Secure ACS voor Windows v3.2 met EAP-TLS-systeemverificatie

Inleiding

In dit document wordt beschreven hoe u EAP-TLS (Extensible Verification Protocol-Transport Layer Security) kunt configureren met Cisco Secure Access Control System (ACS) voor Windows versie 3.2.

Opmerking: machinechtheidscontrole wordt niet ondersteund door de Novell Certificate Authority (CA). ACS kan EAP-TLS gebruiken ter ondersteuning van de verificatie van de machine in Microsoft Windows Active Directory. De eindgebruikersclient beperkt het protocol voor gebruikersverificatie mogelijk tot hetzelfde protocol als voor systeemverificatie wordt gebruikt. Dat wil zeggen dat voor het gebruik van EAP-TLS voor systeemverificatie wellicht EAP-TLS voor gebruikersverificatie moet worden gebruikt. Raadpleeg voor meer informatie over verificatie van de machine het gedeelte Machineverificatie van de Gebruikershandleiding voor Cisco Secure Access Control Server 4.1.

Opmerking: wanneer u een ACS instelt voor het verifiëren van machines via EAP-TLS en de ACS is ingesteld voor machineverificatie, moet de client zo worden geconfigureerd dat alleen machineverificatie wordt uitgevoerd. Raadpleeg voor meer informatie Hoe kunt u verificatie via de computer alleen inschakelen voor een op 802.1X gebaseerd netwerk in Windows Vista, in Windows Server 2008 en in Windows XP Service Pack 3.

Voorwaarden

Vereisten

Er zijn geen specifieke voorwaarden van toepassing op dit document.

Gebruikte componenten

De informatie in dit document is gebaseerd op de onderstaande software- en hardware-versies.

• Cisco Secure ACS voor Windows versie 3.2

• Microsoft Certificate Services (geïnstalleerd als basiscertificeringsinstantie voor ondernemingen [CA])

  Opmerking: Raadpleeg voor meer informatie de stapsgewijze handleiding voor het instellen van een certificeringsinstantie.

• DNS-service met Windows 2000-server met Service Pack 3 en 323172

  Opmerking: Als u problemen met CA Server ondervindt, installeer hotfix 323172. De Windows 2000 SP3-client vereist hotfix 313664 om IEEE 802.1x-verificatie mogelijk te maken.

• Cisco Aironet 1200 Series draadloos access point 12.01T

• IBM ThinkPad T30 met Windows XP Professional en Service Pack 1

De informatie in dit document is gebaseerd op apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als u in een live netwerk werkt, zorg er dan voor dat u de potentiële impact van iedere opdracht begrijpt voor u deze gebruikt.

Achtergrondinformatie

Zowel EAP-TLS als PEAP (Protected Extensible Verification Protocol) bouwen en gebruiken een SSL-tunnel (TLS/Secure Socket Layer). EAP-TLS maakt gebruik van wederzijdse verificatie waarbij zowel de ACS-server (verificatie, autorisatie en accounting [AAA]) als de clients certificaten hebben en hun identiteit aan elkaar kunnen bewijzen. PEAP gebruikt echter alleen authenticatie op de server; alleen de server heeft een certificaat en bewijst zijn identiteit aan de client.

Conventies

Raadpleeg Cisco Technical Tips Conventions (Conventies voor technische tips van Cisco) voor meer informatie over documentconventies.

Netwerkdiagram

In dit document wordt de netwerkconfiguratie in het onderstaande diagram gebruikt.

Cisco Secure ACS-software voor Windows v3.2 configureren

Volg de onderstaande stappen om ACS 3.2 te configureren.

1. Vraag een certificaat aan voor de ACS-server.

2. ACS configureren om een opslagcertificaat te gebruiken.

3. Specificeer extra certificeringsinstanties waarop de ACS moet vertrouwen.

4. Start de service opnieuw en configureer PEAP-instellingen op de ACS.

5. Specificeer en configureer het toegangspunt als AAA-client.

6. Configureer de externe gebruikersdatabases.

7. Start de service opnieuw.

Een certificaat verkrijgen voor de ACS-server

Volg deze stappen om een certificaat te verkrijgen.

