Cisco Secure Access Control Server for Windows V3.2 del Cisco Secure ACS for Windows con la autentificación de la máquina EAP-TLS Traducción por computadora Contenidos Introducción Requisitos previos Requisitos Componentes utilizados Teoría precedente Convenciones Diagrama de la red Configuración de Cisco Secure ACS para Windows v3.2 Obtenga un certificado para el servidor ACS Configure ACS para usar un certificado del almacenamiento Especifique autoridades certificadoras adicionales en las que la ACS debe confiar Reiniciar el servicio y configurar los parámetros de EAP-TLS en ACS Especifique y configure el punto de acceso como un cliente AAA Configuración de las bases de datos de los usuarios externos Reiniciar el servicio Configuración de la inscripción automática del certificado de la máquina MS Configuración del punto de acceso Cisco Configuración del cliente inalámbrico Unirse al dominio Obtener un certificado para el usuario Configure la comunicación en la red inalámbrica Verificar Resolución de problemas Información relacionada Introducción Este documento demuestra cómo configurar el protocolo extensible authentication - el Transport Layer Security (EAP-TLS) con el versão 3.2 del Cisco Secure ACS for Windows. Requisitos previos Requisitos No hay requisitos previos específicos para este documento. Componentes utilizados La información que contiene este documento se basa en las versiones de software y hardware indicadas a continuación.
Cisco Secure ACS para la versión 3.2 de Windows Servicios de certificado de Microsoft (instalados como Enterprise root certificate authority [CA]) Nota: Para obtener más información, consulte la guía paso a paso para configurar una autoridad de certificación. Servicio DNS con Windows 2000 Server con Service Pack 3 y parche 323172 Nota: Si experimenta problemas en el Servidor CA, instale hotfix 32317 El cliente del Windows 2000 SP3 requiere el hotfix 313664 habilitar la autentificación del IEEE 801X. Punto de acceso inalámbrico 101T de la serie Cisco Aironet 1200 Una IBM ThinkPad T30 que ejecuta Windows XP Professional con Service Pack 1 La información que se presenta en este documento se originó a partir de dispositivos dentro de un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si la red está funcionando, asegúrese de haber comprendido el impacto que puede tener un comando antes de ejecutarlo. Teoría precedente Tanto EAP-TLS como el Protected Extensible Authentication Protocol (PEAP) crean y utilizan un túnel de TLS/Secure Socket Layer (SSL). EAP-TLS usa autenticación mutua en la cual tanto el servidor y los clientes ACS (autenticador, autorizador y contabilizador [AAA]) tienen certificados y confirman sus identidades unos con otros. El PEAP, sin embargo, utiliza solamente la autentificación del lado del servidor; solamente el servidor tiene un certificado y prueba su identidad al cliente. Convenciones Para obtener más información sobre las convenciones del documento, consulte las Convenciones de consejos técnicos de Cisco. Diagrama de la red Este documento utiliza la instalación de red que se muestra en el siguiente diagrama. Configuración de Cisco Secure ACS para Windows v3.2
Siga los pasos a continuación para configurar ACS 3. 3. 4. 5. 6. 7. Obtenga un certificado para el servidor ACS. Configure el ACS para utilizar un certificado almacenado. Especifique las autoridades de certificado adicionales en las que debería confiar el ACS (Servidor de control de acceso seguro). Reinicie el servicio y configure los parámetros de PEAP en ACS. Especificar y configurar el punto de acceso como un cliente AAA. Configure las bases de datos de los usuarios externos Reiniciar el servicio. Obtenga un certificado para el servidor ACS Siga los pasos a continuación para obtener un certificado. En el servidor ACS, abra un explorador de Internet y busque el servidor CA; para ello, introduzca http://ca-ip-address/certsrv en la barra de direcciones. Iniciar sesión en el dominio como Administrador. Seleccione Request a certificate (Solicite un certificado) y luego haga click en Next (Siguiente). 3. Selecccione Advanced request (Petición avanzada) y luego haga clic en Next (Siguiente).
4. Seleccione Submit a certificate request to this CA using a form (Enviar una petición de certificado a esta CA mediante un formulario) y luego haga clic en Next (Siguiente). 5. Configure las opciones de certificado. Seleccione Servidor Web como plantilla de certificado. Ingrese el nombre del servidor ACS.
