2023年6月27日发(作者:)
对 Cisco Secure ACS for Windows v3.2 配置 EAP-TLS 机器身份验证目录简介前提条件 要求 使用的组件 背景理论 约定 网络图配置 Cisco Secure ACS for Windows v3.2 获取 ACS 服务器证书 配置 ACS 以使用存储中的证书 指定 ACS 应信任的其他证书颁发机构 重新启动服务并在 ACS 上配置 EAP-TLS 设置 将接入点指定并配置为 AAA 客户端 配置外部用户数据库 重新启动服务配置 MS 证书计算机自动注册配置 Cisco 接入点配置无线客户端 加入域 获取用户证书 配置无线网络验证排除故障相关信息简介本文展示如何用Cisco Secure ACS为Windows3.2版配置可扩展的验证协议——传输层安全(EAP-TLS)。注意: Novell CA 不支持计算机身份验证。ACS 可以使用 EAP-TLS 来支持对 Microsoft Windows Active Directory 进行计算机身份验证。 最终用户客户端可能会将用于用户身份验证的协议限制为用于计算机身份验证的同一协议。 也就是说,使用 EAP-TLS 进行计算机身份验证可能需要使用 EAP-TLS 进行用户身份验证。 有关计算机身份验证的详细信息,请参阅 Cisco 安全访问控制服务器 4.1 用户指南 中的计算机身份验证部分。前提条件要求本文档没有任何特定的前提条件。使用的组件本文档中的信息基于以下软件和硬件版本。Cisco Secure ACS for Windows v3.2Microsoft 证书服务(作为企业根证书颁发机构 [CA] 安装)注意: 有关详细信息,请参阅证书颁发机构设置分步指南 。DNS 服务和 Windows 2000 Server(装有 Service Pack 3 和修补程序 323172)注意: 如果遇到 CA 服务器问题,请安装修补程序 323172 。 Windows 2000 SP3 客户端需要修补程序 313664 才能启用IEEE 802.1x 身份验证。Cisco Aironet 1200 系列无线接入点 12.01T运行 Windows XP Professional(装有 Service Pack 1)的 IBM ThinkPad T30本文档中的信息都是基于特定实验室环境中的设备创建的。 本文档中使用的所有设备最初均采用原始(默认)配置。 如果您是在真实网络上操作,请确保您在使用任何命令前已经了解其潜在影响。背景理论EAP-TLS和受保护可扩展的身份验证协议 (PEAP) 建立和使用TLS/Secure套接层(SSL)隧道。 EAP-TLS在 ACS服务器(鉴权、授权和记帐[AAA]) 和客户端都有证书的情况下使用相互认证,证明它们彼此的身份。 然而,PEAP 仅使用服务器端身份验证; 只有服务器才具备证书,并向客户端证明其身份。约定有关文档规则的详细信息,请参阅 Cisco 技术提示规则。网络图本文档使用下图所示的网络设置。配置 Cisco Secure ACS for Windows v3.2按照以下步骤配置 ACS 3.2。1.2.3.4.5.6.7.获取 ACS 服务器证书。配置 ACS 以使用存储中的证书。指定 ACS 应信任的其他证书颁发机构。重新启动服务并在 ACS 上配置 PEAP 设置。将接入点指定并配置为 AAA 客户端。配置外部用户数据库。重新启动服务。获取 ACS 服务器证书按照以下步骤获取证书。1.在 ACS 服务器上打开 Web 浏览器,并输入 CA-ip-address/certsrv 以便访问 CA 服务器。2.以管理员身份登录到域。3.选择 Request a certificate,然后单击 Next。4.选择 Advanced request,然后单击 Next。5.选择 Submit a certificate request to this CA using a form,然后单击 Next。6.配置证书选项:a.选择 Web Server 作为证书模板,并输入 ACS 服务器的名称。b.在 Key Size 字段中输入 1024,并选中 Mark keys as exportable 和 Use local machine store 复选框。c.根据需要配置其他选项,然后单击 Submit。注意: 如果显示 Potential Scripting Violation 对话框,请单击 Yes 以继续。7.单击 Install this certificate。注意: 如果显示 Potential Scripting Violation 对话框,请单击 Yes 以继续。8.如果安装成功,将显示 Certificate Installed 消息。配置 ACS 以使用存储中的证书请完成以下步骤以便将 ACS 配置为使用存储中的证书。1.打开 Web 浏览器,并输入 ACS-ip-address:2002/ 以访问 ACS 服务器。2.单击 System Configuration,然后单击 ACS Certificate Setup。3.单击 Install ACS Certificate。4.单击 Use certificate from storage 单选按钮。