ClearPassを検証で使ってみよう!!ª証(EAP-TLS).pdf222.802.1x 認証用のサービスを作成 6 サービスのタイプを”802.1xWireless>IdentityOnly”とし、名前に任意なものを入力します。”NEXT”をクリック

ClearPassを検証で使ってみよう!!802.1x(EAP-TLS) 編

2016 / 1月作成

はじめに

ClearPassの評価ライセンスには、下記のライセンスが含まれています。

Policy Manager 500ユーザ

Onboard 25ユーザ

Guest 25ユーザ

Onboad では認証局（CA）を構築することができますので、評価ライセンスのみで証明書が必要な

EAP-TLSでの認証を行うことが可能になっています。

2

1-1.Radius Client（APやSW）の追加

3

設定＞ネットワーク＞デバイスの画面を開き、”デバイスの追加” をクリックします。

①

②

③

1-2.Radius Client（APやSW）の追加

4

Device名DeviceのIP Address

設定しているSecret Key

デバイス名／IPアドレス／デバイスに設定しているSecret Keyを入力し、Addをクリックします。

チェックを入れる

2-1.サービスの追加

5

設定＞サービスを開き、”サービスの追加”をクリックします。

①

②

③

2-2.802.1x認証用のサービスを作成

6

サービスのタイプを”802.1x Wireless-Identity Only” とし、名前に任意なものを入力します。”NEXT”をクリック

802.1x関連のタイプを選択

サービス名を入力

2-3.認証のためのクライアント情報格納箇所の指定

7

認証ソースにおいて、Select to Addをクリックし、クライアント情報の格納場所をしていします。クライアント格納箇所を選択（Local User Repository）し ”NEXT”をクリック