Establezca el tamaño de clave en 1024. Seleccione las opciones para las claves de marca como exportables y Usar almacenamiento de máquina local. Configure las otras opciones que sean necesarias y luego haga clic en Submit (Enviar). Nota: Si se abre una ventana de advertencia acerca de la falta de cumplimiento de una secuencia de comandos (depende de la configuración de privacidad/seguridad de su navegador), haga clic en Yes (Sí) para continuar. 6. Haga clic en Install this certificate (Instalar este certificado).
Nota: Si se abre una ventana de advertencia acerca de la falta de cumplimiento de una secuencia de comandos (depende de la configuración de privacidad/seguridad de su navegador), haga clic en Yes (Sí) para continuar. 7. Si la instalación se ha realizado con éxito, verá un mensaje de confirmación Configure ACS para usar un certificado del almacenamiento Siga estos pasos para configurar ACS a fin de utilizar el certificado en almacenamiento. Abra un explorador de Web e ingrese http://acs-ip-address:2002/ en la barra de direcciones para buscar el servidor ACS. Haga clic en Configuración del sistema, y luego en Instalación de certificado ACS. Haga clic en Install ACS Certificate (Instalar certificado ACS). 3. Seleccione Use Certificate from storage (Usar certificado desde almacenamiento). En el campo Certificado CN, ingrese el nombre del certificado que asignó en el paso 5a de la sección Cómo obtener un certificado del servidor ACS. Haga clic en Submit (Enviar).
4. Cuando la configuración haya finalizado, verá un mensaje de confirmación indicando que la configuración del servidor ACS ha sido modificada. Nota: No es necesario que reinicie el ACS ahora. Especifique autoridades certificadoras adicionales en las que la ACS debe confiar El ACS confiará automáticamente en la Autoridad de certificación que emitió su propio certificado. Si los certificados del cliente están emitidos por Autoridades de certificación, deberá realizar los siguiente pasos:
Haga clic en Configuración del sistema, y luego en Instalación de certificado ACS. Haga clic en ACS Certificate Authority Setup (Configuración de ACS Certificate Authority) para agregar CA a la lista de certificados confiables. En el campo para el archivo de certificado CA, ingrese la ubicación del archivo y luego haga clic en Submit (Enviar). 3. Haga clic en Edit Certificate Trust List (Editar lista de confianza del certificado). Marque todos los CA que el ACS debe confiar, y desmarque todos los CA que el ACS no debería confiar. Haga clic en Submit (Enviar). Reiniciar el servicio y configurar los parámetros de EAP-TLS en ACS Siga los siguientes pasos para reiniciar el servicio y configure los parámetros EAP-TLS. Haga clic en System Configuration (Configuración del sistema), y luego en Service Control (Control del servicio). Haga clic en Restart (Reiniciar) para reiniciar el servicio.
3. 4. Para configurar las configuraciones EAP-TLS, hacer clic la configuración del sistema, y después hacer clic el Setup de la autenticación global. Seleccione Permitir EAP-TLS y luego verifique una o más de las comparaciones de certificado. Cuando haya finalizado, haga clic en Submit (Enviar). Especifique y configure el punto de acceso como un cliente AAA Siga estos pasos para configurar el punto de acceso (AP) como un cliente AAA. Haga clic en la configuración de red. En los clientes AAA, haga clic en Add Entry (Agregar entrada).
Ingrese el nombre de la computadora principal del punto de acceso en el campo Nombre de host del cliente AAA y su dirección IP en el campo Dirección IP del cliente AAA. Ingresar una clave secreta compartida para el ACS y el punto de acceso en el campo clave. Seleccione RADIUS (Cisco Aironet) como el método de autenticación. Cuando haya finalizado, haga clic en Submit (Enviar). Configuración de las bases de datos de los usuarios externos Siga estos pasos para configurar las bases de datos de usuarios externos.
