Laboratório de 802.1X. Prof. Alessandro Coneglian Bianchini Alessanc@gmail.com

Laboratório de 802.1X Prof. Alessandro Coneglian Bianchini Alessanc@gmail.com

2 Índice 1. Topologia...3 2. Autenticação PEAP-MS-CHAP v2...4 2.1. Servidor DC1...4 2.1.1. Instalação e configuração básica...4 2.1.3. Promova ao nível de dominio...7 2.1.5. Instalando e configurando o IIS...11 2.1.6. Instale o serviço de certificado...11 2.1.7. Verifique as permissões do administrador para cerificados...13 2.1.8. Adicionando um computador para o domínio...14 2.1.9. Permitido acesso wireless a um computador...15 2.1.10. Adicionando um usuário ao domínio...15 2.1.11. Permitindo um usuário acessar a rede wireless...17 2.1.12. Adicionando um grupo ao domínio...17 2.1.13. Adicionando usuários ao grupo...17 2.1.14. Adicionando clientes ao grupo WirelessUsers...18 2.2. Servidor IAS1...19 2.2.1. Instalação e configuração básica...20 2.2.2. Instalação e configuração básica...20 2.2.3. Criação do certificado local (Local Computer)...20 2.2.4. Requisição de um certificado digital para o computador...21 2.2.5. Adicionar a AP como cliente radius...22 2.2.6. Criando e configurando a política de acesso remoto...24 2.3. AP...27 2.3.1. Configurando AP...27 2.4. CLIENT1...27 2.4.1. Instalação e configuração básica...28 2.4.2. Instalação do adaptador wireless...28 2.4.3. Configure a conexão da rede wireless...28 3. EAP-TLS Authentication...33 3.1. DC1...33 3.1.1. Instale o template do certificado...33 3.1.2. Criação do template para os usuários wireless...33 3.1.3. Configure o template do certificado...34 3.1.4. Habilitamdo o template do certificado...36 3.2. IAS1...40 3.2.1. Configure o IAS1 para usar autenticação EAP-TLS...40 3.3. CLIENT1...45 3.3.1. Configure CLIENT1 para usar a autenticação...45 4. Requsitando certificado para usuário...48 5. Exemplos de configurações de 802.1x...54 5.1. AP350 Cisco...54 5.2. Wireless switch NEC 2012...55 5.3. Switch Cisco 2950...57 5.4. Switch Allied Telesyn...57 6. Tarefa...58 2/58 Adaptação e tradução do documento da Microsoft step-by-step guide for setting up secure wireless access in a test lab

3 1. Topologia 3/58 Adaptação e tradução do documento da Microsoft step-by-step guide for setting up secure wireless access in a test lab

2. Autenticação PEAP-MS-CHAP v2 A infra-estrutura do laboratório consiste nas seguintes tarefas: 4 Um computador rodando Microsoft Windows Server 2003 com Service Pack 1 (SP1), Enterprise Edition, chamado DC1 que está atuando como domain controller, um servidor de Domain Name System (DNS), um servidor Dynamic Host Configuration Protocol (DHCP), e um certification authority (CA). Um computador rodando Microsoft Windows Server 2003 com SP1, Standard Edition, chamado IAS1 que esta atuando como servidor de Remote Authentication Dial-In User Service (RADIUS). Um computador rodando Windows XP Professional com SP2 chamado CLIENT1 que atua como wireless client. 2.1. Servidor DC1 DC1 é um computador rodando Windows Server 2003 com SP1, Enterprise Edition, que executa os seguintes serviços: Domain controller para o domínio example.com DNS Server para o domínio example.com DHCP Server para o segmento de intranet Εnterprise root CA para o domínio example.com Servidor Radius (opcional caso laboratório tenha apenas um servidor) Servidor WEB Note: O Windows Server 2003 com SP1, Enterprise Edition, é usado com a função autoenrollment dos certificados de usuários e de maquina para que a autenticação EAP-TLS seja configurada. Como descrito na seção de autenticação EAP-TLS neste laboratório. Certificados autoenrollment e autorenewal é fácil para configuração e para administração dos certificados, provendo segurança e gerenciando automaticamente a expiração e a recertificação dos certificados digitais. Para configurar o servidor DC1 executaremos estes passos. 2.1.1. Instalação e configuração básica 1. Instale Windows Server 2003 com SP1, Enterprise Edition, como um stand-alone server. 2. configure o protocolo TCP/IP com o endereço IP 172.16.0.1 e masca 255.255.255.0. 2.1.2. Configure o computador como controlador de domínio 1. Para iniciar Active Directory Installation Wizard, click Start, click Run, digite dcpromo.exe, e então click OK. 2. Na caixa de diálogo Welcome to the Active Directory Installation Wizard, click Next. 3. Na caixa de diálogo Operating System Compatibility, click Next. 4. Verifique que Domain controller for a new domain option está selecionado, e então click Next. 4/58 Adaptação e tradução do documento da Microsoft step-by-step guide for setting up secure wireless access in a test lab

