Guide de Configuration 802.1X câblé version 1.05 ccnp_cch ccnp_cch
Sommaire • Introduction - Prérequis - Composants utilisés • Installation des services de certificat Microsoft - Installer le serveur de certificat Microsoft (CA) • Création du certificat pour l'ACS pour Windows - Création un certificat de serveur - Créer un nouveau modèle de certificat - Approuver le certificat de la CA - Télécharger le certificat du serveur sur le serveur ACS - Installer le certificat de la CA sur le serveur ACS - Configurer l'ACS pour utiliser le serveur de certificat • Configuration du serveur de certificat et de l'appliance ACS - Créer et installer un certificat auto-signé - Créer un serveur de certificat en utilisant CSR - Télécharger le certificat de la CA vers le serveur FTP - Installer le certificat de la CA sur l'appliance - Configurer les paramètres d'authentification globale - Configurer l'ACS pour permettre l'authentification de la machine - Configurer l'AP sur l'ACS - Configurer le commutateur pour 802.1X - Configurer le client pour PEAP avec authentification de la machine - Affectation dynamique de VLAN pour 802.1X et ACS • Vérification - Message d'erreur 'Failed to Create "Certificate Authority Request" Object ccnp_cch
Introduction ccnp_cch Ce document fournit un échantillon de configuration pour 802.1X câblé version 1.05. Ce guide couvre les certificats crées avec la CA Microsoft et les certificats auto-signés qui sont également supportés par l'ACS (Access Control Server) 3.3. L'utilisation de certificats auto-signés rationalise considérablement l'installation initiale de PEAP car aucune CA externe n'est requise. A ce moment là, le délai d'expiration par défaut des certificats auto-signés est d'une année et celui-ci ne peut pas être changé. C'est un standard très simple lorsqu'il est associé au serveur de certificat mais comme le certificat auto-signé agit comme CA racine, cela peut entrainer l'installation d'un nouveau certificat sur chaque client chaque année quand on utilise un "supplicant" Microsoft (sauf si n'avez pas sélectionné l'option "Validate Server Certificate". Il est re- commandé d'utiliser des certificats auto-signés uniquement comme solution temporaire jusqu'à ce qu'une CA traditionnelle soir soit utilisée. IEE 802.1x a été conçu pour authentifier des hosts sur un réseau câblé au lieu des uti- lisateurs. Tenter d'authentifier des utilisateurs via 802.1x sur un réseau câblé peut entrainer un comportement non désiré tel que la non déconnexion 802.1x d'un utilisa- teur authentifié temps que la carte réseau n' a pas libéré le port. Prérequis Avant de tenter cette configuration assurez-vous que vous avez les prérequis suivants: ● Commutateurs opérant avec IOS 12.1(12c)EA1 et au-dessus (EI seulement) ou CatOS 6.2 et au-dessus. ● ACS 3.2 ● Windows 2003 SP3 (avec hotfix), SP4 ou XP SP1 ou SP2. Composants utilisés Ce document n'est pas restreint à des versions matérielles ou logicielles spécifiques. Installation des services de certificat Microsoft Dans cette section sont présentées les informations nécessaires à la configuration des fonctionnalités décrites dans ce document. Note: IIS (Internet Information Service) doit être installé avant d'installer la CA. Evitez de donner à la CA un nom identique à celui du serveur ACS car cela entraine l'échec de l'authentification des clients PEAP parce qu'ils font des confusions entre le certificat de la CA racine trouvé avec le même nom que le certificat du serveur. Ce problème n'est pas lié uniquement aux clients Cisco. ccnp_cch
