| Оглавление |
|---|
Настройка
...
TLS-авторизации
Для настройки TLS-авторизации необходимо:
...
| Блок кода |
|---|
wlc# crypto generate private-key rsa filename ?
WORD(1-31) Name of file
----FILE----
default_ca_key.pem
default_cert_key.pem
tester.pem
wlc-sa.key |
...
| Блок кода |
|---|
wlc# crypto generate private-key rsa 1024 filename tester.pem Destination file already exists. Do you really want to overwrite it? (y/N): y ..........++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++ ..................++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++ |
| Scroll Pagebreak |
|---|
...
В этом случае можно ввести часть слова и знак "?", чтобы увидеть отфильтрованные записи:
| Блок кода |
|---|
wlc-30#wlc# crypto generate cert csr tester.csr ca d? CRYPTO FILES Select file: ----FILE---- default_ca.pem default_cert.pem |
...
| Блок кода | ||||
|---|---|---|---|---|
| ||||
wlc# crypto generate private-key rsa 4096 filename tester.pem .+...+..................+....+...+...+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++*...+.+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++*...+............+.+......+.....+.+.....+...+.........+.......+.........+.....+.......+..................+..+..........+..............+..........+...........+.........+.........+.+...................................+...+...+....+..............+....+...........+.......+..+...+....+...+.................+....+..+.......+..+.+...+.........+.....+.+..+..................+....+..+..........+.....+..........+.....+.+.....+.........+....+..+.......+..+.+...+......+...+...........+.......+..+......+.+...+...........+..........+.....+.+......+.....+.........+...............+....+..+.............+..+..........+...+.....+.........+.......+....................................+.....+............+............+.........+....+.....+...............+............+.+.....+..........+..+.......+.........+...........+..........+...+........+....+........+......+.+...+.....+.............+........+....+...........+....+..+....+.....+.........+.......+...+..+...+...+....+....................+...............+......+...................+..............+....+.................+...+.+..+...+....+...+........+....+..............................+...+...............+.................+......................+........+...............+.....................+.+......+.....+.........+.........+....+........+.......+......+.................+..........+.........+........+.+.....+.+...+...........+.......+...+.........+.....+.........................+......+......+.....+.........+......+.+..+.+..+.........+.+..................+..+..............................+.......+.....+.+.....+.+...+......+.....+............+.......+..................+.....+.........+....+..............+.+...............+....................+.+.....+.............+.....+.......+.........+..+.............+...........+...+...+....+...+....................+......+.......+...+.....+.........+.............+...+..............+.......+.....+....+..............+......+........................+..........+..+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++ ...+................+......+..+.+......+.....+......+...+.+...+...+...+.....+....+......+..+.......+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++*..+.....................+......+..........+........+....+...+...+......+.........+......+...+.....+...+....+.....+......+...+......+...+.......+...............+........+......+.+..............+......+.+............+...+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++*..........+.....................+...............+.........+..........+...+......+......+......+..+...+.........+................+..+......+.+......+..+......+.......+............+...+..+.+.........+..+...+.+...............+..+.............+...........+.+............+.....................+.....+....+..+..................+...+...+.........+..........+............+.....+...............+.+..+.......+.....+....+..+...+.......+............+...............+........+...+.+...............+...........+............+......+....+..+.....................+....+...+...........+...............+......+..................+.+..+....+...+..+..........+.........+............+.........+...+.....+...+...+.+........+.+.....+.+...+.....+.+...........+....+.....+......+.+............+..+................+..+.+..............+...+..........+...+.....+.........+.+....................+......+.........+.+......+...+..+...+..........+......+...........+....+...+...+..+...+..........+..+.+....................+.......+.....+.............+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++ |
Генерация csr
При генерации csr нужно выбрать private-key (файл, сгенерированный на предыдущем шаге), указать common-name в формате <имя пользователя>@<домен> и выбрать файл для сохранения csr (filename). Рекомендуется использовать реальные имя пользователя и домен в common name.
