简介

本文档介绍如何使用可扩展身份验证协议(EAP) — 传输层安全(TLS)来设置具有802.1x安全性的无线局域网(WLAN)。

先决条件

要求

Cisco 建议您了解以下主题：

802.1x身份验证过程

证书

使用的组件

本文档中的信息基于以下软件和硬件版本：

WLC 5508版本8.3

身份服务引擎(ISE)版本2.1

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您的网络处于活动状态，请确保您了解所有命令的潜在影响。

背景信息

EAP-TLS流

EAP-TLS流中的步骤

无线客户端与接入点(AP)关联。

AP不允许客户端此时发送任何数据并发送身份验证请求。

请求方随后使用EAP响应身份进行响应。然后，WLC将用户ID信息传达给身份验证服务器。

RADIUS服务器使用EAP-TLS启动数据包响应客户端。EAP-TLS会话从此开始。

对等体将EAP-Response发送回包含“client_hello”握手消息的身份验证服务器，该握手消息为NULL设置。

身份验证服务器以包含以下内容的访问质询数据包作出响应：

TLS server_hello

handshake message

certificate

server_key_exchange

certificate request

server_hello_done.

客户端以包含以下内容的EAP-Response消息进行响应：

Certificate ¬ Server can validate to verify that it is trusted.

client_key_exchange

certificate_verify ¬ Verifies the server is trusted

change_cipher_spec

TLS finished

在客户端成功进行身份验证后，RADIUS服务器会以Access-challenge响应，该Access-challenge包含“change_cipher_spec”和握手完成消息。收到此消息后，客户端将验证散列以验证RADIUS服务器。在TLS握手期间，新加密密钥会从密钥中动态派生。

此时，启用EAP-TLS的无线客户端可以访问无线网络。

配置

思科无线局域网控制器

步骤1.第一步是在Cisco WLC上配置RADIUS服务器。要添加RADIUS服务器，请导航至Security > RADIUS > Authentication。单击New，如图所示。

步骤2.在此，您需要输入IP地址和用于验证ISE上WLC的共享密钥。单击Apply以继续，如图所示。

步骤3.为RADIUS身份验证创建WLAN。

现在，您可以创建新的WLAN并将其配置为使用WPA — 企业模式，以便它可以使用RADIUS进行身份验证。

步骤4.从主菜单中选择WLAN，选择Create New,然后单击Go，如图所示。

步骤5.让我们为新的WLAN EAP命名。单击Apply以继续，如图所示。

步骤6.单击“常规”，确保“状态”为“已启用”。默认安全策略为802.1X身份验证和WPA2，如图所示。

步骤7.现在，导航至Security > AAA Servers选项卡，选择您刚配置的RADIUS服务器，如图所示。

注意：在继续之前，最好验证您可以从WLC访问RADIUS服务器。RADIUS使用UDP端口1812(用于身份验证)，因此您需要确保此流量不会在网络的任何位置被阻止。

带Cisco WLC的ISE

EAP-TLS设置

要构建策略，您需要创建允许的协议列表以在策略中使用。由于写入了dot1x策略，因此请根据策略的配置方式指定允许的EAP类型。

如果使用默认值，则允许大多数EAP类型进行身份验证，如果需要锁定对特定EAP类型的访问，则可能不是首选。

步骤1.导航至Policy > Policy Elements > Results > Authentication > Allowed Protocols，然后单击Add，如图所示。

步骤2.在此Allowed Protocol列表中，可以输入列表的名称。在这种情况下，Allow EAP-TLS 框被选中，其他框则被取消选中，如图所示。

ISE上的WLC设置

步骤1.打开ISE控制台并导航至Administration > Network Resources > Network Devices > Add，如图所示。

步骤2.输入图中所示的值。

在ISE上创建新用户

步骤1.导航至Administration > Identity Management > Identities > Users > Add，如图所示。

步骤2.输入图中所示的信息。

ISE上的信任证书

步骤1.导航至Administration > System > Certificates > Certificate Management > Trusted certificates。

单击Import将证书导入ISE。添加WLC并在ISE上创建用户后，您需要执行EAP-TLS中最重要的部分，即在ISE上信任证书。为此，我们需要生成CSR。

步骤2.导航至Administration > Certificates > Certificate Signing Requests > Generate Certificate Signing Requests(CSR)，如图所示。

步骤3.要生成CSR，请导航至Usage，并从Certificate(s)will be used for下拉选项中选择EAP Authentication，如图所示。