Installer le serveur de certificat (CA) Microsoft Exécutez ces étapes: 1. Choisissez Start> Settings> Control Panel. 2. A l'intérieur du Panneau de Configuration ouvrez Ajout/Suppression de program- mes. 3. Dans Ajout/Suppression de programmes choisissez Ajout ou Supprimer des Com- posants Windows. 4. Choisissez Services de Certificat. 5. Cliquez sur Suivant. 6. Cliquez sur Oui au message IIS. 7. Choisissez une CA racine Stand-alone (ou Entreprise). 8. Cliquez sur Suivant. 9. Nommez la CA. Note: Toutes les autres boîtes de dialogue sont optionnelles. Note: Evitez de donner à la CA un nom identique à celui du serveur ACS car cela entraine l'échec de l'authentification des clients PEAP parce qu'ils font des confu- sions entre le certificat de la CA racine trouvé avec le même nom que le certificat du serveur. Ce problème n'est pas lié uniquement aux clients Cisco. Bien sur si vous n'envisagez pas l'utilisation de PEAP cela ne s'applique PAS. 10. Cliquez sur Suivant. 11. La base de données par défaut est correcte. 12. Cliquez sur Suivant. IIS doit être installé avant d'installer la CA. Configurer l'ACS pour un certificat Windows Créez un certificat de serveur Exécutez ces étapes: 1. Depuis votre serveur ACS, naviguez vers la CA (http://IP_Server_CA/certsrv/). 2. Cochez la case Request a certificate. 3. Cliquez sur Next. 4. Choisissez Advanced Request. 5. Cliquez sur Next. 6. Choisissez Submit a certificate request to this CA using a form. 7. Cliquez sur Next. 8. Entrez un nom dans la boîte name (CN). 9. Pour Intended Purpose choisissez Server Authentication Certificate. Note: Si vous utilisez une CA Entreprise, choisissez Web Server dans la liste déroulante. ccnp_cch
10. Choisissez la Key Option ci-dessus pour créer un nouveau modèle 10. Choisissez la Key Option ci-dessus pour créer un nouveau modèle. ● CSP Microsoft Base Cryptographic Provider 1.0 ● Key Size 1024 Note: Les certificats crées avec une taille de clé supérieure à 1024 peuvent fonc- tionner pour HTTPS mais ne fonctionneront pas pour PEAP. Note: La CA Entreprise Windows 2003 permet des tailles de clés supérieures à 1024 mais utiliser une clé supérieure à 1024 ne fonctionne pas avec PEAP. L'au- thentification pourrait apparaître correcte dans l'ACS mais le client restera blo- qué pendant la tentative d'authentification. ● Key as exportable Note: Microsoft a changé le modèle Web Server avec la version CA entreprise de Windows 2003. Avec ce changement de modèle, les clés ne sont plus exportables et l'option est grisée. Il n'y a pas d'autres modèles de certificats supportés qui sont pour l'authentification du serveur ou qui donnent la possibilité de marquer les clés exportables dans le menu déroulant. Dans le but de créer un nouveau modèle qui fait cela voir "Créer un nouveau modèle de certificat". ● Use local machine store Note: Tous les autres choix doivent être laissés à leur valeur par défaut. 11. Cliquez sur Submit 12. Vous devez obtenir ce message: "Your certificate request has been received". Créer un nouveau modèle de certificat Exécutez ces étapes: 1. Choisissez Démarrer> Exécuter > certmpl.msc. 2. Clic droit sur Web Server template. 3. Choisissez Duplicate Template. 4. Donnez un nom au modèle tel ACS 5. Cliquez sur l'onglet Request Handling 6. Choisissez Allow private key to be exported 7. Cliquez sur le bouton CSP 8. Choisissez Microsoft Base Cryptographic Provider V1.0. 9. Cliquez sur Ok Note: Toutes les autres options doivent être laissées à leur valeur par défaut. 10. Cliquez sur Apply. 11. Cliquez sur Ok. 12. Ouvrez la console CA MMC. 13. Clic droit sur Certificate Templates. 14. Choisissez New> Certificate Template to Issue. 15. Choisissez le nouveau modèle que vous avez crée. ccnp_cch