Haga clic en Bases de datos de usuarios externos y luego en Configuración de la base de datos. Haga clic en base de datos de Windows. Nota: Si no hay una base de datos de Windows definida, haga clic en Create New Configuration (Crear nueva configuración) y a continuación haga clic en Submit (Enviar). Haga clic en Configure (Configurar). Desde Configurar lista de dominio, mueva el dominio SEC-SYD de los dominios disponibles a la lista de dominio. 3. Para habilitar la autenticación automática, marque la opción Permit EAP-TLS machine authentication (Permitir la autenticación automática EAP-TLS) en Windows EAP Settings (Configuraciones EAP de Windows). No cambie el prefijo de nombre de autenticación de la máquina. Microsoft actualmente utiliza "/host" (el valor predeterminado) para hacer la distinción entre la autenticación del usuario y de la máquina. Si así lo desea, puede permitir el desmontaje del dominio habilitando la opción EAP-TLS Strip Domain Name. Cuando haya finalizado, haga clic en Submit (Enviar). 4. Haga clic en External User Databases (Bases de datos de usuarios externas), y luego haga clic en Unknown User Policy (Política de usuario desconocida). Seleccionar la opción para el control las Bases de datos de usuarios externas siguientes, después utilizar el botón de la flecha correcta (- >) para mover las bases de datos de Windows desde las bases de datos externas a las bases de datos seleccionadas. Cuando haya finalizado, haga clic en Submit (Enviar).
Reiniciar el servicio Cuando haya terminado de configurar ACS, siga los siguientes pasos para reiniciar el servicio. Haga clic en System Configuration (Configuración del sistema), y luego en Service Control (Control del servicio). Haga clic en Restart (Reiniciar) Configuración de la inscripción automática del certificado de la máquina MS Siga los pasos a continuación para configurar el dominio para la inscripción automática del certificado de la máquina. 3. Van al Control Panel > Administrative Tools > los usuarios de directorio activos y computadora abiertos. Haga clic con el botón secundario del mouse en el dominio sec-syd y seleccione Properties (Propiedades) en el submenú. Seleccionar la política del Default Domain del tecleo de cuadro de la política del grupo, y después hacer clic el Edit. 4. Ir al Computer Configuration (Configuración de computadora) > Windows Settings (Configuración de Windows) > Security Settings (Configuración de seguridad) > Public Key Policies (Políticas de clave pública) > Automatic Certificate Request Settings (Configuración automática de petición de certificados).
5. 6. En la barra de menú, ir al Action (Acción) > New (Nuevo) > Automatic Certificate Request (Petición automática de certificado) y haga clic en Next (Siguiente). Seleccione Computadora y haga clic en Siguiente. Marcar el Certificate Authority, "nuestro TAC CA" en este ejemplo. Haga clic en Next (Siguiente) y luego en Finish (Finalizar). Configuración del punto de acceso Cisco Siga los siguientes pasos para configurar AP de modo que utilice ACS como servidor de autenticación. 3. Abrir un explorador de Web y navegar hacia AP ingresando a http://ap-ip-address/certsrv en la barra de direcciones. En la barra de herramientas, haga clic en Setup (Configuración). En Services (Servicios), haga clic en Security (Seguridad). Haga clic en Authentication Server (Servidor de autenticación) Nota: Si ha configurado cuentas en AP, deberá iniciar sesión. 4. Ingrese los valores de configuración del autenticador. Seleccione 801x-2001 para la versión de protocolo 801x (para autenticación EAP). Ingrese la dirección IP del servidor ACS en el campo Server Name/IP (Nombre/IP del servidor). Seleccione RADIUS como el tipo de servidor. Ingrese 1645 ó 1812 en el campo Port (Puerto). Ingrese la clave secreta compartida que especificó en el paso 2 de Especificación y configuración de un punto de acceso como cliente AAA. Verifique la opción para la autenticación EAP para especificar cómo se debe usar el servidor. Cuando haya finalizado, haga clic en OK (Aceptar).