1. Open op de ACS-server een webbrowser en voer http://CA-ip-adres/certsrv in om toegang te krijgen tot de CA-server.

2. Log in op het domein als beheerder.

   

3. Selecteer Een certificaat aanvragen en klik op Volgende.

   

4. Selecteer Geavanceerd verzoek en klik op Volgende.

   

5. Selecteer Een certificaataanvraag indienen bij deze certificeringsinstantie met behulp van een formulier en klik vervolgens op Volgende.

   

6. Configureer de certificaatopties:

   1. Selecteer Webserver als de certificaatsjabloon en voer de naam van de ACS-server in.

      

   2. Typ 1024 in het veld sleutelgrootte en controleer de selectievakjes markeren als exporteerbaar en gebruik de selectievakjes van de lokale machineopslag.

   3. Configureer indien nodig andere opties en klik vervolgens op Indienen.

      

      N.B.: Als het dialoogvenster Potentiële schending van scripts verschijnt, klikt u op Ja om door te gaan.

      

7. Klik op Dit certificaat installeren.

   

   N.B.: Als het dialoogvenster Potentiële schending van scripts verschijnt, klikt u op Ja om door te gaan.

   

8. Als de installatie is geslaagd, wordt het bericht Certificaat geïnstalleerd weergegeven.

   

ACS configureren voor gebruik van een certificaat uit opslag

Voltooi deze stappen om ACS te vormen om het certificaat in opslag te gebruiken.

1. Open een webbrowser en voer http://ACS-ip-adres:2002/in om toegang te krijgen tot de ACS-server.

2. Klik op Systeemconfiguratie en klik vervolgens op ACS-certificaatinstelling.

3. Klik op ACS-certificaat installeren.

4. Klik op het keuzerondje Certificaat van opslag gebruiken.

5. Voer in het veld Certificaat van de GN de naam in van het certificaat dat u hebt toegewezen in stap 5a van het vak Certificaat verkrijgen uit de ACS-server van dit document.

6. Klik op Verzenden.

   

   Wanneer de configuratie is voltooid, verschijnt een bevestigingsbericht dat aangeeft dat de configuratie van de ACS-server is gewijzigd.

   Opmerking: U hoeft ACS op dit moment niet opnieuw te starten.

   

Vermeld de aanvullende certificeringsinstanties die het ACS moet vertrouwen.

De ACS vertrouwt automatisch op de CA die haar eigen certificaat heeft afgegeven. Als de clientcertificaten worden afgegeven door extra CA's, moet u de volgende stappen uitvoeren:

1. Klik op Systeemconfiguratie en klik vervolgens op ACS-certificaatinstelling.

2. Klik op ACS-certificeringsinstantie instellen om CA's toe te voegen aan de lijst met vertrouwde certificaten.

3. Voer in het veld voor het CA-certificaatbestand de locatie van het certificaat in en klik vervolgens op Indienen.

   

4. Klik op Vertrouwenlijst certificaat bewerken.

5. Controleer alle CA's die ACS zou moeten vertrouwen, en uncheck alle CA's die ACS niet zou moeten vertrouwen.

6. Klik op Verzenden.

   

Start de service opnieuw en configureer EAP-TLS-instellingen op de ACS

Voltooi de volgende stappen om de service opnieuw te starten en EAP-TLS-instellingen te configureren:

1. Klik op Systeemconfiguratie en klik vervolgens op Servicebeheer.

2. Klik op Opnieuw starten om de service opnieuw te starten.

3. Als u EAP-TLS-instellingen wilt configureren, klikt u op Systeemconfiguratie en vervolgens op Globale verificatie-instellingen.

4. Controleer EAP-TLS toestaan en controleer vervolgens een of meer van de certificaatvergelijkingen.

5. Klik op Verzenden.

   

Het access point specificeren en configureren als een AAA-client

Voltooi de volgende stappen om het toegangspunt (AP) te configureren als een AAA-client:

1. Klik op Netwerkconfiguratie.

2. Klik onder AAA-clients op Add Entry.

   

3. Voer de hostnaam van het toegangspunt in het veld AAA-client-hostnaam en het IP-adres in het veld AAA-client-IP-adres.

4. Voer in het veld Sleutel een gedeelde geheime sleutel in voor de ACS en het toegangspunt.

5. Kies RADIUS (Cisco Aironet) als verificatiemethode en klik op Indienen.

   

De externe gebruikersdatabases configureren

Voltooi deze stappen om de externe gebruikersdatabases te configureren.