ccnp_cch 16. Cliquez sur OK 17. Redémarrez la CA. Le nouveau modèle est inclus dans la liste déroulante Certificate Template. Approuver le certificat de la CA Exécutez ces étapes: 1. Choisissez Démarrer> Programmes> Outils d'administration> Autorité de cer- tificat. 2. Sur la fenêtre de gauche, développez le certificat. 3. Choisissez Pending Requests. 4. Clic droit sur le certificat. 5. Choisissez all tasks. 6. Choisissez Issue. Télécharger le certificat du Serveur vers le Serveur ACS Exécutez ces étapes: 1. Depuis votre serveur ACS, naviguez vers la CA (http://IP_Serveur_CA/certsrv/). 2. Choisissez Check on Pending Certificate. 3. Cliquez sur Next. 4. Sélectionnez le certificat. 5. Cliquez sur Next. 6. Cliquez sur Install. Installer le certificat de la CA sur le serveur ACS Note: Ces étapes ne sont pas requises si l'ACS et la CA sont installés sur le même serveur. Exécutez ces étapes: 1. Depuis votre serveur ACS, naviguez vers la CA (http://IP_Serveur_CA/certsrv/). 2. Choisissez Retrieve the CA certificate or Certificate revocation list. 3. Cliquez sur Next. 4. Choisissez Base 64 Encoded. 5. Cliquez sur Download CA certificate. 6. Cliquez sur Open. 7. Cliquez sur Install certificate. 8. Cliquez sur Next. 9. Choisissez Place all certificates in the following store. 10. Cliquez sur Browse. 11. Cochez la case Show physical stores. 12. Sur le côté gauche de la fenêtre développez Trusted root crtification authorities. 13. Choisissez Local Computer. 14. Cliquez sur Ok. 15. Cliquez sur Next. ccnp_cch
16. Cliquez sur Finish 17. Cliquez sur Ok dans la boîte de dialogue succès de l'importation Configurer l'ACS pour utiliser le certificat du serveur Exécutez ces étapes: 1. Sur le serveur ACS, choisissez System Configuration. 2. Choisissez ACS Certificate Setup. 3. Choisissez Install ACS certificate. 4. Choisissez Use certificate from storage. 5. Entrez le nom du certificat (le même nom qui a été entré à l'étape 8 de la section "Créer un certificat de serveur"). 6. Cliquez sur Submit. 7. Sur le serveur ACS cliquez sur System Configuration. 8. Choisissez ACS Certificate Setup. 9. Choisissez Edit Certificate Trust List. 10. Cochez la case pour la CA. 11. Cliquez sur Submit. Configuration du certificat de l'appliance ACS Créer et installer un Certificat auto-signé Note: Cette section s'applique uniquement dans le cas où vous n'utilisez pas de CA externe. Exécutez ces étapes: 1. Sur le serveur ACS, cliquez sur System Configuration. 2. Cliquez sur ACS Certificate Setup. 3. Cliquez sur Generate Self-Signed Certificate. 4. Entrez le sujet du certificat sous la forme cn=XXXX. Dans cet exemple, cn=ACS33 est utilisé. Pour plus d'options de configuration de certificat auto-signé, référez-vous à "System Configuration Authentication and Certificates". 5. Entrez le chemin complet et le nom du certificat devant être crée dans la boîte Certificate file. Par exemple: c:\acscerts\acs33.cer. 6. Entrez le chemin complet et le nom du fichier de clé privée devant être crée dans la boîte Private key. Par exemple: c:\acscerts\acs33.pvk. 7. Entrez et configurez le mot de passe de la clé privée. 8. Choisissez 1024 pour la longueur de clé dans la liste déroulante. Note: Bien que l'ACS puisse générer des clés de taille supérieure à 1024, l'utilisa- tion d'une clé de taille supérieure à 1024 ne fonctionne pas avec PEAP. L'authen- tification pourrait apparaître correcte dans l'ACS mais le client restera bloqué pen- dant la tentative d'authentification. 9. A partir de la liste Digest pour la signature, choisissez le "hash digest" devant être utilisé pour signer la clé. Dans cet exemple, le digest de signature est SHA1. ccnp_cch
