概要
このドキュメントでは、ワイヤレスLANコントローラ(WLC)と新しくインストールされたMicrosoft Windows Server 2012 R2を使用して、ローカルで有効な証明書(LSC)を設定する方法について説明します。
注:実際の導入は多くの点で異なる場合があり、Microsoft Windows Server 2012の設定を完全に制御し、知識を持っている必要があります。この設定例は、シスコのお客様がLSCを機能させるためにMicrosoft Windows Serverの設定を実装および適応するための参照テンプレートとしてのみ提供されています。
前提条件
要件
Microsoft Windows Serverで行われたすべての変更を理解し、必要に応じて関連するMicrosoftのドキュメントを確認することをお勧めします。
注:コントローラが中間CAを取得するだけなので、WLC上のLSCは中間CAではサポートされません。これは、ルートCAがWLCから欠落するためです。
使用するコンポーネント
このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づいています。
- WLC バージョン 7.6
- Microsoft Windows Server 2012 R2
このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、初期(デフォルト)設定の状態から起動しています。対象のネットワークが実稼働中である場合には、どのようなコマンドについても、その潜在的な影響について確実に理解しておく必要があります。
設定
Microsoft Windows Serverの設定
この設定は、新しくインストールされたMicrosoft Windows Server 2012で実行されたとおりに表示されます。手順をドメインと設定に合わせる必要があります。
ステップ1:役割と機能ウィザードのActive Directoryドメインサービスをインストールします。
ステップ2:インストール後、サーバをドメインコントローラに昇格する必要があります。
ステップ3:これは新しい設定であるため、新しいフォレストを設定します。ただし、通常は既存の展開では、ドメインコントローラ上でこれらのポイントを設定するだけです。ここでは、LSC2012.comドメインを選択します。これにより、ドメインネームサーバ(DNS)機能もアクティブになります。
ステップ4:リビート後、認証局(CA)サービスとWeb登録をインストールします。
ステップ5:設定します。
ステップ6:[エンタープライズCA]を選択し、すべてデフォルトのままにします。
ステップ7:Microsoft Windows/スタートメニューをクリックします。
ステップ8:[管理ツール]をクリックします。
ステップ9:[Active Directory Users and Computers]をクリックします。
ステップ10:ドメインを展開し、[Users]フォルダを右クリックして、[New Object] > [User]を選択します。
ステップ11:この例では、APUSERという名前です。作成したら、ユーザを編集し、[MemberOf]タブをクリックして、IIS_IUSRSグループのメンバにする必要があります
必要なユーザ権限の割り当ては次のとおりです。
– ローカルでログオンを許可
– サービスとしてログオン
ステップ12:ネットワークデバイス登録サービス(NDES)をインストールします。
- IIS_USRSグループのアカウントメンバー(この例ではAPUSER)をNDESのサービスアカウントとして選択します。
ステップ13:[管理ツール]に移動します。
ステップ14:[インターネットインフォメーションサービス(IIS)]をクリックします。
ステップ15:[Server] > [Sites] > [Default web site] > [Cert Srv]の順に展開します。
ステップ16:mscepとmscep_adminの両方の場合は、[authentication]をクリックします。匿名認証が有効になっていることを確認します。
ステップ17:Windows認証を右クリックし、[Providers]を選択します。NT LAN Manager(NTLM)がリストの最初にあることを確認します。
ステップ18:レジストリ設定で認証チャレンジを無効にする。そうしないと、Simple Certificate Enrollment Protocol(SCEP)でチャレンジパスワード認証が必要になり、WLCではサポートされません。
ステップ19:regeditアプリケーションを開きます。
ステップ20:HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\Cryptography\MSCEP\に移動します。
ステップ21: EnforcePasswordを0に設定します。
ステップ22:[Microsoft Windows/スタートメニュー]をクリックします。
ステップ23:MMCと入力します。
ステップ24:[ファイル]メニューで、[スナップインの追加と削除]を選択します。[Certification Authority]を選択します。
ステップ25:[証明書テンプレート]フォルダを右クリックし、[管理]をクリックします。
ステップ26:「ユーザー」などの既存のテンプレートを右クリックし、「テンプレートの複製」を選択します。
ステップ27:Microsoft Windows 2012 R2にするCAを選択します。
ステップ28: [General]タブで、WLCなどの表示名と有効期間を追加します。
ステップ29:[Subject Name]タブで、[Supply in the request]が選択されていることを確認します。
ステップ30:[発行要件]タブをクリックします。一般的な階層型CA環境では、発行ポリシーを空白のままにしておくことを推奨します。
ステップ31:[Extensions]タブ、[Application Policies]、[Edit]の順にクリックします。[Add] をクリックして、[Client Authentication] がアプリケーション ポリシーとして追加されていることを確認します。[OK] をクリックします。
ステップ32:[セキュリティ]タブをクリックし、[追加…]をクリックします。.NDESサービスのインストールで定義されたSCEPサービスアカウントがテンプレートを完全に制御していることを確認し、[OK]をクリックします。
ステップ33:Certification Authority GUIインターフェイスに戻ります。Certificate Templatesディレクトリを右クリックします。[New] [Certificate Template to Issue] に移動します。以前に設定したWLCテンプレートを選択し、[OK]をクリックします。
ステップ34:[Computer] > [HKEY_LOCAL_MACHINE] > [SOFTWARE] > [Microsoft] > [Cryptography] > [MSCEP]の下のレジストリ設定で、デフォルトのSCEPテンプレートを変更します。EncryptionTemplate、GeneralPurposeTemplate、およびSignatureTemplateキーをIPsec(オフライン要求)から以前作成したWLCテンプレートに変更します。
ステップ35:システムを再起動します。
WLC の設定
ステップ1:WLCで、[Security]メニューに移動します。[Certificates] > [LSC]をクリックします。
ステップ2:[Enable LSC on Controller]チェックボックスをオンにします。
ステップ3:Microsoft Windows Server 2012のURLを入力します。デフォルトでは、/certsrv/mscep/mscep.dllが付加されます。
ステップ4:「パラメータ」セクションに詳細を入力します。
ステップ5:変更を適用します。
ステップ6:上のCA行の青い矢印をクリックし、[Add]を選択します。ステータスが[Not present]から[present]に変更されるようになっています。
ステップ7:[AP provisioning]タブをクリックします。
ステップ8:[AP Provisioning]の下の[Enable]チェックボックスをオンにし、[Update]をクリックします。
ステップ9:アクセスポイントがリブートされていない場合は、リブートします。
確認
ここでは、設定が正常に機能しているかどうかを確認します。
アクセスポイントは、リブート後に再び参加し、[Wireless]メニューに証明書タイプとしてLSCが表示されます。
注:8.3.112以降、MIC APはLSCが有効になると一度にまったく参加できません。したがって、「LSCへの試行」カウント機能は限られた使用になります。
トラブルシュート
現在、この設定に関する特定のトラブルシューティング情報はありません。