Scribd
Cargar
75 vistas27 páginas

EAP TLS WiFi IAP

Cargado por

stiteuf
Derechos de autor
© © All Rights Reserved
Nos tomamos en serio los derechos de los contenidos. Si sospechas que se trata de tu contenido, reclámalo aquí.
Formatos disponibles
Descarga como PDF, TXT o lee en línea desde Scribd
75 vistas27 páginas

EAP TLS WiFi IAP

Cargado por

stiteuf
Derechos de autor
© © All Rights Reserved
Nos tomamos en serio los derechos de los contenidos. Si sospechas que se trata de tu contenido, reclámalo aquí.
Formatos disponibles
Descarga como PDF, TXT o lee en línea desde Scribd

AUTENTIFICACION DE

CLIENTES INALAMBRICOS VIA


EAP TLS
Este manual tiene como finalidad mostrar cómo hacer la configuración de los equipos
involucrados para lograr la autentificación vía EAP TLS, en este caso se utilizó un servidor
Windows 2012 R2 Standard, un IAP Aruba 315.

Configuración del AP
Primero lo que necesitamos es cargar los certificados de RootCA y el de usuario (el pfx que
convertiremos a pem al final del documento)

Ahí vamos a cargar el RootCA en donde dice CA, solo hay que validar el formato en que
exportamos el certificado para que no nos marque algún error

Una vez cargado el RootCA vamos a cargar el de usuario (el pfx que convertimos a pem), ese lo
cargamos en donde dice AuthServer
Ingresamos la clave que utilizamos al momento de exportar el certificado y le damos en
cargar.

Ahora vamos a crear el servidor de autentificación, ara esto nos vamos a ir a configuración,
después entramos a la parte de seguridad y ahí vamos a dirigirnos a la parte de Authentication
Servers y le daremos en el signo de + para agregarlo.

Adicional a la dirección ip pondremos un shared key, que es una contraseña que utilizaremos
más delante cuando demos de alta el cliente radius en el servidor Windows, dicha clave tendrá
que ser la misma por lo cual habrá que recordarla.
Una vez que este configurado el servidor de autentificación procederemos a configurar el SSID
al cual vamos a conectar los dispositivos.

Para eso nos iremos a configuración y después en networks, ahí vamos a darle en el signo de +
para agregar la red.

Elegiremos un nombre para la red y seleccionamos que sea tipo wireless

Después elegimos el direccionamiento que asignara la red inalámbrica

Después vamos a continuar a la parte de seguridad en donde vamos a decirle que vamos a
utilizar una WPA2 Enterprise, seleccionaremos nuestro servidor que configuramos
anteriormente y muy importante, seleccionaremos la opción que dice EAP Offload.
Por ultimo vamos a asignar el rol que tendrá quien se conecte a ese SSID, para este caso vamos
a dejarlo unrestricted y damos clic en finish.

Por último, vamos a configurar un NTP para que el dispositivo tenga la hora correcta y este en
buena sincronía horaria con todo el ambiente.

Nota: importante identificar la opción que haga referencia a que las autenticaciones 802.1x
terminaran en el servidor AAA.
Configuración de los roles del servidor
Para la parte del servidor vamos a necesitar 2 roles:

 Network Policy and Access Services


 Active Directory Certificate Services

A continuación se mostrara como instalar cada uno de estos roles.

Vamos a ir a la parte de server manager y vamos a agregar el rol de Network Policy and Access
Services, al seleccionarlo se abrirá una ventana en donde daremos clic solo en add features.

Daremos clic en siguiente hasta donde lleguemos a la parte en donde seleccionaremos los
servicios del rol que vamos a instalar, ahí dejamos marcado solo la opción de network policy
server y damos clic en siguiente.
Damos clic en siguiente, confirmamos lo que se va a instalar y damos clic en instalar.

Una vez concluida la instalación damos clic en close y listo, el servidor de políticas de acceso
(NPS) estará instalado.
Ahora procederemos a instalar el rol de Active Directory Certificate Services. En la parte de
roles lo seleccionamos y damos clic en add features.

Damos siguiente hasta llegar a los servicios del rol, ahí vamos a seleccionar adicional el servicio
certification authority web enrollment y de igual manera daremos clic en add features en la
ventana que se abrirá.