...
| Блок кода | ||||
|---|---|---|---|---|
| ||||
wlc-30#wlc# sh crypto certificates cert tester.crt Version: 1 Serial: 56:5D:6F:19:3F:AB:17:5A:B5:7A:81:0F:0A:2A:AD:7F:9B:20: 87:41 Subject name: C(countryName): ru ST(stateOrProvinceName): Novosibirsk_oblast L(localityName): 4_floor O(organizationName): ELTEX OU(organizationalUnitName): wireless CN(commonName): tester@wlc.root emailAddress(emailAddress): test@test.com Issuer name: C(countryName): RU ST(stateOrProvinceName): Russia L(localityName): Novosibirsk O(organizationName): Eltex Enterprise Ltd CN(commonName): Eltex default certificate authority Validity period: Valid after: 25.12.2023 09:40:47 Invalid after: 01.12.2123 09:40:47 Signature: Algorithm: sha256WithRSAEncryption Value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ublic key info: Algorithm: RSA Key size: 1024 Exponent: 65537 Modulus: 00:B0:52:66:23:B2:31:DE:EB:9F:44:BF:62:58:86:67:71:F0: 79:A0:77:42:11:75:A3:F3:36:69:47:B5:5A:AD:64:98:9C:D4: 29:E8:5D:89:E0:BB:90:6C:69:19:75:FC:B9:3F:B8:A5:D0:2E: 47:59:A9:59:A1:6A:55:2E:70:3E:B3:AD:A8:FE:9B:33:C6:6C: 90:B7:BD:4F:8D:C3:5C:6F:D5:39:9C:87:A1:54:C6:D2:E6:AC: F1:6A:23:77:36:6F:65:96:41:F5:06:08:EE:EA:C7:4C:C6:DA: F9:CA:9B:C5:69:3D:FF:18:09:8E:C9:E6:FE:3B:68:85:7B:F2: 88:85:01 |
...
| Блок кода |
|---|
wlc(config-radius)# tls mode domain |
Настройка SSID и
...
RADIUS-профиля
Для корректной работы TLS-авторизации необходимо настроить RADIUS-профиль и SSID-профиль на работу с нужным доменом:
...
Для завершения настройки WLC нужно указать сгенерированный сертификат в настройках пользователя, для которого этот сертификат сгенерирован. В примере common-name tester@wlc.root, поэтому нужно перейти к настройкам пользователя tester в домене wlc.root и указать название файла с сертификатом этого пользователя командой:
...
| Блок кода | ||
|---|---|---|
| ||
wlc# configure
wlc(config)# radius-server local
wlc(config-radius)# domain wlc.root
wlc(config-radius-domain)# user tester
wlc(config-radius-user)# crypto cert tester.crt |
...
| Блок кода | ||||
|---|---|---|---|---|
| ||||
radius-server local
nas ap
key ascii-text encrypted 8CB5107EA7005AFF
network 192.168.1.0/24
exit
nas local
key ascii-text encrypted 8CB5107EA7005AFF
network 127.0.0.1/32
exit
domain default
exit
domain wlc.root
user tester
password ascii-text encrypted 8CB5107EA7005AFF
crypto cert tester.crt
exit
exit
virtual-server default
no proxy-mode
auth-port 1812
acct-port 1813
enable
exit
enable
tls mode domain
crypto private-key default_cert_key.pem
crypto cert default_cert.pem
crypto ca default_ca.pem
exit |
| Scroll Pagebreak |
|---|
Установка клиентского сертификата
Экспорт клиентского сертификата
Для установки сертификата настройки TLS-авторизации необходимо установить на устройство клиента контейнер с сертификатом и СА-сертификат сервера, для этого нужно экспортировать его их с WLC. Это можно сделать с помощью команды copy с использованием протоколов ftp, http, https, scp, sftp, tftp, а также на USB- и MMC-устройства.
Команда передачи контейнера с сертификатом имеет вид:
...
| Блок кода | ||||
|---|---|---|---|---|
| ||||
wlc-30#wlc# copy crypto:pfx/tester.p12 tftp://100.110.1.79:/tester.p12 |******************************************| 100% (2861B) Success! |
...
Экспорт CA-сертификата RADIUS-сервера
| Блок кода |
|---|
copy crypto:cert//<Имя файла CA-сертификата> <DESTINATION> |
где <DESTINATION> – путь для копирования. Подробнее о команде copy можно прочитать по ссылке.
| Блок кода | ||||
|---|---|---|---|---|
| ||||
wlc# copy crypto:cert/default_ca.pem tftp://100.110.1.79:/default_ca.pem
|******************************************| 100% (2861B) Success! |
Установка сертификатов для устройств с Android версии 11 и выше
Для установки сертификата сертификатов на устройство с Android скопировуйте скопируйте содержимое архива на клиентское устройство.
- Зайдите в настройки устройства и откройте раздел "Пароли Безопасность и безопасностьконфиденциальность" → "КонфиденциальностьДругие настройки безопасности" → "Шифрование и учетные данныеХранилище учетных данных";
4. Если имеются старые сертификаты, то их можно удалить кнопкой "Очистить Удалить учетные данные";
5. Для загрузки новых сертификатов нажмите кнопку "Установка сертификатовУстановить из хранилища";
6. Корневой и пользовательский сертификаты устанавливаются нажатием кнопки "Сертификат Wi-FI".