5 5. Verifique que Domain in a new forest está selecionado, e então click Next. 6. Verifique que No, just install and configure DNS on this computer está selecionado, e então click Next. 7. Na página New Domain Name, digite example.com, e então click Next. 8. Em NetBIOS Domain Name, confirme que o nome de domínio NetBIOS é EXAMPLE, e então click Next. 9. Aceite o default diretório Database and Log Folders como mostrado na figura seguinte, e então click Next. 10. Na caixa de diálogo Shared System Volume, Como mostrado na figura seguinte, Verifique se a pasta default está correta. Click Next. 5/58 Adaptação e tradução do documento da Microsoft step-by-step guide for setting up secure wireless access in a test lab

6 11. Na página Permissions, Verifique que o check box Permissions compatible only with Windows 2000 or Windows Server 2003 operating systems, está selecionado. Como mostrado na figura seguinte. Click Next. 6/58 Adaptação e tradução do documento da Microsoft step-by-step guide for setting up secure wireless access in a test lab

7 12. Na página Directory Services Restore Mode Administration Password, deixe o campo password em branco, e então click Next. 13. Revise as informações mostradas na página Summary, e então click Next. 14. Na página Completing the Active Directory Installation Wizard, click Finish. 15. Quando aparecer o prompt para reiniciar o computador, click Restart Now. 2.1.3. Promova ao nível de dominio 1. Abra o snap-in do Active Directory Domains and Trusts da pasta Administrative Tools, e click com botão direito no item domain computer dc1.example.com. 2. Click Raise Domain Functional Level, e então selecione Windows Server 2003 na página Raise Domain Functional Level. Como mostrado na figura seguinte. 7/58 Adaptação e tradução do documento da Microsoft step-by-step guide for setting up secure wireless access in a test lab

8 3. Click Raise, click OK, e então click OK novamente. 2.1.4. Instale e configure o serviço de DHCP server 1. instale Dynamic Host Configuration Protocol (DHCP) como Networking Services component usando Add or Remove Programs no painel de controle. 2. Abra DHCP snap-in na pasta Administrative Tools, e então marque o DHCP server, dc1.example.com. 3. Click Action, e então click Authorize para autorizar o serviço de DHCP. 4. Na console tree, clique com botão direito em dc1.example.com, e então click New Scope. 5. Na página Welcome do New Scope Wizard, click Next. 6. Na página Scope Name, digite CorpNet no campo Name. Isto é mostrado na figura seguinte. 7. Click Next. Na página IP Address Range, digite 172.16.0.10 em Start IP address, digite 172.16.0.100 em End IP address, digite 24 em Length. Como mostrado na figura seguinte. 8/58 Adaptação e tradução do documento da Microsoft step-by-step guide for setting up secure wireless access in a test lab

9 8. Click Next. Na página Add Exclusions, click Next. 9. Na página Lease Duration, click Next. 10. Na página Configure DHCP Options, click Yes, I want to configure these options now. Como mostrado na figura seguinte. 9/58 Adaptação e tradução do documento da Microsoft step-by-step guide for setting up secure wireless access in a test lab