1. Klik op Externe gebruikersdatabases en klik vervolgens op Databaseconfiguratie.

2. Klik op Windows Database.

   Opmerking: als er nog geen Windows-database is gedefinieerd, klikt u op Nieuwe configuratie maken en vervolgens klikt u op Indienen.

3. Klik op Configureren.

4. Verplaats onder Domain List configureren het domein SEC-SYD van Available Domains naar Domain List.

   

5. Klik in het gedeelte EAP-instellingen van Windows op het aanvinkvakje EAP-TLS-verificatie toestaan voor de machine om de verificatie voor de machine in te schakelen.

   N.B.: Wijzig de naam van de machine niet. Microsoft maakt momenteel gebruik van "/host" (de standaardwaarde) om onderscheid te maken tussen gebruikers- en machine-verificatie.

6. U kunt optioneel het aanvinkvakje EAP-TLS Strip Domain Name aanvinken om domeinstripping in te schakelen.

7. Klik op Verzenden.

   

8. Klik op Externe gebruikersdatabases en klik vervolgens op Onbekend gebruikersbeleid.

9. Klik op het keuzerondje Volgende externe gebruikersdatabases controleren.

10. Verplaats Windows Database van de lijst Externe databases naar de lijst Geselecteerde databases.

11. Klik op Verzenden.

    

De service opnieuw starten

Wanneer u klaar bent met het configureren van de ACS, voltooit u deze stappen om de service opnieuw te starten:

1. Klik op Systeemconfiguratie en klik vervolgens op Servicebeheer.

2. Klik op Opnieuw starten.

MS-certificaat configureren voor automatische inschrijving

Voltooi deze stappen om het domein voor automatische machinecertificaat inschrijving te vormen:

1. Ga naar Configuratiescherm > Beheertools > Open Active Directory-gebruikers en computers.

2. Klik met de rechtermuisknop op domein sec-syd en kies Eigenschappen.

3. Klik op het tabblad Groepsbeleid.

4. Klik op Default Domain Policy en klik vervolgens op Edit.

5. Ga naar Computer Configuration > Windows-instellingen > Beveiligingsinstellingen > Public Key Policies > Automatische instellingen voor certificaataanvragen.

   

6. Ga in de menubalk naar Actie > Nieuw > Automatisch certificaataanvraag en klik op Volgende.

7. Kies Computer en klik op Volgende.

8. Controleer in dit voorbeeld de certificeringsinstantie "Onze TAC CA".

9. Klik op Volgende en vervolgens op Voltooien.

Het Cisco access point configureren

Voltooi deze stappen om AP te vormen om ACS als authentificatieserver te gebruiken:

1. Open een webbrowser en voer http://AP-ip-adres/certsrv in om toegang te krijgen tot AP.

2. Klik in de werkbalk op Instellen.

3. Klik onder Services op Security en vervolgens op Verificatieserver.

   Opmerking: als u accounts hebt ingesteld op het toegangspunt, moet u inloggen.

4. Voer de configuratie-instellingen van de verificator in:

   • Kies 802.1x-2001 voor de 802.1x-protocolversie (voor EAP-verificatie).

   • Voer in het veld Servernaam/IP het IP-adres van de ACS-server in.

   • Kies RADIUS als servertype.

   • Voer in het veld Poorten 1645 of 1812 in.

   • Voer de gedeelde geheime sleutel in die u hebt opgegeven in het toegangspunt opgeven en configureren als AAA-client.

   • Controleer de optie voor EAP-verificatie om aan te geven hoe de server moet worden gebruikt.

5. Klik op OK als u klaar bent.

   

6. Klik op Radio Data Encryption (WEP).

7. Voer de interne instellingen voor gegevenscodering in.

   • Kies Volledige versleuteling in de vervolgkeuzelijst Use of Data Encryption by Stations om het niveau van de gegevensversleuteling in te stellen.

   • Voor Accepteer het verificatietype vink u het aanvinkvakje Open aan om het geaccepteerde verificatietype in te stellen en controleer Network-EAP om LEAP in te schakelen.

   • Voor Require EAP vinkt u het aanvinkvakje Open aan om EAP te vereisen.