7. Выберите расположение распакованного архива;
8. Для загрузки корневого сертификата выберите файл "wireless-default_ca.crtpem", затем введите его название;
9. Для загрузки пользовательского сертификата выберите файл "usertester.p12", затем введите пароль, указанный в сертификате, и название.
Установка сертификата в iOS
Для установки сертификата на устройство с iOS отправьте файлы с сертификатами (*.crt и *.p12) почтой на свой e-mail и откройте их на телефоне. Также можно загрузить файлы на свой телефон через usb.
Установка корневого сертификата
Открыв письмо с вложенным файлом стандартными приложениями iOS (Safari, Mail), нажмите на файл с расширением *.crt. При установке сертификата система будет предупреждать о ненадежности профиля, разрешите установку и сертификат будет успешно установлен.
Установка пользовательского сертификата
Установка пользовательского сертификата происходит аналогично установке корневого сертификата. Далее необходимо ввести пароль сертификата. Пароль соответствует параметру сертификата Password, который находится в файле .txt.
| Scroll Pagebreak |
|---|
Установка сертификата в Windows
...
2. Введите пароль. Он соответствует параметру сертификата Password, который вы указали при генерации контейнера на wlc.
| Scroll Pagebreak |
|---|
3. Подтвердите установку пользовательского сертификата.
...
4. При успешной установке пользовательского и корневого сертификата отобразится следующий экран.
| Scroll Pagebreak |
|---|
Подключение к SSID с поддержкой TLS
...
- В меню Wi-Fi найдите созданный ранее SSID test_enterpriseTLS-SSID.
2. Задайте параметры подключения к сети:
Метод EAP: TLS
Сертификат: wirelessdefault-ca
Сертификат пользователя: testuser
Удостоверение: testtester
Значение параметра "Удостоверение" задается в соответствии с именем пользователя в сертификате.
Домен: wlc-30
Значение параметра "Домен" задается в соответствии со значением параметра CN(commonName) в сертификате сервера default_cert.pem.
3. Если параметры введены верно, авторизация пройдет успешно.
| Scroll Pagebreak |
|---|
Для создания и настройки нового подключения перейдите в "Центр управления сетями и общим доступом" → "Создание и настройка нового подключения или сети".
В открывшемся окне выберите пункт "Подключение к беспроводной сети вручную" и нажмите "Далее".
Введите информацию о беспроводной сети:
...
Установите флаг "Запускать это подключение автоматически". Нажмите "Далее".
Сеть успешно добавлена. Далее необходимо настроить параметры подключения.
Откройте раздел "Безопасность", выберите метод проверки подлинности "Microsoft: смарт-карта или иной сертификат". Нажмите кнопку "Параметры".
| Scroll Pagebreak |
|---|
...
Найдите нужную сеть и нажмите "Подключиться". Выберите пользовательский сертификат для подключения к сети и введите логин пользователя. Нажмите "ОК".
| Scroll Pagebreak |
|---|
Если параметры введены верно, подключение пройдет успешно.
...
Создайте новое подключение к сети:
| Scroll Pagebreak |
|---|
Укажите ssid:
Введите параметры для подключения к сети:
- Security – WPA & WPA2 Enterprice;
- Authentication – TLS;
- Identity – имя пользователя на радиус сервере;
- CA certificate – сертификат УЦ (скачивается c wlc отдельно);
- User certificate – контейнер с сертификатом клиента;
- User private key – контейнер с сертификатом клиента (он также содержит ключ);
- User key password – пароль импорта, заданный при генерации контейнера.
Если параметры введены верно, подключение пройдет успешно.
| Scroll Pagebreak |
|---|
Подключение с iOS
В меню настройки Wi-Fi найдите необходимую сеть. При подключении к сети введите свой личный логин, выберите режим EAP-TLS. Нажмите на пункт "Удостоверение" и выберите сертификат. Вернитесь назад к вводу пароля и нажмите "Подключиться". В появившемся окне нажмите кнопку "Принять".
Обновление и замена серверного сертификата
Существуют команды для обновления дефолтного CA-сертификата и/или сертификата сервера:
| Блок кода |
|---|
wlc-30#wlc# update crypto default ca wlc-30#wlc# update crypto default cert |
...
| Блок кода | ||
|---|---|---|
| ||
wlc-30(config)# radius-server local wlc-30(config-radius)# no enable wlc-30(config-radius)# do commit wlc-30(config-radius)# do restore wlc-30(config-radius)# do rollback |
...