10 11. Click Next. Na página Router (Default Gateway), click Next. 12. Na página Domain Name and DNS Servers, digite example.com em Parent domain. digite 172.16.0.1 em IP address, e então click Add. Como mostrado na figura seguinte. 10/58 Adaptação e tradução do documento da Microsoft step-by-step guide for setting up secure wireless access in a test lab

11 13. Click Next. Na página WINS Servers, click Next. 14. Na página Activate Scope, click Yes, I want to activate this scope now. Como mostrado na figura seguinte. 15. Click Next. Na página Completing the New Scope Wizard, click Finish. 2.1.5. Instalando e configurando o IIS 1. Instale o Internet Information Services (IIS) como um sub-componente de Application Server, componente usado pelo Windows Components wizard no Add or Remove Programs. 2.1.6. Instale o serviço de certificado 1. Em Control Panel, abra Add or Remove Programs, e então click Add/Remove Windows Components. 2. Na página Windows Components Wizard, selecione Certificate Services, e então click Next. 3. Na página CA Type, selecione Enterprise root CA. Como mostrado na figura seguinte. 11/58 Adaptação e tradução do documento da Microsoft step-by-step guide for setting up secure wireless access in a test lab

12 4. Click Next. digite Example CA na caixa Common name for this CA, e então click Next. Aceite o defaults da página Certificate Database Settings. Como mostrado na figura seguinte. 12/58 Adaptação e tradução do documento da Microsoft step-by-step guide for setting up secure wireless access in a test lab

13 5. Click Next. Complete a instalação, click Finish. 6. Click OK após ler o warning sobre a instalação do IIS. 2.1.7. Verifique as permissões do administrador para cerificados 1. Click Start, click Administrative Tools, e então click Certification Authority. 2. Click com botão direito em Example CA, e então click Properties. 3. Na aba Security, click Administrators na lista Group or user names. 4. Na lista Permissions for Administrators, Verifique que as seguintes opções estão configuradas para Allow: Issue and Manage Certificates, Manage CA, Request Certificates. Se qualquer uma destas estiver configurada para Deny ou não selecionada, então configure para Allow, Como mostrado na figura abaixo. 13/58 Adaptação e tradução do documento da Microsoft step-by-step guide for setting up secure wireless access in a test lab

14 5. Click OK para fechar a caixa de diálogo Example CA Properties, e então feche Certification Authority. 2.1.8. Adicionando um computador para o domínio 1. Abra o snap-in Active Directory Users and Computers. 2. Na console tree, expandir example.com. 3. Click com botão direito em Users, click New, e então click Computer. 4. Na caixa de diálogo New Object Computer, digite IAS1 no Computer name. Como mostrado na figura seguinte. 14/58 Adaptação e tradução do documento da Microsoft step-by-step guide for setting up secure wireless access in a test lab

15 5. Click Next. Na caixa de diálogo Managed, click Next. Na caixa de diálogo New Object Computer, click Finish. 6. Repita os passos de 3-5 to para adicionar novos servidores e desktops. 2.1.9. Permitido acesso wireless a um computador 1. No Active Directory Users and Computers console tree, click na pasta Computers, click com botão direito em CLIENT1, click Properties, e então click na aba Dial-in. 2. Selecione Allow access, e então click OK. 2.1.10. Adicionando um usuário ao domínio 1. Na console tree Active Directory Users and Computers, click com botão direito em Users, click New, e então click User. 2. Na caixa de diálogo New Object User, digite wirelessuser no First name e digite WirelessUser no User logon name. Como mostrado na figura seguinte. 15/58 Adaptação e tradução do documento da Microsoft step-by-step guide for setting up secure wireless access in a test lab

16 3. Click Next. Na caixa de diálogo New Object User, Digite a senha e confirme. Apague o check box User must change password at next logon, e então click Next. Como mostrado na figura seguinte. 4. No final da caixa de diálogo New Object User, click Finish. 16/58 Adaptação e tradução do documento da Microsoft step-by-step guide for setting up secure wireless access in a test lab