   • Voer in het veld Encryptie een coderingssleutel in en kies 128-bits in de vervolgkeuzelijst Sleutelgrootte.

8. Klik op OK als u klaar bent.

   

9. Ga naar Netwerk > Servicesets > Selecteer de SSID-index om te bevestigen dat de juiste Service Set Identifier (SSID) wordt gebruikt.

10. Klik op OK.

    

De draadloze client configureren

Voltooi deze stappen om ACS 3.2 te configureren:

1. Doe mee aan het domein.

2. Verkrijg een certificaat voor de gebruiker.

3. Configureer de draadloze netwerken.

Lid worden van het domein

Voltooi deze stappen om de draadloze client toe te voegen aan het domein.

Opmerking: om deze stappen te kunnen uitvoeren, moet de draadloze client verbinding met de CA hebben, via een bekabelde verbinding of via de draadloze verbinding met de 802.1x-beveiliging uitgeschakeld.

1. Log in op Windows XP als lokale beheerder.

2. Ga naar Configuratiescherm > Prestaties en onderhoud > Systeem.

3. Klik op het tabblad Computernaam en klik vervolgens op Wijzigen.

4. Voer de hostnaam in het veld Computernaam in.

5. Kies Domein en voer vervolgens de naam van het domein in (SEC-SYD in dit voorbeeld).

6. Klik op OK.

   

7. Wanneer het dialoogvenster Aanmelden verschijnt, meldt u zich aan met een account met voldoende toestemming om zich bij het domein aan te sluiten.

8. Start de computer opnieuw op nadat de computer zich met succes bij het domein heeft aangesloten.

   De machine wordt lid van het domein. Aangezien automatische inschrijving is geconfigureerd, heeft de machine een certificaat voor de geïnstalleerde CA en een certificaat voor machinechtheidscontrole.

Een certificaat verkrijgen voor de gebruiker

Voltooi deze stappen om een certificaat voor de gebruiker te verkrijgen.

1. Log in op Windows XP en het domein (SEC-SYD) op de draadloze client (laptop) als de account die een certificaat vereist.

2. Open een webbrowser en voer http://CA-ip-adres/certsrv in om toegang te krijgen tot de CA-server.

3. Meld u aan bij de CA-server onder dezelfde account.

   Opmerking: het certificaat wordt opgeslagen op de draadloze client onder het profiel van de huidige gebruiker. Daarom moet u dezelfde account gebruiken om u aan te melden bij Windows en de CA.

   

4. Klik op het keuzerondje Certificaat aanvragen en klik vervolgens op Volgende.

   

5. Klik op het keuzerondje Geavanceerd aanvragen en klik vervolgens op Volgende.

   

6. Klik op de knop Certificaataanvraag indienen bij deze certificeringsinstantie met behulp van een radioknop en klik vervolgens op Volgende.

   

7. Kies Gebruiker uit de certificaatsjabloon en voer 1024 in het veld Sleutelgrootte in.

8. Configureer indien nodig andere opties en klik op Indienen.

   

   N.B.: Als het dialoogvenster Potentiële schending van scripts verschijnt, klikt u op Ja om door te gaan.

   

9. Klik op Dit certificaat installeren.

   

   N.B.: Als het dialoogvenster Potentiële schending van scripts verschijnt, klikt u op Ja om door te gaan.

   

   Opmerking: het Root Certificate Store wordt mogelijk weergegeven als het eigen certificaat van de CA nog niet is opgeslagen op de draadloze client. Klik op Ja om het certificaat op te slaan in de lokale opslag.

   

   Als de installatie is geslaagd, wordt een bevestigingsbericht weergegeven.

   

De draadloze netwerken configureren

Voltooi de volgende stappen om de opties voor draadloze netwerken in te stellen:

1. Meld u aan bij het domein als een domeingebruiker.

2. Ga naar Configuratiescherm > Netwerk- en internetverbindingen > Netwerkverbindingen.

3. Klik met de rechtermuisknop op Draadloze verbinding en kies Eigenschappen.

4. Klik op het tabblad Draadloze netwerken.

5. Kies het draadloze netwerk in de lijst met beschikbare netwerken en klik op Configureren.

   

6. Controleer op het tabblad Verificatie het vakje IEEE 802.1x-verificatie voor dit netwerk inschakelen.

7. Kies slimme kaart of ander certificaat in de vervolgkeuzelijst EAP-type en klik vervolgens op Eigenschappen.

   N.B.: Schakel het aanvinkvakje Verifiëren als computer in wanneer computerinformatie beschikbaar is om de machine-verificatie in te schakelen.

