Оглавление |
---|
Настройка
...
TLS-авторизации
Для настройки TLS-авторизации необходимо:
- Сгенерировать клиентский сертификат;
- Настроить radius-server local;
- Загрузить и установить созданный сертификат на клиентское устройство.
...
Для генерации сертификата клиента нужно создать private-key, сгенерировать csr, выпустить сертификат клиента и создать контейнер pkcs12.
Генерация private-key
Для каждого сертификата клиента нужно необходимо создать private-key. Используется алгоритм RSA, размер ключа в битах задается в диапазоне от 1024 до 4096 (необязательный параметр, по умолчанию – 2048 бит).
...
Блок кода |
---|
wlc# crypto generate private-key rsa filename ?
WORD(1-31) Name of file
----FILE----
default_ca_key.pem
default_cert_key.pem
tester.pem
wlc-sa.key |
...
Блок кода |
---|
wlc# crypto generate private-key rsa 1024 filename tester.pem Destination file already exists. Do you really want to overwrite it? (y/N): y ..........++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++ ..................++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++ |
Scroll Pagebreak |
---|
...
В этом случае можно ввести часть слова и знак "?", чтобы увидеть отфильтрованные записи:
Блок кода |
---|
wlc-30#wlc# crypto generate cert csr tester.csr ca d? CRYPTO FILES Select file: ----FILE---- default_ca.pem default_cert.pem |
...
Блок кода | ||||
---|---|---|---|---|
| ||||
wlc# crypto generate private-key rsa 4096 filename tester.pem .+...+..................+....+...+...+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++*...+.+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++*...+............+.+......+.....+.+.....+...+.........+.......+.........+.....+.......+..................+..+..........+..............+..........+...........+.........+.........+.+...................................+...+...+....+..............+....+...........+.......+..+...+....+...+.................+....+..+.......+..+.+...+.........+.....+.+..+..................+....+..+..........+.....+..........+.....+.+.....+.........+....+..+.......+..+.+...+......+...+...........+.......+..+......+.+...+...........+..........+.....+.+......+.....+.........+...............+....+..+.............+..+..........+...+.....+.........+.......+....................................+.....+............+............+.........+....+.....+...............+............+.+.....+..........+..+.......+.........+...........+..........+...+........+....+........+......+.+...+.....+.............+........+....+...........+....+..+....+.....+.........+.......+...+..+...+...+....+....................+...............+......+...................+..............+....+.................+...+.+..+...+....+...+........+....+..............................+...+...............+.................+......................+........+...............+.....................+.+......+.....+.........+.........+....+........+.......+......+.................+..........+.........+........+.+.....+.+...+...........+.......+...+.........+.....+.........................+......+......+.....+.........+......+.+..+.+..+.........+.+..................+..+..............................+.......+.....+.+.....+.+...+......+.....+............+.......+..................+.....+.........+....+..............+.+...............+....................+.+.....+.............+.....+.......+.........+..+.............+...........+...+...+....+...+....................+......+.......+...+.....+.........+.............+...+..............+.......+.....+....+..............+......+........................+..........+..+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++ ...+................+......+..+.+......+.....+......+...+.+...+...+...+.....+....+......+..+.......+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++*..+.....................+......+..........+........+....+...+...+......+.........+......+...+.....+...+....+.....+......+...+......+...+.......+...............+........+......+.+..............+......+.+............+...+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++*..........+.....................+...............+.........+..........+...+......+......+......+..+...+.........+................+..+......+.+......+..+......+.......+............+...+..+.+.........+..+...+.+...............+..+.............+...........+.+............+.....................+.....+....+..+..................+...+...+.........+..........+............+.....+...............+.+..+.......+.....+....+..+...+.......+............+...............+........+...+.+...............+...........+............+......+....+..+.....................+....+...+...........+...............+......+..................+.+..+....+...+..+..........+.........+............+.........+...+.....+...+...+.+........+.+.....+.+...+.....+.+...........+....+.....+......+.+............+..+................+..+.+..............+...+..........+...+.....+.........+.+....................+......+.........+.+......+...+..+...+..........+......+...........+....+...+...+..+...+..........+..+.+....................+.......+.....+.............+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++ |
Генерация csr
При генерации csr нужно выбрать private-key (файл, сгенерированный на предыдущем шаге), указать common-name в формате <имя пользователя>@<домен> и выбрать файл для сохранения csr (filename). Имя Рекомендуется использовать реальные имя пользователя и домен в common name должны соответствовать реальному домену и имени пользователя в этом домене.
