Настройте WLAN WLC для аутентификации к ACS
Выполните следующие действия:
1. Перейдите к GUI WLC.
2. Добавьте, что ACS к серверу RADIUS перечисляет:
a. Выберите Security> AAA> RADIUS> Authentication и нажмите New.
b. Введите IP-адрес ACS в панель Адреса IP - сервера.
c. Введите общий секретный ключ RADIUS от предыдущего шага.
d. Нажмите кнопку Apply.
3. Добавьте WLAN для клиентов EAP-TLS:
a. Под WLAN нажмите New.
b. Введите SSID как имя профиля и SSID WLAN.
c. Во Вкладке Общие проверьте флажок Enabled, и Широковещательный SSID (как требующийся).
d. Под Вкладкой Безопасность:
a. Под вкладкой Уровня 2 выберите WPA+WPA2 в раскрывающемся меню Безопасности Уровня 2, проверьте Политику WPA с шифрованием TKIP, политику WPA2 снятия с шифрованием AES, и выберите 802.1X для Mgmt Ключа Аутентификации.
b. Под Серверами AAA (проверка подлинности, авторизация и учет) добавьте ACS, если ACS не является глобальным сервером радиуса по умолчанию.
e. Нажмите кнопку Apply. Более детально можно узнать у компании занимающийся обслуживанием компьютеров и сетевого оборудования.
Настройте сертификаты о WGB
Выполните следующие действия:
Примечание. Этот метод использует метод копии-и-вставки. Обратитесь к Сертификатам Настройки Использование крипто-CLI pki в Руководстве по конфигурации программного обеспечения MIC беспроводных сетей Серии Cisco 3200 для получения дополнительной информации о том, как использовать методы SCEP и TFTP.
1. Установите имя хоста, доменное имя и время WGB как необходимый.
a. Имя хоста должно совпасть, имя пользователя ввело для него в ACS как в предыдущем шаге:
b. ap#configure terminal
c. ap(config)#hostname WGB
WGB(config)#
d. Время должно быть корректным для сертификаций, чтобы работать (CLI exec clock set, или настроить sntp server).
2. Настройте точку доверия для CA:
3. WGB#config term
4. WGB(config)#crypto pki trustpoint CUT-PASTE
5. WGB(config)#enrollment terminal
6. WGB(config)#subject-name CN=WGB
Примечание. subject-name CN=<ClientName>требуется. Без него Microsoft CA не в состоянии выполнять свидетельство с сообщением об ошибках The request subject name is invalid or too long. 0x80094001.
WGB(config)#revocation-check none
Примечание. Revocation-check ни один не дает команду, необходим для ухода от проблемы, описанной в идентификаторе ошибки Cisco CSCsl07349 (только зарегистрированные клиенты). WGB часто разъединяет/повторно привязывает и занимает много времени, чтобы повторно соединиться.
WGB(config)#rsakeypair manual-keys 1024
7. Установите CA свидетельство на WGB:
a. Получите копию CA свидетельство:
a. Перейдите к CA: http://ip.of. CA.server/certsrv
b. Нажмите Загружают сертификат ЦС, цепочку сертификатов, или CRL.
c. Выберите Способ кодирования: Ядро 64.
d. Нажмите Загружают сертификат ЦС.
e. Сохраните.cer файл.
b. Установите CA свидетельство:
c. WGB(config)#crypto pki authenticate CUT-PASTE
d. Enter the base 64 encoded CA certificate.
e.
End with a blank line or the word "quit" on a line by itself
Теперь, вставка в тексте от.cer файла загружена в предыдущем шаге. Если вы не можете решить проблему, обратитесь в компанию занимающуюся ит аутсорсингом.
-----BEGIN CERTIFICATE-----
[ ... ]
-----END CERTIFICATE-----
quit
Certificate has the following attributes:
Fingerprint: 45EC6866 A66B4D8F 2E05960F BC5C1B76
% Do you accept this certificate? [yes/no]: yes
Trustpoint CA certificate accepted.
% Certificate successfully imported
8. Запросите и установите сертификат клиента на WGB:
a. Генерируйте запрос сертификата на WGB:
b. WGB(config)#crypto pki enroll CUT-PASTE
c. % Start certificate enrollment ..
d.
e. % The subject name in the certificate will include: CN=WGB
f. % Include the router serial number in the subject name? [yes/no]: no
g. % Include an IP address in the subject name? [no]: no
h. Display Certificate Request to terminal? [yes/no]: yes
i. Certificate Request follows:
j.
k. MIIBjzCB+QIBADAvMQwwCgYDVQQDEwNXR0IxHzAdBgkqhkiG9w0BCQIWEFdHQi5j
l. Y2lld2lmaS5jb20wgZ8wDQYJKoZIhvcNAQEBBQADgY0AMIGJAoGBAMuyZ0Y/xI3O
m. 6Pwch3qA/JoBobYcvKHlc0B0qvqPgCmZgNb8nsFDV8ZFQKb3ySdIxlqOGtrn/Yoh
n. 2LHzRKi+AWQHFGAB2vkFD0SJD8A6+YD/GqEdXGoo/e0eqJ7LgFq0wpUQoYlPxsPn
o. QUcK9ZDwd8EZNYdxU/jBtLG9MLX4gta9AgMBAAGgITAfBgkqhkiG9w0BCQ4xEjAQ
p. MA4GA1UdDwEB/wQEAwIFoDANBgkqhkiG9w0BAQQFAAOBgQAsCItCKRtu16JmG4rz
q. cDROO1QdmNYDuwkswHRgSHDMjVvBmoqA2bKeNsTj+svuX5S/Q2cGbzC6OLN/ftQ7
r. fw+RcKKm8+SpaEnU3eYGs3HhY7W9L4MY4JkY8I89ah15/V82SoIAOfCJDy5BvBP6
s. hk7GAPbMYkW9wJaNruVEvkYoLQ==
t.
u. ---End - This line not part of the certificate request--- Часть 4