5. 6. Haga clic en Radio Data Encryption (WEP) (Cifrado de datos de Radio (WEP)). Ingrese la configuración para el cifrado de datos internos. Seleccione Full Encryption (Cifrado completo) para establecer el nivel de cifrado de datos. Seleccionar la opción para que Open fije el tipo de autentificación validado; para habilitar el SALTO, seleccionar la opción para el Network EAP. Para la configuración EAP (requerida), consulte la opción para Open (Abrir). Ingresar una clave de encripción y fijar los tamaños de clave al dígito binario 128. Cuando haya finalizado, haga clic en OK (Aceptar). 7. Confirmar que estás utilizando el Service Set Identifier correcto (SSID) yendo al Network (Red) > Service Sets (Conjuntos de servicios) > Select the SSID Idx (Seleccionar el SSID Idx), y hacer clic la AUTORIZACIÓN cuando te acaban.
Configuración del cliente inalámbrico Siga los pasos a continuación para configurar ACS 3. 3. Únase al dominio. Obtener un certificado para el usuario. Configure la red inalámbrica. Unirse al dominio Siga estos pasos para agregar un cliente inalámbrico al dominio. Nota: Para realizar estos pasos, el cliente inalámbrico debe tener conectividad al CA, a través de una conexión cableada o de la conexión inalámbrica con la seguridad 801x desactivada. Inicie sesión en Windows XP como administrador local. Ir al Control Panel (Panel de control) > Performance and Maintenance (Rendimiento y mantenimiento) > System (Sistema). 3. Seleccione la ficha Computer Name (Nombre de la computadora) y luego haga clic en Change (Cambiar). Ingrese el nombre de host en el campo para el nombre del equipo. Seleccione el dominio y luego ingrese el nombre del dominio (SEC-SYD en este ejemplo). Haga clic en OK (Aceptar).
4. 5. Cuando aparece un cuadro de diálogo de acceso al sistema, únase al dominio conectándose con una cuenta que tenga permiso para unirse al dominio. Una vez que la computadora se haya unido correctamente al dominio, reiníciela. La máquina será un miembro del dominio; puesto que hemos configurado la inscripción automática de la máquina, la máquina tendrá un certificado para el CA instalado así como un certificado para la autentificación de la máquina. Obtener un certificado para el usuario Seguir los siguientes pasos para obtener un certificado para el usuario. Regístrelo en Windows XP y en el dominio (SEC-SYD) en el cliente inalámbrico (computadora portátil) como la cuenta que requiere un certificado. Abra un explorador de Web y navegue hacia el servidor CA ingresando http://ca-ip-address/certsrv en la barra de direcciones. Regístrese al sitio CA con la misma cuenta. Nota: El certificado está almacenado en el cliente inalámbrico en el perfil del usuario actual, por lo tanto, es necesario iniciar Windows y el CA utilizando la misma cuenta. Seleccione Request a certificate (Solicite un certificado) y luego haga click en Next (Siguiente).
3. Selecccione Advanced request (Petición avanzada) y luego haga clic en Next (Siguiente). 4. Seleccione Submit a certificate request to this CA using a form (Enviar una petición de certificado a esta CA mediante un formulario) y luego haga clic en Next (Siguiente). 5. Seleccionar al usuario como el Certificate Template plantilla de certificado, y fijar los tamaños de clave a 1024. Configure las otras
opciones que sean necesarias y luego haga clic en Submit (Enviar). Nota: Si se abre una ventana de advertencia acerca de la falta de cumplimiento de una secuencia de comandos (depende de la configuración de privacidad/seguridad de su navegador), haga clic en Yes (Sí) para continuar. 6. Haga clic en Install this certificate (Instalar este certificado). Nota: Si se abre una ventana de advertencia acerca de la falta de cumplimiento de una secuencia de comandos (depende de la configuración de privacidad/seguridad de su navegador), haga clic en Yes (Sí) para continuar.
7. Si el propio certificado CA no se guarda en el cliente de red inalámbrica ya, puedes ver una ventana similar a la que está mostrada abajo. Haga clic en Yes (Sí) a fin guardar el certificado para almacenamiento local. 8. Si la instalación se ha realizado con éxito, verá un mensaje de confirmación Configure la comunicación en la red inalámbrica Siga estos pasos para establecer las opciones para la red inalámbrica. Iniciar sesión en el dominio como usuario de dominio. Ir al Control Panel (Panel de control) > Network and Internet Connections (Conexiones de red e Internet) > Network Connections (Conexiones de red). Haga clic con el botón secundario del mouse en Wireless Connection (Conexión inalámbrica) y en el submenú que aparece, seleccione Properties (Propiedades). 3. Seleccionar las redes inalámbricas que cuadro selecciona la red inalámbrica (visualizada usando el nombre SSID del AP) de la lista de redes disponibles, y después hacer clic configuran.