   

8. Klik op het keuzerondje Certificaat gebruiken op deze computer en controleer vervolgens het selectievakje Eenvoudig certificaat gebruiken.

9. Controleer het vakje Certificering van server valideren en klik op OK.

   Opmerking: Wanneer de client zich bij het domein aansluit, wordt het CA-certificaat automatisch geïnstalleerd als Trusted Root-certificeringsinstantie. De client vertrouwt automatisch impliciet op de CA die het certificaat van de client heeft ondertekend. Aanvullende CA's kunnen worden vertrouwd door ze te controleren in de lijst met Trusted Root-certificeringsinstanties.

   

10. Selecteer op het tabblad Koppeling van het venster met netwerkeigenschappen de optie Gegevenscodering (WEP ingeschakeld) en de toets wordt automatisch voor mij aangevinkt.

11. Klik op OK en klik vervolgens nogmaals op OK om het venster voor de netwerkconfiguratie te sluiten.

    

Verifiëren

Deze sectie geeft informatie die u kunt gebruiken om te bevestigen dat uw configuratie correct werkt.

• Voltooi de volgende stappen om te controleren of de draadloze client is geverifieerd:

  1. Ga in het geval van een draadloze client naar Configuratiescherm > Netwerk- en internetverbindingen > Netwerkverbindingen.

  2. Ga in de menubalk naar Beeld > Tegels.

  De draadloze verbinding moet het bericht "Verificatie geslaagd" weergeven.

• Ga naar Reports and Activity > Passed Authentications > Passed Authentications active.csv op de ACS-webinterface om te verifiëren dat draadloze clients zijn geverifieerd.

Problemen oplossen

Deze sectie bevat informatie waarmee u problemen met de configuratie kunt oplossen.

• Controleer of MS Certificate Services is geïnstalleerd als een Enterprise root CA op een Windows 2000 Advanced Server met Service Pack 3.

• Controleer of u Cisco Secure ACS voor Windows versie 3.2 met Windows 2000 en Service Pack 3 gebruikt.

• Als de verificatie van de machine op de draadloze client mislukt, is er geen netwerkverbinding met de draadloze verbinding. Alleen accounts die hun profielen hebben gecachet op de draadloze client, kunnen inloggen op het domein. De machine moet worden aangesloten op een bekabeld netwerk of worden ingesteld voor draadloze verbinding zonder 802.1x-beveiliging.

• Als automatische inschrijving bij de CA mislukt wanneer deze zich aansluit bij het domein, controleer dan de Event Viewer om mogelijke redenen.

• Als het gebruikersprofiel van de draadloze client geen geldig certificaat heeft, kunt u zich nog steeds aanmelden bij de machine en het domein als het wachtwoord juist is. Houd er echter rekening mee dat de draadloze verbinding geen verbinding heeft.

• Als het ACS-certificaat op de draadloze client ongeldig is (dat afhankelijk is van de geldige 'van'- en 'tot'-datums van het certificaat, de datum- en tijdinstellingen van de client en het CA-vertrouwen), dan zal de client het weigeren en zal de verificatie mislukken. ACS logt de mislukte verificatie in in de webinterface onder Rapporten en activiteit > mislukte pogingen > mislukte pogingen XXX.csv in met de verificatiefout-code die vergelijkbaar is met "EAP-TLS- of PEAP-verificatie mislukt tijdens SSL-handdruk." De verwachte foutmelding in het bestand CSAuth.log is gelijk aan deze melding:

  AUTH 06/04/2003 14:56:41 E 0345 1644 EAP: buildEAPRequestMsg: 
  other side probably didn't accept our certificate

