Оглавление |
---|
Настройка WLC
Для настройки TLS авторизации необходимо:
...
Для каждого сертификата клиента нужно создать private-key. Используется алгоритм RSA, размер ключа в битах задается в диапазоне от 1024 до 4096 (не обязательный необязательный параметр, по умолчанию – 2048 бит).
Команда имеет вид:
...
Посмотреть созданный csr можно с помощью команды show crypto certificates csr <имя файла>:
Блок кода | ||||
---|---|---|---|---|
| ||||
wlc# show crypto certificates csr tester.csr Version: 1 Subject name: C(countryName): ru ST(stateOrProvinceName): Novosibirsk_oblast L(localityName): 4_floor O(organizationName): ELTEX OU(organizationalUnitName): wireless CN(commonName): tester@wlc.root emailAddress(emailAddress): test@test.com Signature: Algorithm: sha256WithRSAEncryption Value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ubject Public Key Info: Algorithm: RSA Key size: 2048 Exponent: 65537 Modulus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v3 Subject Alternative Name: Names: IP Address:10.10.10.10 Critical: No |
...
После генерации csr клиента нужно подписать его с помощью CA-сертификата от RADIUS-сервера.
Блок кода | ||||
---|---|---|---|---|
| ||||
wlc# sh crypto certificates cert default_ca.pem Version: 3 Serial: 43:60:5B:D5:8E:6B:0A:56:39:0D:0D:D2:6E:25:CF:31:37:F3: EB:24 Subject name: C(countryName): RU ST(stateOrProvinceName): Russia L(localityName): Novosibirsk O(organizationName): Eltex Enterprise Ltd CN(commonName): Eltex default certificate authority Issuer name: C(countryName): RU ST(stateOrProvinceName): Russia L(localityName): Novosibirsk O(organizationName): Eltex Enterprise Ltd CN(commonName): Eltex default certificate authority Validity period: Valid after: 25.12.2023 09:32:54 Invalid after: 01.12.2123 09:32:54 Signature: Algorithm: sha256WithRSAEncryption Value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ublic key info: Algorithm: RSA Key size: 2048 Exponent: 65537 Modulus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v3 Subject key identifier: ID: CE:26:E0:9F:6B:39:95:5F:2C:AC:99:87:70:EA:90:7D:7E:C7: 86:40 Critical: No X509v3 Authority key identifier: ID: CE:26:E0:9F:6B:39:95:5F:2C:AC:99:87:70:EA:90:7D:7E:C7: 86:40 Critical: No X509v3 Basic Constraints: CA: Yes Critical: Yes |
...
Блок кода | ||
---|---|---|
| ||
wlc# configure wlc(config)# radius-server local wlc(config-radius)# domain wlc wlc(config-radius-domain)# user tester wlc(config-radius-user)# crypto cert tester.crt |
После настройки важно не забыть необходимо применить изменения:
Блок кода |
---|
wlc# commit wlc# confirm |
...
Для установки сертификата на устройство клиента нужно экспортировать его с wlc. Это можно сделать с помощью команды copy с использованием протоколов ftp, http, https, scp, sftp, tftp, а так же также на usb и mmc устройства. Команда передачи контейнера с сертификатом имеет вид:
...
- Откройте файл .р12. Никакие параметры менять не нужно. Нажмите "Далее".
- Введите пароль. Напоминаю, что пароль Он соответствует параметру сертификата Password, который Вы вы указали при генерации контейнера на wlc.
- Подтвердите установку пользовательского сертификата.
- Установка пользовательского и корневого сертификата успешно завершена.
Подключение к SSID с поддержкой TLS
Подключение с Android
- В меню Wi-Fi найдите созданный ранее SSID test_enterprise.
2. Задайте параметры подключения к сети:
Метод EAP: TLS
Сертификат: wireless-ca
Сертификат пользователя: test
Удостоверение: test
Значение параметра "Удостоверение" задается в соответствии с именем пользователя в сертификате.
3. При правильности введенных данных, авторизация пройдет успешно.
Подключение с Windows
...
- Имя сети;
- Тип безопасности: WPA2-Enterprise.
Поставьте галочку напротив Установите флаг "Запускать это подключение автоматически". Нажмите "Далее".
Сеть успешно добавлена. Переходим к настройке параметров Далее необходимо настроить параметры подключения.
Откройте раздел "Безопасность", выберите метод проверки подлинности "Microsoft: смарт-карта или иной сертификат".
Нажмите кнопку "Параметры".
Поставьте флажок напротивУстановите следующие флаги:
- Использовать сертификат на этом компьютере;
- Использовать выбор простого сертификата;
- Подтверждать удостоверение сервера с помощью проверки сертификата;
- Использовать для подключение другое имя пользователя.
...
В открывшемся окне выберите "Дополнительные параметры".
Укажите режим проверки подлинности - – "Проверка подлинности пользователя".
Нажмите "ОК".
Найдите нужную сеть и нажмите "Подключиться".
Выберите пользовательский сертификат для подключения к сети и введите логин пользователя. Нажмите "ОК".
Если параметры введены верно, подключение пройдет успешно.
Подключение с Ubuntu
Создайте новое подключение к сети:
Укажите ssid:
Введите параметры для подключения к сети:
- Security - – WPA & WPA2 Enterprice;
- Authentication - – TLS;
- Identity - – имя пользователя на радиус сервере;
- CA certificate - – сертификат УЦ УЦ (Скачивается скачивается c wlc отдельно);
- User certificate - контейнер – контейнер с сертификатом клиента;
- User private key - контейнер – контейнер с сертификатом клиента (он так же также содержит ключ);
- User key password - – пароль импорта, заданный при генерации контейнера.
Если все сделано верно, подключение пройдет успешно.
Подключение с IOS
В меню настройки Wi-Fi находим нужную найдите необходимую сеть. При подключении к сети вводим введите свой личный логин, выбираем выберите режим EAP-TLS. Нажимаем Нажмите на пункт удостоверение, ставим галочку на наш сертификат, возвращаемся "Удостоверение" и выберите сертификат. Вернитесь назад на ввод пароля , жмем подключитьсяи нажмите "Подключиться". В появившемся окне жмем нажмите кнопку принять"Принять".
Обновление и замена серверного сертификата
...
Для замены сертификата сервера нужно загрузить новый сертификат, CA-сертификат и ключ от сертификата сервера и поместить их в директории crypto:cert/ и crypto:private-key/. После загрузки файлов следует указать сертификаты сервера и CA, а так же также ключ от сертификата сервера в настройках radius-server local. По умолчанию указан дефолтный сертификат.
...
После обновления или замены сертификатов нужно перезагрузить WLC или перезапустить RADIUS-сервер :
Блок кода | ||
---|---|---|
| ||
wlc-30(config)# radius-server local wlc-30(config-radius)# no enable wlc-30(config-radius)# do commit wlc-30(config-radius)# do restore wlc-30(config-radius)# do rollback |
...