5.在 Certificate CN 字段中,输入您在本文档获取 ACS 服务器证书部分的步骤 5a 中指定的证书名称。6.单击 Submit。配置完成之后,将显示一条确认消息,指示 ACS 服务器配置已发生更改。注意: 此时无需重新启动 ACS。指定 ACS 应信任的其他证书颁发机构ACS 自动信任颁发其自己的证书的 CA。 如果客户端证书由其他 CA 颁发,您必须完成以下步骤:1.单击 System Configuration,然后单击 ACS Certificate Setup。2.单击 ACS Certificate Authority Setup 以向受信任的证书列表添加 CA。3.在 CA 证书文件的字段中,输入证书的位置,然后单击 Submit。4.单击 Edit Certificate Trust List。5.选中ACS应该信任的所有CA,不要选择ACS不应信任的所有CA。6.单击 Submit。重新启动服务并在 ACS 上配置 EAP-TLS 设置完成以下步骤,以便重新启动服务和配置 EAP-TLS 设置:1.单击 System Configuration,然后单击 Service Control。2.单击 Restart 以重新启动服务。3.要配置 EAP-TLS 设置,请单击 System Configuration,然后单击 Global Authentication Setup。4.选中 Allow EAP-TLS,然后选中一个或多个证书比较。5.单击 Submit。将接入点指定并配置为 AAA 客户端完成这些步骤为了配置访问接入点(AP)作为AAA客户端:1.单击 Network Configuration。2.在 AAA Clients 下,单击 Add Entry。3.在 AAA Client Hostname 字段中输入接入点主机名,在 AAA Client IP Address 字段中输入 IP 地址。4.在 Key 字段中输入 ACS 和接入点的共享密钥。5.选择 RADIUS (Cisco Aironet) 作为身份验证方法,并且单击 Submit。配置外部用户数据库完成以下步骤以便配置外部用户数据库。单击 External User Databases,然后单击 Database Configuration。1.2.单击 Windows Database。注意: 如果尚未定义 Windows 数据库,请单击 Create New Configuration,然后单击 Submit。3.单击 Configure。4.在 Configure Domain List 下,将 SEC-SYD 域从 Available Domains 移至 Domain List。5.在 Windows EAP Settings 区域中,单击 Permit EAP-TLS machine authentication 复选框以启用计算机身份验证。注意: 请勿 更改计算机身份验证名称前缀。 Microsoft 当前使用“/host”(默认值)区分用户身份验证和计算机身份验证。6.或者,您也可以选中 EAP-TLS Strip Domain Name 复选框以便启用域剥离。7.单击 Submit。8.单击 External User Databases,然后单击 Unknown User Policy。9.单击 Check the following external user databases 单选按钮。10.将 Windows Database 从 External Databases 列表移至 Selected Databases 列表。11.单击 Submit。重新启动服务在完成 ACS 配置之后,请完成以下步骤以便重新启动服务:1.单击 System Configuration,然后单击 Service Control。2.单击 Restart。配置 MS 证书计算机自动注册完成以下步骤以便为域配置计算机证书自动注册:1.转至 Control Panel > Administrative Tools > Open Active Directory Users and Computers。2.右键单击 domain sec-syd,并选择 Properties。3.单击 Group Policy 选项卡。4.单击 Default Domain Policy,然后单击 Edit。5.转至 Computer Configuration > Windows Settings > Security Settings > Public Key Policies > AutomaticCertificate Request Settings。6.在菜单栏上转至 Action > New > Automatic Certificate Request,并单击 Next。7.选择 Computer,并单击 Next。8.选中证书颁发机构,在本示例中为“Our TAC CA”。9.点击其次,然后点击完成。配置 Cisco 接入点完成以下步骤以便将 AP 配置为使用 ACS 作为身份验证服务器:1.打开 Web 浏览器,并输入 AP-ip-address/certsrv 以便访问 AP。