• Als het certificaat van de client op de ACS ongeldig is (dat afhangt van de geldige "van"- en "tot"-datums van het certificaat, de datum- en tijdinstellingen van de server en CA-vertrouwen), dan zal de server het weigeren en zal de verificatie mislukken. ACS logt de mislukte verificatie in in de webinterface onder Rapporten en activiteit > mislukte pogingen > mislukte pogingen XXX.csv in met de verificatiefout-code die vergelijkbaar is met "EAP-TLS- of PEAP-verificatie mislukt tijdens SSL-handdruk." Als de ACS het certificaat van de client afwijst omdat de ACS de CA niet vertrouwt, is de verwachte foutmelding in het bestand CSAuth.log vergelijkbaar met dit bericht:

  AUTH 06/04/2003 15:47:43 E 0345 1696 EAP: ProcessResponse:
  SSL handshake failed, status = 3 (SSL alert fatal:unknown CA certificate)

  Als de ACS het certificaat van de client afwijst omdat het certificaat is verlopen, is de verwachte foutmelding in het bestand CSAuth.log vergelijkbaar met dit bericht:

  AUTH 06/04/2005 15:02:08 E 0345 1692 EAP: ProcessResponse:
  SSL handshake failed, status = 3 (SSL alert fatal:certificate expired)

• In de logboeken op de ACS-webinterface, onder zowel Rapporten en Activiteit > Doorgegeven verificaties > Doorgegeven verificaties XXX.csv en Rapporten en activiteit > Gefaalde pogingen > Gefaalde pogingen XXX.csv, worden EAP-TLS-verificaties weergegeven in de indeling <gebruiker-id>@<domein>. PEAP-verificaties worden weergegeven in de indeling <DOMAIN>\<user-id>.

• U kunt het certificaat en vertrouwen van de ACS-server verifiëren door de onderstaande stappen te volgen.

  1. Meld u aan bij Windows op de ACS-server met een account met beheerdersrechten.

  2. Ga naar Start > Uitvoeren, typ mmc, en klik op OK om de Microsoft Management Console te openen.

  3. Ga in de menubalk naar Console > Add/Remove Snap-in en klik op Add.

  4. Kies Certificaten en klik op Toevoegen.

  5. Kies Computer-account, klik op Volgende en kies vervolgens Local computer (de computer waarop deze console draait).

  6. Klik op Voltooien, klik op Sluiten en klik vervolgens op OK.

  7. Om te verifiëren dat de ACS-server een geldig certificaat aan de serverzijde heeft, ga naar Console Root > Certificates (Local Computer) > Personal > Certificates, en controleer of er een certificaat is voor de ACS-server (in dit voorbeeld OurACS genoemd).

  8. Open het certificaat en controleer de volgende items:

     • Er wordt niet gewaarschuwd dat het certificaat niet voor alle beoogde doeleinden wordt geverifieerd.

     • Er is geen waarschuwing dat het certificaat niet wordt vertrouwd.

     • "Dit certificaat is bedoeld voor - Garandeert de identiteit van een computer op afstand."

     • Het certificaat is niet verlopen en is geldig geworden (controleer of de datums "van" en "tot" geldig zijn).

     • "U heeft een privé-sleutel die overeenkomt met dit certificaat."

  9. Controleer op het tabblad Details of het veld Versie de waarde V3 heeft en of in het veld Uitgebreid sleutelgebruik de serververificatie is ingevoerd (1.3.6.1.5.5.7.3.1).

  10. Om te verifiëren dat de ACS-server de CA-server vertrouwt, gaat u naar Console Root > Certificates (Local Computer) > Trusted Root Certification Authorities > Certificates, en controleert u of er een certificaat is voor de CA-server (in dit voorbeeld Onze TAC CA genoemd).

  11. Open het certificaat en controleer de volgende items:

      • Er wordt niet gewaarschuwd dat het certificaat niet voor alle beoogde doeleinden wordt geverifieerd.

      • Er is geen waarschuwing dat het certificaat niet wordt vertrouwd.

      • Het beoogde doel van het certificaat is juist.

      • Het certificaat is niet verlopen en is geldig geworden (controleer of de datums "van" en "tot" geldig zijn).

      Als ACS en client niet dezelfde root-CA hebben gebruikt, moet u controleren of de gehele keten van CA-servercertificaten is geïnstalleerd. Hetzelfde geldt indien het certificaat is verkregen van een autoriteit die het subcertificaat afgeeft.

• U kunt het machinecertificaat en het vertrouwen van de draadloze client controleren door de onderstaande stappen te volgen.

