Оглавление |
---|
Настройка
...
TLC-авторизации
Для настройки TLS-авторизации необходимо:
- Сгенерировать клиентский сертификат;
- Настроить radius-server local;
- Загрузить и установить созданный сертификат на клиентское устройство.
...
Для каждого сертификата клиента нужно необходимо создать private-key. Используется алгоритм RSA, размер ключа в битах задается в диапазоне от 1024 до 4096 (необязательный параметр, по умолчанию – 2048 бит).
...
При генерации csr нужно выбрать private-key (файл, сгенерированный на предыдущем шаге), указать common-name в формате <имя пользователя>@<домен> и выбрать файл для сохранения csr (filename). Имя Рекомендуется использовать реальные имя пользователя и домен в common name должны соответствовать реальному домену и имени пользователя в этом домене.
Помимо этих обязательных параметров существуют опциональные параметры:
...
Формат .p12, также известный как PKCS #12, является стандартным форматом контейнера, который используется для хранения и обмена зашифрованными или подписанными данными. Он может содержать закрытые ключи, сертификаты, цепочки сертификации, а также другую смежную информацию. Рекомендуется использовать именно этот формат .p12, так как формат .p12 он поддерживается практически всеми операционными системами, программным обеспечением и устройствами, включая Windows, macOS, Linux, Android и iOS. Контейнеры формата .p12 могут быть защищены паролем, что обеспечивает дополнительный уровень безопасности. Пароль может быть использован для шифрования закрытых ключей и сертификатов, что делает их доступными только авторизованным пользователям. В формате .p12 можно хранить не только сертификаты, но и целую цепочку сертификации, что упрощает процесс установки и обновления сертификатов на различных устройствах.
...
Настройка SSID и radius-профиля
Для корректной работы tlsTLS-авторизации необходимо настроить radius-профиль и ssid-профиль на работу с нужным доменом.:
Блок кода |
---|
configure wlc ssid-profile default-ssid description default-ssid ssid wlc_tls_ssid radius-profile tls-radius exit radius-profile tls-radius auth-address 192.168.1.1 auth-password ascii-text encrypted 8CB5107EA7005AFF domain wlc.root exit |
Настройка пользователя
Для завершения настройки wlc WLC нужно указать сгенерированный сертификат в настройках пользователя, для которого этот сертификат сгенерирован. В примере common-name tester@wlc.root, поэтому нужно перейти к настройкам пользователя tester в домене wlc и указать название файла с сертификатом этого пользователя командой:
...
Для установки сертификата на устройство клиента нужно экспортировать его с wlcWLC. Это можно сделать с помощью команды copy с использованием протоколов ftp, http, https, scp, sftp, tftp, а также на usb и mmc устройства. Команда передачи контейнера с сертификатом имеет вид:
...
Установка сертификата для устройств с Android версии 11 и выше
После того как Вы dы скопировали содержимое архива на клиентское устройство, зайдите в настройки и выберите пункт "Пароли и безопасность".
...
5. Выберите расположение распакованного архива;
6. Для загрузки корневого сертификата выберите файл "wireless-ca.crt", затем введите его название;
7. Для загрузки пользовательского сертификата выберите файл "user.p12", затем введите пароль, указанный в сертификате, и название.
Установка сертификата в
...
iOS
Для установки сертификата в IOS на устройство с iOS отправьте файлы с сертификатами (*.crt и *.p12) почтой на свой e-mail и откройте их на телефоне. Также можно загрузить файлы на свой телефон через usb.
...
Установка пользовательского сертификата происходит аналогично установке корневого сертификата, только . Далее необходимо ввести пароль сертификата. Пароль соответствует параметру сертификата Password, который находится в файле .txt.
...
Установка сертификата в Windows
- Откройте файл .р12. Никакие параметры Параметры менять не нужно. Нажмите "Далее".
...
3. Подтвердите установку пользовательского сертификата.
4. Установка пользовательского При успешной установке пользовательского и корневого сертификата успешно завершенаотобразится следующий экран.
Подключение к SSID с поддержкой TLS
...
Значение параметра "Удостоверение" задается в соответствии с именем пользователя в сертификате.
3. При правильности введенных данныхЕсли параметры введены верно, авторизация пройдет успешно.
Подключение с Windows
Перед подключением к сети необходимо создать и настроить новое подключение.
Для этого Для создания и настройки нового подключения перейдите в "Центр управления сетями и общим доступом" → "Создание и настройка нового подключения или сети".
...
- Security – WPA & WPA2 Enterprice;
- Authentication – TLS;
- Identity – имя пользователя на радиус сервере;
- CA certificate – сертификат УЦ (скачивается c wlc отдельно);
- User certificate – контейнер с сертификатом клиента;
- User private key – контейнер с сертификатом клиента (он также содержит ключ);
- User key password – пароль импорта, заданный при генерации контейнера.
Если все сделано параметры введены верно, подключение пройдет успешно.
Подключение с
...
iOS
В меню настройки Wi-Fi найдите необходимую сеть. При подключении к сети введите свой личный логин, выберите режим EAP-TLS. Нажмите на пункт "Удостоверение" и выберите сертификат. Вернитесь назад на ввод к вводу пароля и нажмите "Подключиться". В появившемся окне нажмите кнопку "Принять".
...