4. En la ficha Authentication (Autenticación) de la ventana de propiedades de la red, seleccione la opción para activar la autenticación IEEE 801x en esta red. Para el tipo EAP, seleccione Smart Card (Tarjeta inteligente) u otro certificado para tipo EAP y luego haga clic en Properties (Propiedades). Nota: Para habilitar la autenticación mediante la máquina, verifique la opción Autentícate as computer (Autenticar como computadora) cuando la información de computadora esté disponible. 5. Seleccione Use a certificate in this computer (Use un certificado en esta computadora) y luego verifique Use simple certificate selection (Use la selección de certificado simple). El control valida el certificado de servidor. Cuando haya finalizado, haga clic en OK (Aceptar). Nota: Cuando el cliente ingresó al dominio, el certificado CA fue instalado de forma automática como una Autoridad de certificación raíz confiable. El cliente confiará de manera automática e implícita en el CA que firmó el certificado del cliente. Se puede confiar en las CA adicionales si las verifica en la lista Autoridades de certificación raíz confiables.
6. En la ficha Association (Asociación) de la ventana de propiedades de la red, marque las opciones para Data encryption (WEP enabled) (Cifrado de datos [habilitación WEP] y The key is provided for me automatically (La clave se proporciona automáticamente para mí). Haga clic en OK (Aceptar) y, a continuación, en OK (Aceptar) otra vez para cerrar la ventana de configuración de red. Verificar En esta sección encontrará información que puede utilizar para confirmar que su configuración esté funcionando correctamente. Para verificar que hayan autenticado al cliente de red inalámbrica, en el cliente de red inalámbrica ir al Control Panel (Panel de control) > Network and Internet Connections (Conexiones de red e Internet) > Network Connections (Conexiones de red). En la barra de menú, ir al View (Ver) > Titles (Títulos). La conexión inalámbrica debería mostrar el mensaje Autenticación exitosa Para verificar que hayan autenticado a los clientes de red inalámbrica, en la interfaz Web ACS ir al Reports and Activity (Informes y actividad) > Passed Authentications (Autenticaciones aprobadas) > Passed Authentications active.csv (Autenticaciones aprobadas active.csv).
Resolución de problemas En esta sección encontrará información que puede utilizar para solucionar problemas de configuración. Verificar que hayan instalado a los servicios de certificados MS como empresa raíz CA en Windows 2000 Advanced Server con el Service Pack 3. Verifique que esté usando Cisco Secure ACS para Windows versión 3.2 con Windows 2000 y Service Pack 3. Si falla la autenticación del equipo en el cliente inalámbrico, no habrá conectividad de red en la conexión inalámbrica. Sólo las cuentas que tengan sus perfiles almacenados en la memoria caché del cliente inalámbrico podrán cargarse en el dominio. Será necesario conectar la máquina a una red cableada o configurar una conexión inalámbrica sin seguridad 801x. Si falla la inscripción automática con CA cuando se une al dominio, verifique el visor de eventos para ver las posibles razones. Si el perfil de usuario del cliente inalámbrico no posee un certificado válido pero la contraseña es correcta aún puede iniciar sesión en la máquina y en el dominio, pero observe que la conexión inalámbrica no tendrá conectividad. Si el certificado de ACS no es válido en el cliente inalámbrico (que depende de las fechas desde y hasta del certificado, la configuración de la hora y la fecha del cliente y la confianza de CA), el cliente lo rechazará y la autenticación fallará. El ACS registrará la autenticación fallida en la interfaz Web bajo los informes y la actividad > los intentos fallidos > el XXX.csv de los intentos fallidos con el Código de Falla de la autentificación similar al "EAP-TLS o la autenticación PEAP fallada durante el contacto SSL." El mensaje de error esperado en el archivo CSAuth.log es similar al siguiente. AUTH 06/04/2003 14:56:41 E 0345 1644 EAP: buildeaprequestmsg: other side probably didn't accept our certificate Si el certificado del cliente en el ACS es inválido (esto depende de las fechas de validez "desde" y "hasta" (del certificado), de la configuración de fecha y hora del servidor, y de la confianza de la CA), el servidor lo rechazará y fracasará la autenticación. El ACS registrará la autenticación fallida en la interfaz Web bajo los informes y la actividad > los intentos fallidos > el XXX.csv de los intentos fallidos con el Código de Falla de la autentificación similar al "EAP-TLS o la autenticación PEAP fallada durante el contacto SSL." Si el ACS rechaza el certificado del cliente porque ACS no confía en CA, el mensaje de error esperado en el archivo CSAuth.log es similar al siguiente: AUTH 06/04/2003 15:47:43 E 0345 1696 EAP: ProcessResponse: SSL handshake failed, status = 3 (SSL alert fatal:unknown CA certificate) Si el ACS rechaza el certificado de cliente porque ha expirado el certificado, el mensaje de error previsto en el fichero de CSAuth.log es similar al siguiente. AUTH 06/04/2005 15:02:08 E 0345 1692 EAP: ProcessResponse: SSL handshake failed, status = 3 (SSL alert fatal:certificate expired) En abre una sesión la interfaz Web ACS, bajo ambos informes y la actividad > las autentificaciones pasajeras > XXX.csv de las autentificaciones y los informes y actividad > los intentos fallidos > XXX.csv pasajeros de los intentos fallidos, las autentificaciones EAP-TLS se muestra en el <user-id>@<domain> del formato. Las autenticaciones PEAP se muestran en <DOMAIN> \ <user-id> del formato. Puede verificar el certificado y la fiabilidad del servidor ACS con los pasos a continuación. 3. 4. Ingrese a Windows en el servidor ACS con una cuenta que tenga privilegios de administrador. Abrir el Microsoft Management Console yendo al Start (Inicio) > Run (Ejecutar), al mmc que teclea, y a la AUTORIZACIÓN que hace clic. En la barra de menú, ir al Console (Consola) > Add/Remove Snap-in (Agregar/Remover complemento), y entonces al haga click en Add Seleccione Certificates (Certificados) y haga clic en Add (Agregar) Seleccione Computer account (Cuenta de computadora), haga clic en Next (Siguiente) y luego seleccione Local computer
(Computadora local [la computadora en la cual se ejecuta esta consola]). 5. 6. Haga clic en Finish (Finalizar), luego en Close (Cerrar) y por último en OK (Aceptar). Para verificar que el servidor ACS tenga un certificado en el lado del servidor válido, van a la Raíz de la consola > a los certificados (computadora local) > personal > los certificados. Verifique si existe un certificado para el servidor ACS (denominado OurACS en este ejemplo). Abra el certificado y verifique los siguientes elementos. No existe advertencia que indique que el certificado no ha sido verificado para todos los propósitos deseados No existe advertencia que indique que el certificado no sea seguro "Este certificado tiene como objetivo Asegura la identidad de una computadora remota." El certificado no ha caducado y ahora es válido (verifique las fechas de inicio y fin). Usted posee una clave privada que corresponde a este certificado. 7. 8. En la ficha Details (Detalles), verifique que el campo Version (Versión) tenga el valor V3 y que el campo Enhanced Key Usage (Uso mejorado de claves) tenga autenticación de servidor (3.6.5.5.7.3.1). Para verificar que el servidor ACS confíe en el servidor CA, van a la Raíz de la consola > a los certificados (computadora local) > las autoridades de certificación de raíz confiable > los certificados. Verifique que existe un certificado para el servidor CA (denominado Nuestro TAC CA en este ejemplo). Abra el certificado y verifique los siguientes elementos. No existe advertencia que indique que el certificado no ha sido verificado para todos los propósitos deseados No existe advertencia que indique que el certificado no sea seguro El objetivo deseado del certificado es correcto. El certificado no ha caducado y ahora es válido (verifique las fechas de inicio y fin). Si ACS y el cliente no usaron la misma raíz CA, entonces verifique que se haya instalado la cadena completa de los certificados de los servidores CA. Se aplica lo mismo si el certificado se obtuvo de una autoridad certificada menor Para verificar el certificado y la confianza del equipo del cliente inalámbrico, puede seguir los pasos que se describen a continuación. 