17 2.1.11. Permitindo um usuário acessar a rede wireless 1. Na console tree Active Directory Users and Computers, click na pasta Users, click com botão direito em WirelessUser, click Properties, e então click na aba Dial-in. 2. Selecione Allow access, e então click OK. 2.1.12. Adicionando um grupo ao domínio 1. Na console tree Active Directory Users and Computers, click com botão direito em Users, click New, e então click Group. 2. Na caixa de diálogo New Object Group, digite WirelessUsers no Group name, e então click OK. Como mostrado na figura seguinte. 2.1.13. Adicionando usuários ao grupo 1. Na área de detalhes do Active Directory Users and Computers, de um duplo click em WirelessUsers. 2. Click na aba Members, e então click Add. 3. Na caixa de diálogo Select Users, Contacts, Computers, or Groups, digite wirelessuser no Enter the object names to select. Como mostrado na figura seguinte. 17/58 Adaptação e tradução do documento da Microsoft step-by-step guide for setting up secure wireless access in a test lab

18 4. Click OK. Na caixa de diálogo Multiple Names Found, click OK. A conta de usuário WirelessUser é adicionada no grupo WirelessUsers group. Como mostrado na figura seguinte. 5. Click OK para salvar as mudanças no grupo WirelessUsers. 2.1.14. Adicionando clientes ao grupo WirelessUsers 1. Repita os passos 1 e 2 no procedimento adicionando usuários ao grupo WirelessUsers 18/58 Adaptação e tradução do documento da Microsoft step-by-step guide for setting up secure wireless access in a test lab

19 2. Na caixa de diálogo Select Users, Contacts, or Computers, digite client1 em Enter the object names to select. Como mostrado na figura seguinte. 3. Click Object Types, apague o check box Users, e então selecione o check box Computers. Como mostrado na figura seguinte. 4. Click OK duas vezes. A conta de computador CLIENT1 foi adicionada ao grupo WirelessUsers. 2.2. Servidor IAS1 IAS1 é um computador rodando Windows Server 2003 com SP1, Standard Edition, que está provendo autenticação e autorização para as AP. Para configurar o IAS1 como servidor RADIUS execute os seguintes passos. Obs. O serviço de RADIUS (IAS) pode ser instalado no servidor DC1, para tal utilize procedimento abaixo, é altamente recomendado a instalação de pelo menos dois servidores RADIUS em ambiente com 802.1X. 19/58 Adaptação e tradução do documento da Microsoft step-by-step guide for setting up secure wireless access in a test lab

20 2.2.1. Instalação e configuração básica 1. Instale o servidor 2003 com SP1, Standard Edition, como um member server chamado IAS1 no domínio example.com 2. Para a configuração de endereçamento: Endereço IP 172.16.0.2, mascara 255.255.255.0, e o servidor DNS 172.16.0.1. 2.2.2. Instalação e configuração básica 1. Instale Internet Authentication Service como um Networking Services component usando Add or Remove Programs no painel de controle. 2. Na pasta Administrative Tools, abra o snap-in Internet Authentication Service. 3. Click com botão direito em Internet Authentication Service, e então click Register Server in Active Directory. Quando a caixa de diálogo Register Internet Authentication Server in Active Directory aparecer, click OK. Como mostrado na figura seguinte. 2.2.3. Criação do certificado local (Local Computer) 1. Crie uma console MMC em seu servidor IAS que contenha os snap-in Certificates (Local Computer). 2. Click Start, click Run, digite mmc, e então click OK. 3. No menu File, click Add/Remove Snap-in, e então click Add. 4. Sobre o Snap-in, de um duplo click em Certificates, click Computer account, e então click Next. 5. Click Local computer, click Finish, click Close, e então click OK. O snap-in Certificates (Local Computer) é mostrado na figura seguinte. 20/58 Adaptação e tradução do documento da Microsoft step-by-step guide for setting up secure wireless access in a test lab

21 Note: PEAP com MS-CHAP v2 necessita de certificado no servidor IAS, mas não nos clientes wireless. O recurso Autoenrollment do certificado do servidor IAS pode ser usado para simplificar a implantação. Entretanto, nesta seção, um certificado foi manualmente requisitado pelo servidor IAS porque o autoenrollment do certificado ainda não está configurado. Esta configuração é descrita na seção "Autenticação EAP-TLS Authentication". 2.2.4. Requisição de um certificado digital para o computador 1. Click com botão direito na pasta Personal, click All Tasks, click Request New Certificate, e então click Next. 2. Click Computer para Certificate types, e então click Next. 3. digite IAS Server1 Certificate no Friendly name. Como mostrado na figura seguinte. 21/58 Adaptação e tradução do documento da Microsoft step-by-step guide for setting up secure wireless access in a test lab