10. Cliquez sur Install generated certificate. 11. Cliquez sur Submit 10. Cliquez sur Install generated certificate. 11. Cliquez sur Submit. Créer un certificat de serveur en utilisant CSR Exécutez ces étapes: 1. Depuis votre serveur FTP, naviguez vers la CA (http://IP_Serveur_CA/certsrv/). 2. Choisissez Request a certificate. 3. Cliquez sur Next. 4. Choisissez Advanced request. 5. Cliquez sur Next 6. Choisissez Submit a certificate request using a based64 encoded PKCS #10 file or a renewal request using a base64 encoded PKCS #7 file. 7. Collez la sortie de l'étape 6 dans le champ Base64 Encoded Certificate Request. 8. Cliquez sur Submit. 9. Cliquez sur Download CA certificate. 10. Cliquez sur Save. 11. Nommez le certificat. 12. Sauvegardez le certificat dans votre répertoire FTP. Téléchargement du Certificat de la CA sur le serveur FTP Exécutez ces étapes: 1. Depuis votre serveur FTP, naviguez vers la CA (http://IP_Serveur_CA/certsrv/). 2. Choisissez Retrieve the CA certificate or certificate revocation list. 3. Cliquez sur Next. 4. Choisissez Base 64 Encoded. 5. Cliquez sur Download CA certificate. 6. Cliquez sur Save. 7. Nommez le certificat. 8. Sauvegardez le certificat dans votre répertoire FTP. Installer le certificat de la CA sur l'appliance Exécutez ces étapes: 1. Choisissez System Configuration> ACS Certificate Setup> ACS Certification Authority Setup. 2. Cliquez sur Download CA certificate file. 3. Dans le champ FTP Server, entrez l'adresse IP ou le nom de host du serveur FTP. 4. Dans le champ Login entrez un username valide que Cisco Secure ACS peut utiliser pour accéder au serveur FTP. 5. Dans le champ Password, entre le mot de passe utilisateur. 6. Dans le champ Remote FTP Directory entrez le chemin relatif à partir du répertoire racine du serveur FTP vers le répertoire contenant le fichier du certificat de la CA. 7. Dans le champ Remote FTP File Name, entrez le nom du fichier du certificat de la CA. 8. Cliquez sur Submit. ccnp_cch
9. Vérifiez le nom du fichier dans le champ. 10. Cliquez sur Submit. 11. Choisissez System Configuration> Service Control pour redémarrer les services de l'ACS. Configurer les paramètres d'authentification globale Exécutez ces étapes: 1. Sur le serveur ACS cliquez sur System Configuration. 2. Cliquez sur Global Authentication Setup. Exécutez ces étapes pour l'ACS v3.2 et au-dessus: 1. Cochez la case Allow EAP-MSCHAPv2 if using Microsoft PEAP. 2. Cochez la case Allow EAP-GTC if using Cisco PEAP. 3. Cochez la case Allow MS-CHAP Version 1 Authentication. 4. Cochez la case Allow MS-CHAP Version 2 Authentication. 5. Cliquez sur Submit. Exécutez ces étapes pour l'ACS v3.1 et au-dessus: 1. Cochez la case Allow PEAP. 2. Cochez la case Allow MS-CHAP Version 1 Authentication. 3. Cochez la case Allow MS-CHAP Version 2 Authentication. 4. Cliquez sur Submit. Configurer l'ACS pour autoriser l'authentification de machine Exécutez ces étapes: 1. Choisissez External User Databases> Database Configuration. 2. Cliquez sur Windows Database. 3. Cliquez sur Configure. 4. Cochez la case Permit PEAP machine authentication. 5. Cliquez sur Submit. Configurer l'AP sur l'ACS Exécutez ces étapes pour configurer l'AP sur l'ACS: 1. Sur le serveur ACS, cliquez sur Network Configuration. 2. Pour ajouter un client AAA, cliquez sur Add Entry. 3. Entrez ces valeurs dans les cases: ● AAA Client IP Address IP_de_votre_AP ● Key Make up a key (assurez-vous que la clé correspond au secret partagé de l'AP) ● Authenticate Using Radius (Cisco Aironet) 4. Cliquez sur Submit. 5. Redémarrez ccnp_cch