Помимо этих обязательных параметров существуют опциональные параметры:
...
Блок кода | ||||
---|---|---|---|---|
| ||||
wlc-30#wlc# sh crypto certificates cert tester.crt Version: 1 Serial: 56:5D:6F:19:3F:AB:17:5A:B5:7A:81:0F:0A:2A:AD:7F:9B:20: 87:41 Subject name: C(countryName): ru ST(stateOrProvinceName): Novosibirsk_oblast L(localityName): 4_floor O(organizationName): ELTEX OU(organizationalUnitName): wireless CN(commonName): tester@wlc.root emailAddress(emailAddress): test@test.com Issuer name: C(countryName): RU ST(stateOrProvinceName): Russia L(localityName): Novosibirsk O(organizationName): Eltex Enterprise Ltd CN(commonName): Eltex default certificate authority Validity period: Valid after: 25.12.2023 09:40:47 Invalid after: 01.12.2123 09:40:47 Signature: Algorithm: sha256WithRSAEncryption Value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ublic key info: Algorithm: RSA Key size: 1024 Exponent: 65537 Modulus: 00:B0:52:66:23:B2:31:DE:EB:9F:44:BF:62:58:86:67:71:F0: 79:A0:77:42:11:75:A3:F3:36:69:47:B5:5A:AD:64:98:9C:D4: 29:E8:5D:89:E0:BB:90:6C:69:19:75:FC:B9:3F:B8:A5:D0:2E: 47:59:A9:59:A1:6A:55:2E:70:3E:B3:AD:A8:FE:9B:33:C6:6C: 90:B7:BD:4F:8D:C3:5C:6F:D5:39:9C:87:A1:54:C6:D2:E6:AC: F1:6A:23:77:36:6F:65:96:41:F5:06:08:EE:EA:C7:4C:C6:DA: F9:CA:9B:C5:69:3D:FF:18:09:8E:C9:E6:FE:3B:68:85:7B:F2: 88:85:01 |
...
Формат .p12, также известный как PKCS #12, является стандартным форматом контейнера, который используется для хранения и обмена зашифрованными или подписанными данными. Он может содержать закрытые ключи, сертификаты, цепочки сертификации, а также другую смежную информацию. Рекомендуется использовать именно этот формат .p12, так как формат .p12 он поддерживается практически всеми операционными системами, программным обеспечением и устройствами, включая Windows, macOS, Linux, Android и iOS. Контейнеры формата .p12 могут быть защищены паролем, что обеспечивает дополнительный уровень безопасности. Пароль может быть использован для шифрования закрытых ключей и сертификатов, что делает их доступными только авторизованным пользователям. В формате .p12 можно хранить не только сертификаты, но и целую цепочку сертификации, что упрощает процесс установки и обновления сертификатов на различных устройствах.
...
Блок кода |
---|
wlc(config-radius)# tls mode domain |
Настройка SSID и
...
RADIUS-профиля
Для корректной работы tlsTLS-авторизации необходимо настроить radiusRADIUS-профиль и ssidSSID-профиль на работу с нужным доменом.:
Блок кода |
---|
configure wlc ssid-profile default-ssid description default-ssid ssid wlc_tls_ssid radius-profile tls-radius exit radius-profile tls-radius auth-address 192.168.1.1 auth-password ascii-text encrypted 8CB5107EA7005AFF domain wlc.root exit |
Настройка пользователя
Для завершения настройки wlc WLC нужно указать сгенерированный сертификат в настройках пользователя, для которого этот сертификат сгенерирован. В примере common-name tester@wlc.root, поэтому нужно перейти к настройкам пользователя tester в домене wlc.root и указать название файла с сертификатом этого пользователя командой:
...