3. 4. 5. 6. Ingrese a Windows en el servidor ACS con una cuenta que tenga privilegios de administrador. Abrir el Microsoft Management Console yendo al Start (Inicio) > Run (Ejecutar), al mmc que teclea, y a la AUTORIZACIÓN que hace clic. En la barra de menú, ir al Console (Consola) > Add/Remove Snap-in (Agregar/Remover complemento), y entonces al haga click en Add Seleccione Certificates (Certificados) y haga clic en Add (Agregar) Seleccione Computer account (Cuenta de computadora), haga clic en Next (Siguiente) y luego seleccione Local computer (Computadora local [la computadora en la cual se ejecuta esta consola]). Haga clic en Finish (Finalizar), luego en Close (Cerrar) y por último en OK (Aceptar). Verifique que la máquina tenga un certificado válido del lado del cliente. La autenticación de la máquina fracasará si el certificado no es válido. Para verificar el certificado, ir a la Raíz de la consola > a los certificados (computadora local) > personal > los certificados. Verificar que haya un certificado para la máquina; el nombre estará en el formato <host-name>.<domain>. Abra el certificado y verifique los siguientes elementos. No existe advertencia que indique que el certificado no ha sido verificado para todos los propósitos deseados No existe advertencia que indique que el certificado no sea seguro Se piensa "este certificado - Prueba tu identidad a una computadora remota." El certificado no ha caducado y ahora es válido (verifique las fechas de inicio y fin). Usted posee una clave privada que corresponde a este certificado. Sobre los detalles tabular, verificar que el campo de la versión tiene el v3 del valor y que el campo del Enhanced Key Usage contiene por lo menos la autenticación de cliente del valor (3.6.5.5.7.3.2); los propósitos adicionales pueden ser mencionados. Asegurarte de que el campo Subject contenga el valor CN = <host-name>.<domain>; los valores adicionales pueden ser mencionados. Verifique que el nombre del host y el dominio coincidan con lo que se especifica en el certificado.
Para verificar que el perfil del cliente confíe en el servidor CA, van a la Raíz de la consola > a los certificados (Usuario usuario actual) > las autoridades de certificación de raíz confiable > los certificados. Verifique que existe un certificado para el servidor CA (denominado Nuestro TAC CA en este ejemplo). Abra el certificado y verifique los siguientes elementos. No existe advertencia que indique que el certificado no ha sido verificado para todos los propósitos deseados No existe advertencia que indique que el certificado no sea seguro El objetivo deseado del certificado es correcto. El certificado no ha caducado y ahora es válido (verifique las fechas de inicio y fin). Si ACS y el cliente no usaron la misma raíz CA, entonces verifique que se haya instalado la cadena completa de los certificados de los servidores CA. Se aplica lo mismo si el certificado se obtuvo de una autoridad certificada menor Verifique la configuración de ACS tal como se describió en la sección sobre Configuración de Cisco Secure ACS para Windows v3. Verifique la configuración de CA según se describe en la sección Configuración de servicios de certificados MS. Verifique la configuración AP según se describe en la sección sobre Configuración del punto de acceso de Cisco. Verifique las configuraciones del cliente inalámbrico tal como se describen en la sección Configuración del cliente inalámbrico. Verifique que la cuenta del usuario exista en la base de datos interna del servidor AAA o en una de las bases de datos externas configuradas. Asegurarse de que la cuenta no haya sido desactivada. Información relacionada Página de soporte de Cisco Secure ACS para Windows Documentación de Cisco Secure ACS para Windows Guía de implementación de Transport Layer Security (Seguridad de capa de transporte) del protocolo de autenticación extensible para redes LAN inalámbricas. Obtención de la información de la depuración de AAA y de la versión para Secure ACS de Cisco para Windows Soporte técnico - Cisco Systems 1992-2009 Cisco Systems Inc. Todos los Derechos Reservados. Fecha de Generación del PDF: Jan 16, 2009 http://www.cisco.com/support/la/es/ts/7/76584/acs-eap.shtml