Использование aIOS WGB с проверкой подлинности EAP-TLS в объединенной беспроводной сети (Cisco Unified Wireless Network) - Часть 3

Часть 2

Настройте WLAN WLC для аутентификации к ACS

Выполните следующие действия:

1.     Перейдите к GUI WLC.

2.     Добавьте, что ACS к серверу RADIUS перечисляет:

a.     Выберите Security> AAA> RADIUS> Authentication и нажмите New.

b.     Введите IP-адрес ACS в панель Адреса IP - сервера.

c.     Введите общий секретный ключ RADIUS от предыдущего шага.

d.     Нажмите кнопку Apply.

3.     Добавьте WLAN для клиентов EAP-TLS:

a.     Под WLAN нажмите New.

b.     Введите SSID как имя профиля и SSID WLAN.

c.     Во Вкладке Общие проверьте флажок Enabled, и Широковещательный SSID (как требующийся).

d.     Под Вкладкой Безопасность:

a.     Под вкладкой Уровня 2 выберите WPA+WPA2 в раскрывающемся меню Безопасности Уровня 2, проверьте Политику WPA с шифрованием TKIP, политику WPA2 снятия с шифрованием AES, и выберите 802.1X для Mgmt Ключа Аутентификации.

b.     Под Серверами AAA (проверка подлинности, авторизация и учет) добавьте ACS, если ACS не является глобальным сервером радиуса по умолчанию.

e.     Нажмите кнопку Apply. Более детально можно узнать у компании занимающийся обслуживанием компьютеров и сетевого оборудования.

Настройте сертификаты о WGB

Выполните следующие действия:

Примечание. Этот метод использует метод копии-и-вставки. Обратитесь к Сертификатам Настройки Использование крипто-CLI pki в Руководстве по конфигурации программного обеспечения MIC беспроводных сетей Серии Cisco 3200 для получения дополнительной информации о том, как использовать методы SCEP и TFTP.

1.     Установите имя хоста, доменное имя и время WGB как необходимый.

a.     Имя хоста должно совпасть, имя пользователя ввело для него в ACS как в предыдущем шаге:

b.  ap#configure terminal
c.  ap(config)#hostname WGB
WGB(config)#

d.     Время должно быть корректным для сертификаций, чтобы работать (CLI exec clock set, или настроить sntp server).

2.     Настройте точку доверия для CA:

3.  WGB#config term
4.  WGB(config)#crypto pki trustpoint CUT-PASTE
5.  WGB(config)#enrollment terminal
6.  WGB(config)#subject-name CN=WGB

Примечание. subject-name CN=<ClientName>требуется. Без него Microsoft CA не в состоянии выполнять свидетельство с сообщением об ошибках The request subject name is invalid or too long. 0x80094001.

WGB(config)#revocation-check none

Примечание. Revocation-check ни один не дает команду, необходим для ухода от проблемы, описанной в идентификаторе ошибки Cisco CSCsl07349 (только зарегистрированные клиенты). WGB часто разъединяет/повторно привязывает и занимает много времени, чтобы повторно соединиться.

WGB(config)#rsakeypair manual-keys 1024

7.     Установите CA свидетельство на WGB:

a.     Получите копию CA свидетельство:

a.     Перейдите к CA: http://ip.of. CA.server/certsrv

b.     Нажмите Загружают сертификат ЦС, цепочку сертификатов, или CRL.

c.     Выберите Способ кодирования: Ядро 64.

d.     Нажмите Загружают сертификат ЦС.

e.     Сохраните.cer файл.

b.     Установите CA свидетельство:

c.  WGB(config)#crypto pki authenticate CUT-PASTE
d.  Enter the base 64 encoded CA certificate.
e.   
End with a blank line or the word "quit" on a line by itself

Теперь, вставка в тексте от.cer файла загружена в предыдущем шаге.  Если вы не можете решить проблему, обратитесь в компанию занимающуюся ит аутсорсингом.

-----BEGIN CERTIFICATE-----
[ ... ]
-----END CERTIFICATE-----
 
quit
 
Certificate has the following attributes:
 
Fingerprint: 45EC6866 A66B4D8F 2E05960F BC5C1B76
 
% Do you accept this certificate? [yes/no]: yes
 
Trustpoint CA certificate accepted.
 
% Certificate successfully imported

8.     Запросите и установите сертификат клиента на WGB:

a.     Генерируйте запрос сертификата на WGB:

b.  WGB(config)#crypto pki enroll CUT-PASTE
c.  % Start certificate enrollment ..
d.   
e.  % The subject name in the certificate will include: CN=WGB
f.  % Include the router serial number in the subject name? [yes/no]: no
g.  % Include an IP address in the subject name? [no]: no
h.  Display Certificate Request to terminal? [yes/no]: yes
i.  Certificate Request follows:
j.   
k.  MIIBjzCB+QIBADAvMQwwCgYDVQQDEwNXR0IxHzAdBgkqhkiG9w0BCQIWEFdHQi5j
l.  Y2lld2lmaS5jb20wgZ8wDQYJKoZIhvcNAQEBBQADgY0AMIGJAoGBAMuyZ0Y/xI3O
m.  6Pwch3qA/JoBobYcvKHlc0B0qvqPgCmZgNb8nsFDV8ZFQKb3ySdIxlqOGtrn/Yoh
n.  2LHzRKi+AWQHFGAB2vkFD0SJD8A6+YD/GqEdXGoo/e0eqJ7LgFq0wpUQoYlPxsPn
o.  QUcK9ZDwd8EZNYdxU/jBtLG9MLX4gta9AgMBAAGgITAfBgkqhkiG9w0BCQ4xEjAQ
p.  MA4GA1UdDwEB/wQEAwIFoDANBgkqhkiG9w0BAQQFAAOBgQAsCItCKRtu16JmG4rz
q.  cDROO1QdmNYDuwkswHRgSHDMjVvBmoqA2bKeNsTj+svuX5S/Q2cGbzC6OLN/ftQ7
r.  fw+RcKKm8+SpaEnU3eYGs3HhY7W9L4MY4JkY8I89ah15/V82SoIAOfCJDy5BvBP6
s.  hk7GAPbMYkW9wJaNruVEvkYoLQ==
t.   
u.  ---End - This line not part of the certificate request---

Часть 4

 

Заказать звонок

Пожалуйста, оставьте свои контакты