Блок кода | ||
---|---|---|
| ||
wlc# configure
wlc(config)# radius-server local
wlc(config-radius)# domain wlc.root
wlc(config-radius-domain)# user tester
wlc(config-radius-user)# crypto cert tester.crt |
...
Блок кода | ||||
---|---|---|---|---|
| ||||
radius-server local nas ap key ascii-text encrypted 8CB5107EA7005AFF network 192.168.1.0/24 exit nas local key ascii-text encrypted 8CB5107EA7005AFF network 127.0.0.1/32 exit domain default exit domain wlc.root user tester password ascii-text encrypted 8CB5107EA7005AFF crypto cert tester.crt exit exit virtual-server default no proxy-mode auth-port 1812 acct-port 1813 enable exit enable tls mode domain crypto private-key default_cert_key.pem crypto cert default_cert.pem crypto ca default_ca.pem exit |
Scroll Pagebreak |
---|
Установка клиентского сертификата
Экспорт клиентского сертификата
Для установки сертификата настройки TLS-авторизации необходимо установить на устройство клиента контейнер с сертификатом и СА-сертификат сервера, для этого нужно экспортировать его их с wlcWLC. Это можно сделать с помощью команды copy с использованием протоколов ftp, http, https, scp, sftp, tftp, а также на usb USB- и mmc MMC-устройства.
Команда передачи контейнера с сертификатом имеет вид:
...
Блок кода | ||||
---|---|---|---|---|
| ||||
wlc-30#wlc# copy crypto:pfx/tester.p12 tftp://100.110.1.79:/tester.p12 |******************************************| 100% (2861B) Success! |
...
Экспорт CA-сертификата RADIUS-сервера
Блок кода |
---|
copy crypto:cert//<Имя файла CA-сертификата> <DESTINATION> |
где <DESTINATION> – путь для копирования. Подробнее о команде copy можно прочитать по ссылке.
Блок кода | ||||
---|---|---|---|---|
| ||||
wlc# copy crypto:cert/default_ca.pem tftp://100.110.1.79:/default_ca.pem
|******************************************| 100% (2861B) Success! |
Установка сертификатов для устройств с Android версии 11 и выше
После того как Вы скопировали Для установки сертификатов на устройство с Android скопируйте содержимое архива на клиентское устройство, зайдите .
- Зайдите в настройки
...
- Откройте устройства и откройте раздел "Безопасность и конфиденциальность" → "КонфиденциальностьДругие настройки безопасности" → "Шифрование и учетные данныеХранилище учетных данных";
4. Если имеются старые сертификаты, то их можно удалить кнопкой "
...
Удалить учетные данные";
5. Для загрузки новых сертификатов нажмите кнопку "
...
Установить из хранилища";
6. Корневой и пользовательский сертификаты устанавливаются нажатием кнопки "Сертификат Wi-FI".
5
7. Выберите расположение распакованного архива;
68. Для загрузки корневого сертификата выберите файл "wireless-default_ca.crtpem", затем введите его название;7
9. Для загрузки пользовательского сертификата выберите файл "usertester.p12", затем введите пароль, указанный в сертификате, и название.
...
...
Установка сертификата в
...
iOS
Для установки сертификата в IOS на устройство с iOS отправьте файлы с сертификатами (*.crt и *.p12) почтой на свой e-mail и откройте их на телефоне. Также можно загрузить файлы на свой телефон через usb.
Установка корневого сертификата
Открыв письмо с вложенным файлом стандартными приложениями IOS iOS (Safari, Mail), нажмите на файл с расширением *.crt. При установке сертификата система будет предупреждать о ненадежности профиля, разрешите установку и сертификат будет успешно установлен.
Установка пользовательского сертификата
Установка пользовательского сертификата происходит аналогично установке корневого сертификата, только . Далее необходимо ввести пароль сертификата. Пароль соответствует параметру сертификата Password, который находится в файле .txt.
Scroll Pagebreak |
---|
Установка сертификата в Windows
- Откройте файл .р12. Никакие параметры Параметры менять не нужно. Нажмите "Далее".
...