Configurer le commutateur pour IEEE 802.1x Référez-vous à ces documents pour la configuration IEEE 802.1x: ● Catalyst 2950, 2960 ● Catalyst 3550, 3560 ● Catalyst 4500 ● Catalyst 6500 Configurer le client pour PEAP avec Authentification de machine Rejoindre le domaine Exécutez ces étapes: Note: Pour exécutez ces étapes, le client doit avoir une de ces connexions avec la CA: ● Connexion câblée. ● Connexion sans fil 802.11 avec la sécurité dévalidée. 1. Loggez vous dans Windows XP avec un compte qui a les privilèges administrateur. 2. Clic droit sur Poste de travail. 3. Choisissez Propriétés. 4. Cliquez sur l'onglet Nom de l'ordinateur. 5. Cliquez sur Modifier. 6. Dans le champ Nom de l'ordinateur entrez le nom de la machine. 7. Choisissez Domaine. 8. Entrez le nom de domaine. 9. Cliquez sur Ok. 10. Une boîte de dialogue de login apparaît. loggez vous avec un compte qui a le droit d'accéder au domaine. 11. Une fois que l'ordinateur a rejoint le domaine avec succès, redémarrez l'ordinateur. La machine devient membre du domaine, le certificat pour la CA est installé et un mot de passe pour l'authentification de la machine est automatiquement généré. Si le client a rejoint le domaine avant l'installation de la CA ou le certificat de la CA n'a pas été installé sur le client, exécutez ces étapes: Note: Ceci st indiqué par des échecs d'authentification (pas toujours) avec des erreurs telles que "Authentication failed during SSL handshake". 1. Depuis votre serveur ACS, naviguez vers la CA (http://IP_Serveur_CA/certsrv/). 2. Choisissez Retrieve the CA certificate or certificate revocation list. 3. Cliquez sur Next. 4. Coisissez Base 64 Encoded. 5. Cliquez sur Download CA certificate. 6. Cliquez sur Open. 7. Cliquez sur Install certificate. 8. Cliquez sur Next. 9. Choisissez Place all certificates in the following store. ccnp_cch
10. Cliquez sur Browse. 11. Cochez la case Show physical stores. 12 10. Cliquez sur Browse. 11. Cochez la case Show physical stores. 12. Sur le côté gauche de la fenêtre développez le certificat. 13. Choisissez Local Computer. 14. Cliquez sur Ok. 15. Cliquez sur Next. 16. Cliquez sur Finish. 17. Cliquez sur Ok de la boîte de succès d'import. Configurer XP SP1, SP2 pour PEAP avec authentification de machine Exécutez ces étapes: 1. Choisissez Démarrer> Panneau de Configuration> Connexions réseau. 2. Choisissez Propriétés. 3. Cliquez sur l'onglet Authentification. 4. Cochez la case Activer l'authentification IEEE 802.1x pour ce réseau. 5. Pour le type EAP¨choisissez PEAP. 6. Cochez la case Authentifier en tant qu'ordinateur lorsque les informations d'ordinateur sont disponibles. 7. Cliquez sur Propriétés. 8. Choisissez la case pour la CA. 9. Cliquez sur Ok. 10. Cliquez sur Ok. Configurer Windows 2000 pour PEAP avec authentification de machine Exécutez ces étapes: 1. Si vous utilisez le SP3, téléchargez et installer le hotfix 802.1x. 2. Choisissez Démarrer> Panneau de Configuration> Connexions réseau et à distance. 