[EAP TLS]が入っていることを確認します。

Select Addをクリックし、クライアントの格納場所= Local UserRepositoryを選択すると、認証ソースに入ります。

2-4.認証後のロールマッピング

8

ロールマッピングポリシーを選択します。（Guestを選択） ”NEXT”をクリック

2-5.エンフォースメントポリシーの選択

9

エンフォースメントポリシーを選択します。（Default設定） ”NEXT”をクリック

2-6.作成したサービスのサマリー（確認）

10

設定したサービス内容で問題なければ”保存”をクリックします。

3-1.ローカルユーザの作成

11

設定＞ ID＞ローカルユーザーを表示します。ユーザの追加をクリックします。

①

②

③

3-2.ローカルユーザの作成

12

ユーザIDおよびパスワード（確認）を入力します。追加をクリック

3-3.作成したユーザ状況確認

13

ユーザが作成されると、ローカルユーザ画面に作成をしたユーザが表示されます。

4-1-1. CSRの生成

14

①

②

管理＞サーバー証明書を表示します。証明書署名要求（CSR）の作成をクリックします。

③

④

４-1-2. CSRの作成

15

パスワードを設定します。

適当なパスワードを入力し、送信をクリックします。

4-1-1で選択したサーバ名が入っています。

4-1-3. CSRの内容確認、ダウンロード

16

“CSRおよび秘密鍵ファイルのダウンロード”をクリックします。操作している端末に2つのファイルがダウンロードされます。

２つのファイルが生成されます。

5. ClearPass Onboardへのアクセス

17

ダッシュボード＞ Quick Links より “ClearPass Onboard”をクリックします。新しいタブにOnboardの画面が表示

①

②

③

ClearPassのTOP画面から ClearPass Onboard もしくはClearPass GuestでアクセスしてもOK

5-1. 認証局（CA）の作成

18

Onboard＞認証局を表示します。 “新しい認証局を作成します” をクリックします。

①

②

③

5-2.認証局の設定

19

＊がついている箇所を埋め、”認証局の作成” をクリックします。

デフォルトを利用

適当な値

ルートCAを選択

5-3．作成した認証局の確認

20

作成をした認証局が表示されます。

6-1．CSRのアップロード

21

Onboard＞ View by Cirtificate を表示し、”証明書署名要求をアップロードする” をクリックします。

①

②

③

6-2.証明書署名要求

22

認証局に 5-3 で作成した認証局を選択、4-1-3 でダウンロードした” CertSignRequest.csr” を選択し、送信をします。

作成をした認証局を選択

ファイルを選択からダウンロードしているCsrファイルを指定

デフォルトの”信頼された証明書”を選択

6-3．作成されたサーバ証明書の確認

23

CSRが読み込まれると、証明書管理画面にサーバ証明書が作成されたことが確認できます。

6-4．サーバ証明書のエクスポート

24

作成されたサーバ証明書をクリックし、”証明書のエクスポート”をクリックします。形式に”バイナリ証明書”を選択し、”証明書のエクスポート”ボタンをクリックします。操作しているPCに証明書がダウンロードされます。

①クリック

②証明書のエクスポートをクリック

③バイナリ証明書（crt)を選択

④証明書のエクスポートをクリックすると PCに証明書が保存されます。

7-1．サーバ証明書のインポート

25

ClearPass Policy Managerの画面に戻り、管理＞証明書＞サーバ証明書を表示し、”サーバ証明書のインポート”をクリックします。

①

②

③

7-2.サーバ証明書のインポート

26

証明書ファイルに 6-4でエクスポートした証明書、秘密鍵ファイルに4-1-3 でダウンロードした” CertPrivKey.pkey” を選択し、秘密鍵パスワードに4-1-2で設定をしたパスワードを入力し、インポートをクリック

4-1-2で指定したパスワード

7-3.サーバ証明書インポート完了確認

27

証明書が読み込まれていることを確認します。

8-1.クライアント証明書作成

28

Onboard＞ View by Certificate を表示し、”新しい証明書署名要求を生成する” をクリックします。

①

②

③

8-2．クライアント証明書設定

29

認証局に5-3で作成した認証局を選択、証明書タイプを”TLSクライアント証明書”とし、＊項目を埋めます。一般名の値は、3-2で作成したユーザ名を入れ”作成”をクリック

作成をしたユーザ名

8-4．クライアント証明書作成完了確認

30

ユーザ用のクライアント証明書が作成されたことを確認します。

8-5.クライアント証明書のエクスポート

31

クライアント証明書をクリックし、”証明書のエクスポート”をクリックします。形式をPKCS#12 を選択しパスフレーズを入力。証明書のエクスポートをクリックします。操作PCにダウンロードされます。

①クリック

②証明書のエクスポートをクリック

③PKCS#12を選択

④パスフレーズを入力

⑤証明書のエクスポートをクリック

9-1．（参考）Windows PCへの証明書インポート

32

8-5で発行をした証明書をPCに移動させ、クリックを行うと、証明書のインポートウィザードが開始されます。


33

インポートするファイルがあっていることを確認します。


34

8-5で入力したパスフレーズを入力します。


35


36


37

10-1．（参考）無線LANへの接続設定

38

ワイヤレスネットワークの管理を選択します。


39

追加をクリックします。


40

手動で作成を選択します。


41

接続をするSSIDをネットワーク名に入力し、WPA2-エンタープライズを選択し次をクリックします。


42

「接続の設定を変更します」をクリックします。


43

セキュリティータブをクリックします。


44

ネットワークの認証方法の選択の設定ボタンをクリックします。


45

読み込んだ証明書を選択

サーバーの証明書を検証するにチェックをいれ、9-6で読み込んだ証明書を選択します。


46

詳細設定ボタンをクリックします。


47

認証モードを”ユーザ認証”に変更し OKをクリックします。


48

OKをクリックします。


49

閉じるをクリックします。

12-1．接続確認

50

クライアントを接続させると、モニタリング＞ Live Monitoring＞アクセストラッカーに接続情報が表示されます。

12-2.接続詳細

51

Documents

ClearPassを検証で使ってみよう!!ª証(EAP-TLS).pdf222.802.1x 認証用のサービスを作成 6 サービスのタイプを”802.1xWireless>IdentityOnly”とし、名前に任意なものを入力します。”NEXT”をクリック