步骤4.可以查看在ISE上生成的CSR。单击View，如图所示。

步骤5.生成CSR后，浏览CA服务器，然后点击Request a certificate(请求证书)，如图所示：

步骤6.请求证书后，您将获得用户证书和高级证书请求的选项，单击高级证书请求，如图所示。

步骤7.粘贴在Base-64编码的证书请求中生成的CSR。从证书模板：下拉选项，选择“Web Server”，然后单击提交，如图所示。

步骤8.单击Submit后，即可选择选择证书类型，选择Base-64编码，然后单击Download certificate chain，如图所示。

步骤9. ISE服务器的证书下载已完成。您可以提取证书，证书将包含两个证书，一个根证书和其他中间证书。根证书可以在Administration > Certificates > Trusted certificates > Import下导入，如图所示。

步骤10.单击Submit后，证书将添加到受信任证书列表。此外，需要中间证书才能与CSR绑定，如图所示。

步骤11.单击Bind certificate后，可以选择保存在桌面中的证书文件。浏览到中间证书，然后单击Submit，如图所示。

步骤12.要查看证书，请导航至Administration > Certificates > System Certificates，如图所示。

EAP-TLS的客户端

在客户端(Windows桌面)上下载用户证书

步骤1.要通过EAP-TLS对无线用户进行身份验证，您必须生成客户端证书。将Windows计算机连接到网络，以便您能够访问服务器。打开Web浏览器并输入以下地址：https://sever ip addr/certsrv—

步骤2.请注意，CA必须与为ISE下载证书的CA相同。

为此，您需要浏览用于下载服务器证书的同一CA服务器。在同一CA上，单击Request a certificate(请求证书)，但是，这次您需要选择User(用户)作为Certificate Template(证书模板)，如图所示。

步骤3.然后，按照以前对服务器执行的步骤单击下载证书链。

获得证书后，请按照以下步骤在Windows笔记本电脑上导入证书：

步骤4.要导入证书，您需要从Microsoft管理控制台(MMC)访问该证书。

要打开MMC，请导航至“开始”>“运行”>“MMC”。

导航至“文件”>“添加/删除管理单元”

双击“Certificates”。

选择计算机帐户。

选择“本地计算机”>“完成”

单击OK以退出“管理单元”窗口。

单击Certificates > Personal > Certificates旁边的[+]。

右键单击“证书”并选择“所有任务”>“导入”。

单击 Next。

单击浏览。

选择要导入的.cer、.crt或.pfx。

单击 Open(打开)。

单击 Next。

选择Automatically select the certificate store based the certificate type。

单击“完成”和“确定”

证书导入完成后，您需要为EAP-TLS配置无线客户端(本例中为windows桌面)。

EAP-TLS的无线配置文件

步骤1.更改之前为受保护的可扩展身份验证协议(PEAP)创建的无线配置文件，以便改用EAP-TLS。单击EAP无线配置文件。

步骤2.选择Microsoft:智能卡或其他证书，然后单击图像中显示的OK。

步骤3.单击设置，然后选择从CA服务器颁发的根证书，如图所示。

步骤4.单击Advanced Settings，并从802.1x设置选项卡中选择User或computer authentication，如图所示。

步骤5.现在，尝试再次连接到无线网络，选择正确的配置文件(本例中为EAP)并连接。您已连接到无线网络，如图所示。

验证

使用本部分可确认配置能否正常运行。

步骤1.客户端策略管理器状态应显示为RUN。这意味着客户端已完成身份验证，已获取IP地址，并且已准备好通过映像中显示的流量。

步骤2.在客户端详细信息页面中，如图所示，在WLC上验证EAP方法是否正确。

步骤3.以下是来自控制器CLI的客户端详细信息(输出已修剪):

(Cisco Controller-Standby) >show client detail 34:02:86:96:2f:b7

Client MAC Address............................... 34:02:86:96:2f:b7

Client Username ................................. Administrator

AP MAC Address................................... 00:d7:8f:52:db:a0

AP Name.......................................... Alpha2802_3rdfloor

AP radio slot Id................................. 0

Client State..................................... Associated

Wireless LAN Id.................................. 5

Wireless LAN Network Name (SSID)................. EAP

Wireless LAN Profile Name........................ EAP

Hotspot (802.11u)................................ Not Supported

BSSID............................................ 00:d7:8f:52:db:a4

Connected For ................................... 48 secs

Channel.......................................... 1

IP Address....................................... 10.106.32.239

Gateway Address.................................. 10.106.32.1

Netmask.......................................... 255.255.255.0

Policy Manager State............................. RUN

Policy Type...................................... WPA2

Authentication Key Management.................... 802.1x

Encryption Cipher................................ CCMP-128 (AES)

Protected Management Frame ...................... No

Management Frame Protection...................... No

EAP Type......................................... EAP-TLS

步骤4.在ISE上，导航至Context Visibility > End Points > Attributes，如图所示。

故障排除

目前没有针对此配置的故障排除信息。