  1. Meld u aan bij Windows op de ACS-server met een account met beheerdersrechten. Open Microsoft Management Console door te gaan naar Start > Uitvoeren, mmc te typen en op OK te klikken.

  2. Ga in de menubalk naar Console > Add/Remove Snap-in en klik vervolgens op Add.

  3. Selecteer Certificaten en klik op Toevoegen.

  4. Selecteer Computer-account, klik op Volgende en selecteer vervolgens Local computer (de computer waarop deze console draait).

  5. Klik op Voltooien, klik op Sluiten en klik vervolgens op OK.

  6. Controleer of de machine over een geldig certificaat aan de clientzijde beschikt. Als het certificaat ongeldig is, wordt de machine niet geauthenticeerd. Om het certificaat te verifiëren, ga naar Console Root > Certificaten (Local Computer) > Personal > Certificaten. Controleer of er een certificaat voor de machine is. De naam moet in het formaat <host-name> zijn.<domein>. Open het certificaat en controleer de volgende items.

     • Er wordt niet gewaarschuwd dat het certificaat niet voor alle beoogde doeleinden wordt geverifieerd.

     • Er is geen waarschuwing dat het certificaat niet wordt vertrouwd.

     • "Dit certificaat is bedoeld om - Bewijst uw identiteit aan een computer op afstand."

     • Het certificaat is niet verlopen en is geldig geworden (controleer of de datums "van" en "tot" geldig zijn).

     • "U heeft een privé-sleutel die overeenkomt met dit certificaat."

• Controleer op het tabblad Details of het veld Versie de waarde V3 heeft en of het veld uitgebreid sleutelgebruik ten minste de waarde clientverificatie bevat (1.3.6.1.5.5.7.3.2); er kunnen aanvullende doeleinden worden vermeld. Zorg ervoor dat het veld Onderwerp de waarde CN = <host-name> bevat.<domain>; er kunnen extra waarden worden vermeld. Controleer dat de host-naam en het domein overeenkomen met wat in het certificaat is opgegeven.

• Om te verifiëren dat het profiel van de client vertrouwt op de CA-server, gaat u naar Console Root > Certificaten (huidige gebruiker) > Trusted Root Certification Authorities > Certificates. Controleer of er een certificaat is voor de CA-server (in dit voorbeeld Onze TAC CA genoemd). Open het certificaat en controleer de volgende items.

  • Er wordt niet gewaarschuwd dat het certificaat niet voor alle beoogde doeleinden wordt geverifieerd.

  • Er is geen waarschuwing dat het certificaat niet wordt vertrouwd.

  • Het beoogde doel van het certificaat is juist.

  • Het certificaat is niet verlopen en is geldig geworden (controleer of de datums "van" en "tot" geldig zijn).

  Als ACS en client niet dezelfde root-CA hebben gebruikt, moet u controleren of de gehele keten van CA-servercertificaten is geïnstalleerd. Hetzelfde geldt indien het certificaat is verkregen van een autoriteit die het subcertificaat afgeeft.

• Controleer de ACS-instellingen zoals beschreven in Cisco Secure ACS for Windows v3.2 configureren.

• Controleer de CA-instellingen zoals beschreven in MS Certificate Services configureren.

• Controleer de AP-instellingen zoals beschreven in Cisco Access Point configureren.

• Controleer de instellingen van de draadloze client zoals beschreven in De draadloze client configureren.

• Controleer of de gebruikersaccount bestaat in de interne database van de AAA-server of in een van de geconfigureerde externe databases en zorg ervoor dat de account niet is uitgeschakeld.

• Certificaten die zijn afgegeven door de CA die is gebaseerd op het Secure Hash Algorithm 2 (SHA-2) zijn niet compatibel met Cisco Secure ACS omdat ze zijn ontwikkeld met Java dat op dit moment geen SHA-2 ondersteunt. Om dit probleem op te lossen, installeert u de CA opnieuw en configureert u deze om certificaten uit te geven met SHA-1.

Gerelateerde informatie

• Cisco Secure ACS voor Windows-ondersteuningspagina
• EAP-TLS-implementatiegids voor draadloze LAN-netwerken
• Versie- en AAA-debuginformatie verkrijgen voor Cisco Secure ACS voor Windows
• Technische ondersteuning – Cisco Systems