22 4. Click Next. Na página Completing the Certificate Request Wizard, click Finish. 5. Uma mensagem aparecerá The certificate request was successful. Click OK. 2.2.5. Adicionar a AP como cliente radius 1. Na console tree do snap-in Internet Authentication Service, click com botão direito em RADIUS Clients, e então click New RADIUS Client. 2. Na página Name and Address do New RADIUS Client wizard, em Friendly name, digite WirelessAP. em Client address (IP or DNS), digite 172.16.0.3, e então click Next. Como mostrado na figura seguinte. 22/58 Adaptação e tradução do documento da Microsoft step-by-step guide for setting up secure wireless access in a test lab

23 3. Click Next. Na página Additional Information do New RADIUS Client wizard, para digitar no campo Shared secret, a senha a ser compartilhada entre a AP e servidor radius e então confirme esta senha no campo Confirm shared secret. Como mostrado na figura seguinte. A senha deve ser a mesma na AP e no servidor Radius. 23/58 Adaptação e tradução do documento da Microsoft step-by-step guide for setting up secure wireless access in a test lab

24 4. Click Finish. 2.2.6. Criando e configurando a política de acesso remoto 1. Na console tree do snap-in Internet Authentication Service, click com botão direito em Remote Access Policies, e então click New Remote Access Policy. 2. Na página Welcome to the New Remote Access Policy Wizard, click Next. 3. Na página Policy Configuration Method, digite Wireless access to intranet na Policy name. Como mostrado na figura seguinte. 4. Click Next. Na página Access Method, selecione Wireless. Como mostrado na figura seguinte. 24/58 Adaptação e tradução do documento da Microsoft step-by-step guide for setting up secure wireless access in a test lab

25 5. Click Next. Na página User or Group Access, selecione Group. Como mostrado na figura seguinte. 25/58 Adaptação e tradução do documento da Microsoft step-by-step guide for setting up secure wireless access in a test lab

26 6. Click Add. Na caixa de diálogo Select Groups, click Locations, selecione example.com, e então click OK. 7. Digite wirelessusers na caixa Enter the object names to select. Como mostrado na figura seguinte. 8. Click OK. O grupo WirelessUsers group no domínio example.com é adicionado na lista de grupo na página User or Group Access. Como mostrado na figura seguinte. 9. Click Next. Na página Authentication Methods, A autenticação Protected EAP (PEAP) já está selecionado por default e configure para usar PEAP-MS-CHAP v2. Como mostrado na figura seguinte. 26/58 Adaptação e tradução do documento da Microsoft step-by-step guide for setting up secure wireless access in a test lab

27 10. Click Next. Na página Completing the New Remote Access Policy, click Finish. 2.3. AP Voce pode acessar e configurar a AP de qualquer computador de sua rede, entretanto cada AP tem a sua particularidade de configuração, para melhores informações vide manual do fabricante, mas segue abaixo a mínima configuração necessária para nosso laboratório. 2.3.1. Configurando AP 1. Configure as Aps com as seguintes informações: O nome da rede (SSID) : WIR_TST_LAB. O endereço IP 172.16.0.3 com a mascara 255.255.255.0 na interface ethernet IEEE 802.1X com criptografia WEP habilitada. Para o radius primário: o endereço 172.16.0.2, e porta udp 1812, e a mesma senha configurada no IAS. 2.4. CLIENT1 CLIENT1 é um computador rodando Windows XP Professional com SP2 que atua como cliente wireless obtendo o acesso a intranet através da AP. para configurar o CLIENT1 como cliente wireless, execute os seguintes passos. 27/58 Adaptação e tradução do documento da Microsoft step-by-step guide for setting up secure wireless access in a test lab

