dans l'image.

Étape 2. Saisissez les informations comme indiqué dans l'image.

Certificat de confiance sur ISE

Étape 1. Accédez à Administration > System > Certificates > Certificate Management > Trusted certificate.

Cliquez sur Import afin d'importer un certificat dans ISE. Une fois que vous avez ajouté un WLC et créé un utilisateur sur ISE, vous devez faire la partie la plus importante de EAP-TLS qui est d'approuver le certificat sur ISE. Pour cela, vous devez générer CSR.

Étape 2. Accédez à Administration > Certificates > Certificate Signing Requests > Generate Certificate Signing Requests (CSR), comme indiqué dans l'image.

Étape 3. Afin de générer CSR, accédez à Utilisation et à partir du ou des certificats seront utilisés pour les options de liste déroulante sélectionnez Authentification EAP comme indiqué dans l'image.

Étape 4. La CSR générée sur ISE peut être affichée. Cliquez sur Affichage comme indiqué dans l'image.

Étape 5. Une fois le CSR généré, recherchez le serveur AC et cliquez sur Demander un certificat comme indiqué dans l'image :

Étape 6. Une fois que vous avez demandé un certificat, vous obtenez des options pour le certificat utilisateur et la demande de certificat avancée, cliquez sur demande de certificat avancée comme indiqué dans l'image.

Étape 7. Collez la CSR générée dans la demande de certificat codée Base-64. Dans l'option Modèle de certificat : déroulante, sélectionnez Serveur Web et cliquez sur Envoyer comme indiqué dans l'image.

Étape 8. Une fois que vous avez cliqué sur Soumettre, vous avez la possibilité de sélectionner le type de certificat, sélectionnez Codé Base-64 et cliquez sur Télécharger la chaîne de certificats comme indiqué dans l'image.

Étape 9. Le téléchargement du certificat est terminé pour le serveur ISE. Vous pouvez extraire le certificat, le certificat contient deux certificats, un certificat racine et un autre certificat intermédiaire. Le certificat racine peut être importé sous Administration > Certificats > Certificats approuvés > Importer comme indiqué dans les images.

Étape 10. Lorsque vous cliquez sur Soumettre, le certificat est ajouté à la liste des certificats approuvés. En outre, le certificat intermédiaire est nécessaire pour se lier à CSR comme indiqué dans l'image.

Étape 11. Lorsque vous cliquez sur Lier le certificat, vous pouvez choisir le fichier de certificat enregistré sur votre bureau. Accédez au certificat intermédiaire et cliquez sur Soumettre comme indiqué dans l'image.

Étape 12. Pour afficher le certificat, accédez à Administration > Certificates > System Certificates comme indiqué dans l'image.

Client pour EAP-TLS

Télécharger le certificat utilisateur sur l'ordinateur client (Bureau Windows)

Étape 1. Pour authentifier un utilisateur sans fil via EAP-TLS, vous devez générer un certificat client. Connectez votre ordinateur Windows au réseau pour accéder au serveur. Ouvrez un navigateur Web et entrez cette adresse : https://sever ip addr/certsrv—

Étape 2. Notez que l'autorité de certification doit être identique à celle avec laquelle le certificat a été téléchargé pour ISE.

Pour cela, vous devez rechercher le même serveur AC que celui que vous avez utilisé pour télécharger le certificat pour le serveur. Sur la même autorité de certification, cliquez sur Demander un certificat comme précédemment fait, mais cette fois, vous devez sélectionner Utilisateur comme modèle de certificat comme indiqué dans l'image.

Étape 3. Ensuite, cliquez sur télécharger la chaîne de certificats comme précédemment pour le serveur.

Une fois les certificats obtenus, suivez ces étapes afin d'importer le certificat sur l'ordinateur portable Windows.

Étape 4. Pour importer le certificat, vous devez y accéder à partir de Microsoft Management Console (MMC).