Después damos clic en siguiente, confirmamos la instalación y damos clic en instalar. Una vez
concluida la instalación al final daremos clic en cerrar.
Una vez finalizada la instalación vamos a ir al server manager y en la parte superior derecha
vamos a ver que tenemos notificaciones.

Vamos a dar clic en la notificación y en el menú que se desplegara a continuación vamos a dar
clic en el link para poder configurar los certificados.

Especificamos las credenciales para la instalación y configuración.


Después damos clic en siguiente y seleccionamos los servicios a configurar y damos en
siguiente.

Seleccionamos Enterprise CA y damos en siguiente.


Seleccionamos Root CA y damos en siguiente.

Seleccionamos créate a new private key y damos en siguiente.


En la criptografía del certificado podemos dejarlo como muestra la imagen y dar en siguiente.

Elegimos el nombre del certificado y damos clic en siguiente.


Asignamos un periodo de validez al certificado y damos clic en siguiente.

Verificamos la ruta de las bases de datos y damos en siguiente.


Validamos la información a configurar y damos clic en configurar.

Al finalizar solo validamos que no haya errores y damos clic en cerrar.


Ahora vamos a validar la correcta configuración de el certificado, para ellos vamos a dar clic en
inicio y a escribir mmc para que vayamos a la consola raíz, ahí vamos a dar clic en file y
después en add/remove snap-in, ahí seleccionaremos la opción que dice certificate y damos
clic en add, elegimos la opción computer account y damos en siguiente.

Dejamos marcada la opción de local computer y damos clic en finish.


Quedando entonces de la siguiente manera.

Damos clic en ok y en la siguiente ventana vamos a irnos a certificados, personal y certificados


para validar el certificado que creamos anteriormente con su respectiva validez que le
hayamos definido.

Podemos dar clic derecho sobre el certificado y abrirlo, ir a detalles para validar la información
configurada.
Lo siguiente aquí será generar nuestro archivo pfx y para esto vamos a dar clic derecho sobre
el certificado vamos a ir a todas las tareas y después exportar, aquí se abrirá un wizard de
exportación y le daremos en siguiente, para después decirle que si vamos a exportar la llave
privada y daremos clic en siguiente.

Después elegimos el formato y damos clic en siguiente.


Después especificamos quienes serán los usuarios que podrán utilizar dicho certificado y lo
protegemos con un password (es muy importante recordar dicho password ya que este será
necesario para poder importarse de forma manual en los dispositivos) y damos clic en
siguiente.

Después le asignamos un nombre y especificamos una ruta para su exportación y damos en


siguiente y por ultimo en finalizar.
Ahora nos vamos a dirigir a nuestro NPS y vamos a darle clic en action y después darle clic en
register server in active directory.

Ahora vamos a configurar nuestro cliente radius, para ellos vamos a dar clic en radius client
and server y después dar clic derecho en RADIUS client y seleccionar new.

Ahí vamos a llenar los datos del nombre, dirección ip y en shared key vamos a utilizar la misma
que utilizamos cuando configuramos el IAP.
Ahora podremos configurar la política, seleccionando como se muestra a continuación.
En las siguientes opciones solo damos siguiente hasta llegar a finalizar y vamos a validar la
configuración y a hacer algunos cambios en caso de ser necesario, en la parte de connection
request policy deberá de estar de la siguiente manera.
Ahora la configuración de la política de red deberá de estar de la siguiente manera.
Quedando las políticas de la siguiente manera.

Ahora, dependiente del dispositivo que se quiera conectar a la red será el procedimiento que
se utilizara para la conexión.

Para descargar el certificado de CA bastara con ingresar a la url


[Link] ingresamos nuestras credenciales y a continuación solo
seleccionamos la opción de download a CA certificate, esto nos mandara a otra ventana en
donde seleccionaremos el certificado a descargar.

En el caso de un iPhone se requieren ambos certificados (el CA y el de usuario pfx que se


genero anteriormente) para poder conectarse a la red.
Convertir archivo PFX a PEM con OpenSSL
Nota: Para esta conversión se utilizo linux mint
openssl pkcs12 -in [Link] -out [Link] –nodes
Teniendo ya el archive pem se le importa al AP y el PFX al dispositivo final del usuario.

URL’s de Apoyo:
[Link]

[Link]
[Link]

[Link]

[Link]

También podría gustarte