2. Введите пароль. Он соответствует параметру сертификата Password, который вы указали при генерации контейнера на wlc.
...
Scroll Pagebreak |
---|
3. Подтвердите установку пользовательского сертификата.
...
4. Установка пользовательского При успешной установке пользовательского и корневого сертификата успешно завершенаотобразится следующий экран.
...
Scroll Pagebreak |
---|
Подключение к SSID с поддержкой TLS
...
- В меню Wi-Fi найдите созданный ранее SSID test_enterpriseTLS-SSID.
2. Задайте параметры подключения к сети:
Метод EAP: TLS
Сертификат: wirelessdefault-ca
Сертификат пользователя: testuser
Удостоверение: testtester
Значение параметра "Удостоверение" задается в соответствии с именем пользователя в сертификате.
...
Домен: wlc-30
Значение параметра "Домен" задается в соответствии со значением параметра CN(commonName) в сертификате сервера default_cert.pem.
3. Если параметры введены верно, авторизация пройдет успешно.
...
Scroll Pagebreak |
---|
Перед подключением к сети необходимо создать и настроить новое подключение.
Для этого Для создания и настройки нового подключения перейдите в "Центр управления сетями и общим доступом" → "Создание и настройка нового подключения или сети".
В открывшемся окне выберите пункт "Подключение к беспроводной сети вручную" и нажмите "Далее".
Введите информацию о беспроводной сети:
...
Установите флаг "Запускать это подключение автоматически". Нажмите "Далее".
Сеть успешно добавлена. Далее необходимо настроить параметры подключения.
Откройте раздел "Безопасность", выберите метод проверки подлинности "Microsoft: смарт-карта или иной сертификат". Нажмите кнопку "Параметры".
Scroll Pagebreak |
---|
- Использовать сертификат на этом компьютере;
- Использовать выбор простого сертификата;
- Подтверждать удостоверение сервера с помощью проверки сертификата;
- Использовать для подключение подключения другое имя пользователя.
В списке "Доверенных корневых центов центров сертификации" выберите корневой сертификат "Eltex default certificate authority". Это сертификат УЦ, который установился при установке клиентского сертификата.
...
В открывшемся окне выберите "Дополнительные параметры".
Укажите режим проверки подлинности – "Проверка подлинности пользователя". Нажмите "ОК".
Найдите нужную сеть и нажмите "Подключиться". Выберите пользовательский сертификат для подключения к сети и введите логин пользователя. Нажмите "ОК".
Scroll Pagebreak |
---|
Если параметры введены верно, подключение пройдет успешно.
Подключение с Ubuntu
Создайте новое подключение к сети:
Scroll Pagebreak |
---|
Укажите ssid:
Введите параметры для подключения к сети:
- Security – WPA & WPA2 Enterprice;
- Authentication – TLS;
- Identity – имя пользователя на радиус сервере;
- CA certificate – сертификат УЦ (скачивается c wlc отдельно);
- User certificate – контейнер с сертификатом клиента;
- User private key – контейнер с сертификатом клиента (он также содержит ключ);
- User key password – пароль импорта, заданный при генерации контейнера.
Если все сделано параметры введены верно, подключение пройдет успешно.
Подключение с
...
iOS
В меню настройки Wi-Fi найдите необходимую сеть. При подключении к сети введите свой личный логин, выберите режим EAP-TLS. Нажмите на пункт "Удостоверение" и выберите сертификат. Вернитесь назад на ввод к вводу пароля и нажмите "Подключиться". В появившемся окне нажмите кнопку "Принять".
Обновление и замена серверного сертификата
Существуют команды для обновления дефолтного CA-сертификата и/или сертификата сервера:
Блок кода |
---|
wlc-30#wlc# update crypto default ca wlc-30#wlc# update crypto default cert |
...
Блок кода | ||
---|---|---|
| ||
wlc-30(config)# radius-server local wlc-30(config-radius)# no enable wlc-30(config-radius)# do commit wlc-30(config-radius)# do restore wlc-30(config-radius)# do rollback |
Предупреждение |
---|
После обновления или замены серверного сертификата нужно перевыпустить клиентские сертификаты. |