28 2.4.1. Instalação e configuração básica 1. Conecte o CLIENT1 na intranet usando a rede cabeada. 2. No CLIENT1, instale o Windows XP Professional com SP2 como membro do domínio example.com. 3. Instale o Windows XP Professional com SP2. este deve ser instalado para suportar autenticação PEAP Note O firewall do Windows é habilitado por default no Windows XP Professional com SP2. desligue o firewall. 2.4.2. Instalação do adaptador wireless 1. Desligue o computador CLIENT1. 2. Desconecte o computador da rede cabeada. 3. Reinicialize o computador CLIENT1 e então use logon local. 4. Instale o adaptador wireless. Importante Não instale o software de configuração do fabricante da placa wireless, instale apenas os drivers do fabricante usando Add Hardware Wizard, e quando aparecer o prompt, coloque o CD provido pelo fabricante e escolha o driver para Windows XP Professional com SP2. 2.4.3. Configure a conexão da rede wireless 1. Logoff e então logon usando o usuário WirelessUser no domínio example.com 2. Aguarde até aparecer o prompt para selecionar a rede wireless na área de notificação no desktop. 3. Click com botão direito na rede wireless no ícone connection, e então click View Available Wireless Networks. 4. Na página Choose a wireless network click WIR_TST_LAB, e então click no botão Connect. Quando conectado, a página Choose a wireless network aparecerá o status da conexão WIR_TST_Lab como Connected, Como mostrado na figura seguinte: 28/58 Adaptação e tradução do documento da Microsoft step-by-step guide for setting up secure wireless access in a test lab

29 5. Uma vez conectado, click Change advanced settings sobre Related Tasks. 6. Na caixa de diálogo Wireless Network Connection Properties, click na aba Wireless Networks, Como mostrado na figura seguinte. 29/58 Adaptação e tradução do documento da Microsoft step-by-step guide for setting up secure wireless access in a test lab

30 7. Click Properties. Na aba Association, Verifique que Network Authentication está configurado para Open, Data encryption e configure WEP, e selecione a opção The key is provided for me automatically, como mostrado na figura abaixo. 30/58 Adaptação e tradução do documento da Microsoft step-by-step guide for setting up secure wireless access in a test lab

31 8. Na aba Authentication, certifique se Enable IEEE 802.1x authentication for this network está selecionado, o EAP type é Protected EAP (PEAP), e Authenticate as computer when computer information is available está selecionado, Como mostrado na figura abaixo. 31/58 Adaptação e tradução do documento da Microsoft step-by-step guide for setting up secure wireless access in a test lab

32 9. Na aba Connection, certifique-se que Connect when this network is in range está selecionado. 10. Após o sucesso da autenticação, verifique a configuração do TCP/IP para um adaptador wireless usado pela conexão de rede. Este deve ter um endereço IP na faixa de 172.16.0.10-172.16.0.100 do scope DHCP. 32/58 Adaptação e tradução do documento da Microsoft step-by-step guide for setting up secure wireless access in a test lab

3. EAP-TLS Authentication Laboratório 802.1X Autenticação Extensible Authentication Protocol-Transport Layer Security (EAP-TLS) necessita que o computador e usuários tenham certificados. 3.1. DC1 Para configurar o DC1 para prover autoenrollment para os certificados de computador e usuários, execute os seguintes passos. 3.1.1. Instale o template do certificado 1. Click Start, click Run, digite mmc, e então click OK. 2. No menu File, click Add/Remove Snap-in, e então click Add. 3. Sobre o Snap-in, Click duas vezes em Certificate Templates, click Close, e então click OK. 4. Na console tree, click em Certificate Templates. Todos os templates de certificado deverão aparecer details pane. Como mostrado na figura seguinte. 33 3.1.2. Criação do template para os usuários wireless 1. No details pane do snap-in Certificate Templates, click the User template. 2. No menu Action menu, click Duplicate Template. 3. Na caixa Template name, digite Wireless User Certificate Template. Como mostrado na figura seguinte. 33/58 Adaptação e tradução do documento da Microsoft step-by-step guide for setting up secure wireless access in a test lab