3. Clic droit sur connexion réseau 4. Choisissez Propriétés. 5. Cliquez sur l'onglet Authentification. 6. Cochez la case Activer le contrôle d'accès avec IEEE 802.1x. 5. Choisissez Protected EAP (PEAP) dans la liste déroulante EAP. 6. Cochez la case Authentifier en tant qu'ordinateur lorsque les informations 7. Cliquez sur Propriétés. 8. Choisissez la case pour la CA. 9. Cliquez sur Ok. 10. Cliquez sur Ok. Note: S'il n'y a pas d'onglet Authentification, le service 802.1x est est installé mais n'est pas activé. Pour résoudre ce problème, vous devez valider le service Configuration sans-fil dans la liste des services. Note: Si l'onglet Authentification est présent mais non disponible ceci indique que le pilote de carte réseau ne supporte pas 802.1x correctement. ccnp_cch
Exécutez ces étapes pour activer la configuration sans-fil: 1 Exécutez ces étapes pour activer la configuration sans-fil: 1. Clic droit sur Poste de travail. 2. Cliquez sur Gérer. 3. Cliquez sur Services et Applications. 4. Cliquez sur Services. 5. Fixez la valeur de démarrage à Automatique pour le service. 6. Démarrez le service. Affectation dynamique de VLAN pour 802.1x et ACS Cette option est supportée dans les IOS 12.1(12c)EA1 (EI uniquement) ou 12.1(14)EA1 ou CatOS 7.2 et supérieurs. Note: IEE 802.1x a été conçu pour authentifier des hosts sur un réseau câblé au lieu des utilisateurs actuels. Tenter d'authentifier des utilisateurs via 802.1x sur un réseau câblé peut entrainer un comportement non désiré tel que l'affectation dynamique de VLAN restant inchangée tant que la carte réseau n'a pas réinitialisé le port ( ordinateur redémarré ou remis sous tension). Exécutez ces étapes: 1. Choisissez Interface Configuration> RADIUS(IETF). 2. Cochez la case [064] Tunnel-Type for user/group. 3. Cochez la case [065] Tunnel−Medium−Type for user/group. 4. Cochez la case [081] Tunnel−Private−Group−ID for user/group. 5. Click Submit. 6. Choisissez user/group setup. 7. Cochez la case [064] Tunnel−Type. 8. Choisissez 1 dans la liste Tag. 9. Choisissez VLAN pour Value dans la liste déroulante. 10. Choisissez 0 pour tous les Tag suivants dans les listes. 11. Cochez la case [065] Tunnel−Medium−Type. 12. Choisissez 1 dans la liste Tag. 13. Choisissez 802 pour Value dans la liste déroulante. 14. Choisissez 0 pour tous les Tag suivants dans les listes. 15. Cochez la case [081] Tunnel−Private−Group−ID. 16. Choisissez 1 dans la liste Tag. 17. Choisissez VLAN pour Value dans la liste déroulante. 18. Choisissez 0 pour tous les Tag suivants dans les listes. 19. Cliquez sur Submit. ccnp_cch
Vérification Message d'erreur 'Failed to Create "Certificate Authority Request" Object Cette section fournit des informations que vous pouvez utiliser pour confirmer que votre configuration fonctionne correctement. Exécutez ces étapes: 1. Choisissez Démarrer> Outils d'administration > IIS. 2. Choisissez Sites Web > Site Web par défaut. 3. Clic droit sur CertSrv. 4. Choisissez Propriétés. 5. Cliquez sur le bouton Configuration dans la partie Paramètres d'Application de l'onglet Répertoire de base. 6. Cliquez sur l'onglet Options. 7. Choisissez Activer l'état de session. 8. Cliquez sur Ok. 9. Cliquez sur Ok. 10. Redémarrez IIS. Si votre navigateur bloque avec un message Téléchargement d'un Contrôle ActiveX, référez-vous à cet article sur le site Web de Microsoft "Internet Explorer Stops Respon- ding at "Downloading ActiveX Control" message when you try to use a Certificate Server. ccnp_cch