2.请在工具栏上单击 Setup。3.请在 Services 下单击 Security,然后单击 Authentication Server。注意: 如果您已在 AP 上配置相应帐户,则必须登录。4.输入身份验证程序配置设置:在 802.1x Protocol Version 中选择 802.1x-2001(适用于 EAP 身份验证)。在 Server Name/IP 字段中,输入 ACS 服务器的 IP 地址。选择 RADIUS 作为服务器类型。在 Port 字段中输入 1645 或 1812。输入您在将接入点指定并配置为 AAA 客户端中指定的共享密钥。选中 EAP Authentication 选项以指定服务器的使用方式。5.请在完成后单击 OK。6.单击 Radio Data Encryption (WEP)。7.输入内部数据加密设置。从 Use of Data Encryption by Stations is 下拉列表中选择 Full Encryption,以便设置数据加密的级别。对于 Accept Authentication Type,请选中 Open 复选框以便设置接受的身份验证类型,并选中 Network-EAP 以便启用LEAP。对于 Require EAP,请选中 Open 复选框以便需要 EAP。在 Encription Key 字段中输入加密密钥,并从 Key Size 下拉列表中选择 128 bit。8.请在完成后单击 OK。9.去Network > Service Sets > Select the SSID Idx为了确认使用正确的服务集标识符(SSID)。10.单击 OK。配置无线客户端完成以下步骤以便配置 ACS 3.2:1.加入域。2.获取用户证书。3.配置无线网络。加入域完成以下步骤以便向域添加无线客户端。注意: 要完成这些步骤,无线客户端必须连接到 CA,可以通过有线连接或禁用了 802.1 安全功能的无线连接。1.以本地管理员身份登录到 Windows XP。2.转至 Control Panel > Performance and Maintenance > System。3.单击 Computer Name 选项卡,然后单击 Change。4.在 Computer Name 字段中输入主机名。5.选择 Domain,然后输入域名(在本示例中为 SEC-SYD)。6.单击 OK。7.当显示 Login 对话框时,请使用具有足够的权限的帐户登录以加入域。8.在计算机成功加入域之后,请重新启动该计算机。计算机随即成为该域的成员。 由于配置了计算机自动注册,因此计算机安装有 CA 颁发的证书和计算机身份验证证书。获取用户证书完成以下步骤以便获取用户证书。1.使用需要证书的帐户在无线客户端(便携式计算机)上登录到 Windows XP 和域 (SEC-SYD)。2.打开 Web 浏览器,并输入 CA-ip-address/certsrv 以便访问 CA 服务器。3.使用同一帐户登录到 CA 服务器。注意: 证书存储在无线客户端上的当前用户的配置文件下; 因此,必须使用同一 帐户以便登录到 Windows 和 CA。4.单击 Request a certificate 单选按钮,然后单击 Next。5.单击 Advanced request 单选按钮,然后单击 Next。6.单击 Submit a certificate request to this CA using a form 单选按钮,然后单击 Next。7.从 Certificate Template 中选择 User,并在 Key Size 字段中输入 1024。8.根据需要配置其他选项,然后单击 Submit。注意: 如果显示 Potential Scripting Violation 对话框,请单击 Yes 以继续。9.单击 Install this certificate。注意: 如果显示 Potential Scripting Violation 对话框,请单击 Yes 以继续。注意: 如果尚未在无线客户端上保存 CA 自己的证书,则可能会显示 Root Certificate Store。 单击 Yes 以便将证书保存到本地存储。如果安装成功,则会显示一条确认消息。配置无线网络完成以下步骤以便设置无线网络的选项:1.以域用户身份登录到域。2.转至 Control Panel > Network and Internet Connections > Network Connections。3.右键单击 Wireless Connection,并选择 Properties。4.单击 Wireless Networks 选项卡。5.从可用网络列表中选择无线网络,然后单击 Configure。6.在 Authentication 选项卡上,请选中 Enable IEEE 802.1x authentication for this network 复选框。7.从 EAP 类型下拉列表选择 Smart Card or other Certificate,然后单击 Properties。注意: 要启用计算机身份验证,请选中 Authenticate as computer when computer information is available 复选框。