...
Для корректной работы TLS-авторизации необходимо настроить radiusRADIUS-профиль и ssidSSID-профиль на работу с нужным доменом:
...
Для установки сертификата на устройство клиента нужно экспортировать его с WLC. Это можно сделать с помощью команды copy с использованием протоколов ftp, http, https, scp, sftp, tftp, а также на usb USB- и mmc MMC-устройства. Команда передачи контейнера с сертификатом имеет вид:
...
Установка сертификата для устройств с Android версии 11 и выше
После того как dы скопировали Для установки сертификата на устройство с Android скопировуйте содержимое архива на клиентское устройство, зайдите .
- Зайдите в настройки устройства и
...
- откройте раздел "Пароли и безопасность"
...
- Откройте раздел "Безопасность" → "Конфиденциальность" → "Шифрование и учетные данные";
4. Если имеются старые сертификаты, то их можно удалить кнопкой "Очистить учетные данные";
5. Для загрузки новых сертификатов нажмите кнопку "Установка сертификатов";
6. Корневой и пользовательский сертификаты устанавливаются нажатием кнопки "Сертификат".
57. Выберите расположение распакованного архива;6
8. Для загрузки корневого сертификата выберите файл "wireless-ca.crt", затем введите его название;7
9. Для загрузки пользовательского сертификата выберите файл "user.p12", затем введите пароль, указанный в сертификате, и название.
Установка сертификата в iOS
...
Открыв письмо с вложенным файлом стандартными приложениями IOS iOS (Safari, Mail), нажмите на файл с расширением *.crt. При установке сертификата система будет предупреждать о ненадежности профиля, разрешите установку и сертификат будет успешно установлен.
Установка пользовательского сертификата
...
- Откройте файл .р12. Параметры менять не нужно. Нажмите "Далее".
2. Введите пароль. Он соответствует параметру сертификата Password, который вы указали при генерации контейнера на wlc.
3. Подтвердите установку пользовательского сертификата.
4. При успешной установке пользовательского и корневого сертификата отобразится следующий экран.
Подключение к SSID с поддержкой TLS
...
- В меню Wi-Fi найдите созданный ранее SSID test_enterprise.
2. Задайте параметры подключения к сети:
...
Значение параметра "Удостоверение" задается в соответствии с именем пользователя в сертификате.
3. Если параметры введены верно, авторизация пройдет успешно.
Подключение с Windows
Для создания и настройки нового подключения перейдите в "Центр управления сетями и общим доступом" → "Создание и настройка нового подключения или сети".
В открывшемся окне выберите пункт "Подключение к беспроводной сети вручную" и нажмите "Далее".
Введите информацию о беспроводной сети:
...
Установите флаг "Запускать это подключение автоматически". Нажмите "Далее".
Сеть успешно добавлена. Далее необходимо настроить параметры подключения.
Откройте раздел "Безопасность", выберите метод проверки подлинности "Microsoft: смарт-карта или иной сертификат". Нажмите кнопку "Параметры".
Установите следующие флаги:
- Использовать сертификат на этом компьютере;
- Использовать выбор простого сертификата;
- Подтверждать удостоверение сервера с помощью проверки сертификата;
- Использовать для подключение подключения другое имя пользователя.
В списке "Доверенных корневых центов центров сертификации" выберите корневой сертификат "Eltex default certificate authority". Это сертификат УЦ, который установился при установке клиентского сертификата.
...
В открывшемся окне выберите "Дополнительные параметры".
Укажите режим проверки подлинности – "Проверка подлинности пользователя". Нажмите "ОК".
Найдите нужную сеть и нажмите "Подключиться". Выберите пользовательский сертификат для подключения к сети и введите логин пользователя. Нажмите "ОК".
Если параметры введены верно, подключение пройдет успешно.
Подключение с Ubuntu
Создайте новое подключение к сети:
Укажите ssid:
Введите параметры для подключения к сети:
- Security – WPA & WPA2 Enterprice;
- Authentication – TLS;
- Identity – имя пользователя на радиус сервере;
- CA certificate – сертификат УЦ (скачивается c wlc отдельно);
- User certificate – контейнер с сертификатом клиента;
- User private key – контейнер с сертификатом клиента (он также содержит ключ);
- User key password – пароль импорта, заданный при генерации контейнера.
Если параметры введены верно, подключение пройдет успешно.
...
Блок кода | ||
---|---|---|
| ||
wlc-30(config)# radius-server local wlc-30(config-radius)# no enable wlc-30(config-radius)# do commit wlc-30(config-radius)# do restore wlc-30(config-radius)# do rollback |
Предупреждение |
---|
После обновления или замены серверного сертификата нужно перевыпустить клиентские сертификаты. |