1. Pour ouvrir MMC, accédez à Démarrer > Exécuter > MMC.
2. Accédez à Fichier > Ajouter/Supprimer un composant logiciel enfichable
3. Double-cliquez sur Certificats.
4. Sélectionnez Compte d'ordinateur.
5. Sélectionnez Ordinateur local > Terminer
6. Cliquez sur OK afin de quitter la fenêtre du composant logiciel enfichable.
7. Cliquez sur [+] en regard de Certificats > Personnel > Certificats.
8. Cliquez avec le bouton droit sur Certificats et sélectionnez Toutes les tâches > Importer.
9. Cliquez sur Next (Suivant).
10. Cliquez sur Browse.
11. Sélectionnez le fichier .cer, .crt ou .pfx que vous souhaitez importer.
12. Cliquez sur Open.
13. Cliquez sur Next (Suivant).
14. Sélectionnez Sélectionner automatiquement le magasin de certificats en fonction du type de certificat.
15. Cliquez sur Terminer et OK

Une fois l'importation du certificat terminée, vous devez configurer votre client sans fil (windows desktop dans cet exemple) pour EAP-TLS.

Profil sans fil pour EAP-TLS

Étape 1. Modifiez le profil sans fil créé précédemment pour le protocole PEAP (Protected Extensible Authentication Protocol) afin d'utiliser EAP-TLS à la place. Cliquez sur Profil sans fil EAP.

Étape 2. Sélectionnez Microsoft : Carte à puce ou autre certificat et cliquez sur OK comme indiqué dans l'image.

Étape 3. Cliquez sur Paramètres et sélectionnez le certificat racine émis à partir du serveur AC comme indiqué dans l'image.

Étape 4. Cliquez sur Advanced Settings et sélectionnez User or computer authentication dans l'onglet 802.1x settings (Paramètres avancés) comme indiqué dans l'image.

Étape 5. Maintenant, essayez de vous reconnecter au réseau sans fil, sélectionnez le profil correct (EAP dans cet exemple) et Connect. Vous êtes connecté au réseau sans fil comme l'illustre l'image.

Vérification

Utilisez cette section pour confirmer que votre configuration fonctionne correctement.

Étape 1. Le type EAP du client doit être EAP-TLS. Cela signifie que le client a terminé l'authentification, avec l'utilisation d'EAP-TLS, obtenu l'adresse IP et est prêt à transmettre le trafic comme indiqué dans les images.

Étape 2. Voici les détails client de l'interface de ligne de commande du contrôleur (sortie clipsée) :

(Cisco Controller) >show client detail 34:02:86:96:2f:b7
Client MAC Address............................... 34:02:86:96:2f:b7
Client Username ................................. Administrator
AP MAC Address................................... c8:f9:f9:83:47:b0
AP Name.......................................... AP442b.03a9.7f72 
AP radio slot Id................................. 1 
Client State..................................... Associated 
Client User Group................................ Administrator
Client NAC OOB State............................. Access
Wireless LAN Id.................................. 6 
Wireless LAN Network Name (SSID)................. ME_EAP
Wireless LAN Profile Name........................ ME_EAP
Hotspot (802.11u)................................ Not Supported
BSSID............................................ c8:f9:f9:83:47:ba 
Connected For ................................... 18 secs
Channel.......................................... 56 
IP Address....................................... 10.127.209.55
Gateway Address.................................. 10.127.209.49
Netmask.......................................... 255.255.255.240
IPv6 Address..................................... fe80::2818:15a4:65f9:842
--More-- or (q)uit
Security Policy Completed........................ Yes
Policy Manager State............................. RUN
Policy Type...................................... WPA2
Authentication Key Management.................... 802.1x
Encryption Cipher................................ CCMP-128 (AES)
Protected Management Frame ...................... No
Management Frame Protection...................... No
EAP Type......................................... EAP-TLS

Étape 3. Sur ISE, naviguez jusqu'à Visibilité contextuelle > Terminaux > Attributs comme indiqué dans les images.

Dépannage

Il n'existe actuellement aucune information de dépannage spécifique pour cette configuration.