8.单击 Use a certificate on this computer 单选按钮,然后选中 Use simple certificate selection 复选框。9.选中 Validate server certificate 复选框,并单击 OK。注意: 当客户端加入域时,CA 证书将作为可靠的根证书颁发机构自动安装。 客户端将自动以隐式方式信任签署客户端证书的CA。 通过在 Trusted Root Certification Authorities 列表中检入其他 CA,也可以信任其他 CA。10.在网络属性窗口的 Association 选项卡上,选中 Data encryption (WEP enabled) 和 The key is provided for meautomatically 复选框。11.单击 OK,然后再次单击 OK 以关闭网络配置窗口。验证本部分提供了可用于确认您的配置是否正常运行的信息。要验证无线客户端是否已通过验证,请完成以下步骤:1.在无线客户端上,转至 Control Panel > Network and Internet Connections > Network Connections。2.在菜单栏上转至 View > Tiles。此时,无线连接应显示“Authentication succeeded”消息。要验证无线客户端是否已通过验证,请在 ACS Web 界面上转至 Reports and Activity > Passed Authentications > PassedAuthentications 。排除故障本部分提供的信息可用于对配置进行故障排除。验证是否已在 Windows 2000 Advanced Server(装有 Service Pack 3)上将 MS 证书服务安装为企业根 CA。验证您是否正在使用 Cisco Secure ACS for Windows v3.2 和 Windows 2000(装有 Service Pack 3)。如果机器认证在无线客户端出现故障,在无线连接将没有网络连接 。 只有档案存储在无线客户端上的缓存中的帐户才能登录到域。 计算机必须插入到有线网络中,或者设置为没有任何 802.1x 安全功能的无线连接。如果 CA 在加入域时自动注册失败,请查看事件查看器以查找可能的错误原因。如果无线客户端用户的配置文件无有效证书,且密码正确,那么您仍然能登录机器和域,但注意不能建立无线连接。如果无线客户端上的 ACS 证书无效(取决于证书生效的起止日期、客户端日期和时间设置以及 CA 信任),客户端将拒绝该证书,从而导致身份验证失败。 ACS 将在 Web 界面中的 Reports and Activity > Failed Attempts > Failed 下记录失败的身份验证,其中含有与“EAP-TLS or PEAP authentication failed during SSL handshake.”类似的身份验证失败代码。 文件中的预期错误消息与此消息相似:AUTH 06/04/2003 14:56:41 E 0345 1644 EAP: buildEAPRequestMsg:other side probably didn't accept our certificate如果ACS上的客户端证书无效(取决于认证生效的起止日期、客户端日期和时间设置和CA信任),客户端将拒绝证书,导致认证失败。 ACS 将在 Web 界面中的 Reports and Activity > Failed Attempts > Failed Attempts 下记录失败的身份验证,其中含有与“EAP-TLS or PEAP authentication failed during SSL handshake.”类似的身份验证失败代码。 如果 ACS因为不信任 CA 而拒绝了客户端证书, 文件中的预期错误消息则与此消息相似:AUTH 06/04/2003 15:47:43 E 0345 1696 EAP: ProcessResponse:SSL handshake failed, status = 3 (SSL alert fatal:unknown CA certificate)如果 ACS 因为客户端证书已过期而拒绝了该证书, 文件中的预期错误消息则与此消息相似:AUTH 06/04/2005 15:02:08 E 0345 1692 EAP: ProcessResponse:SSL handshake failed, status = 3 (SSL alert fatal:certificate expired)在 ACS Web 界面上日志中的 Reports and Activity > Passed Authentications > Passed Authentications 和Reports and Activity > Failed Attempts > Failed Attempts 下都以
发布者:admin,转转请注明出处:http://www.yc00.com/news/1687803017a46393.html
评论列表(0条)