34 3.1.3. Configure o template do certificado 1. Na caixa de diálogo Properties of New Template, Verifique que o check box Publish certificate in Active Directory está selecionado. 2. Click na aba Security. 3. Na lista Group or user names, click Domain Users. 4. Na lista Permissions for Domain Users, selecione os check boxes Read, Enroll, e Autoenroll. Como mostrado na figura seguinte. 34/58 Adaptação e tradução do documento da Microsoft step-by-step guide for setting up secure wireless access in a test lab

35 5. Click na aba Subject Name e verifique que os check boxes Include e-mail name in subject name e E-mail name estão sem seleção. Como mostrado na figura seguinte. 35/58 Adaptação e tradução do documento da Microsoft step-by-step guide for setting up secure wireless access in a test lab

36 6. Click OK. Importante: Estas duas opções são desabilitadas neste exemplo porque um nome de e-mail não foi configurado para o usuário WirelessUser account no Active Directory Users and Computers snap-in. Se voce não desabilitar estas duas opções, autoenrollment tentará usar o e-mail como DN, o qual irá resultar uma mensagem de erro autoenrollment error. 3.1.4. Habilitamdo o template do certificado 1. Abra o snap-in Certification Authority. 2. Na console tree, expandir Example CA, e então click Certificate Templates. Como mostrado na figura seguinte. 36/58 Adaptação e tradução do documento da Microsoft step-by-step guide for setting up secure wireless access in a test lab

37 3. No menu Action, selecione New, e então click Certificate to Issue. 4. Click Wireless User Certificate Template. Como mostrado na figura seguinte. 5. Click OK. Abra o snap-in Active Directory Users and Computers. 6. Na console tree, de um duplo click Active Directory Users and Computers, click com botão direito no domínio example.com, e então click Properties. 7. Na aba Group Policy, click Default Domain Policy, e então click Edit. Isto abrirá o snap-in Group Policy Object Editor. 8. Na console tree, expandir Computer Configuration, Windows Settings, Security Settings, e Public Key Policies, e então click Automatic Certificate Request Settings. Como mostrado na figura seguinte. 37/58 Adaptação e tradução do documento da Microsoft step-by-step guide for setting up secure wireless access in a test lab

38 9. Click com botão direito em Automatic Certificate Request Settings, selecione New, e então click Automatic Certificate Request. 10. Na página Welcome to the Automatic Certificate Request Setup Wizard, click Next. 11. Na página Certificate Template, click Computer. Como mostrado na figura seguinte. 12. Click Next. Na página Completing the Automatic Certificate Request Setup Wizard, click Finish. O tipo de certificado Computer agora aparecerá em detalhes no details pane do snap- 38/58 Adaptação e tradução do documento da Microsoft step-by-step guide for setting up secure wireless access in a test lab

39 in Group Policy Object Editor. Como mostrado na figura seguinte. 13. Na console tree, expandir User Configuration, Windows Settings, Security Settings, e Public Key Policies. Como mostrado na figura seguinte. 14. No details pane, de um click duplo em Autoenrollment Settings. 15. Click em Enroll certificates automatically. Selecione o check box Renew expired certificates, update pending certificates, and remove revoked certificates. Selecione o check box Update certificates that use certificate templates. Como mostrado na figura 39/58 Adaptação e tradução do documento da Microsoft step-by-step guide for setting up secure wireless access in a test lab

40 seguinte. 16. Click OK. 3.2. IAS1 3.2.1. Configure o IAS1 para usar autenticação EAP-TLS 1. Abra o snap-in Internet Authentication Service. 2. Na console tree, click Remote Access Policies. 3. No details pane, de um duplo click em Wireless access to intranet. A caixa de diálogo Wireless access to intranet Properties aparecerá. Como mostrado na figura seguinte. 40/58 Adaptação e tradução do documento da Microsoft step-by-step guide for setting up secure wireless access in a test lab

41 4. Click Edit Profile, e então click na aba Authentication. Como mostrado na figura seguinte. 41/58 Adaptação e tradução do documento da Microsoft step-by-step guide for setting up secure wireless access in a test lab

42 5. Na aba Authentication, click EAP Methods. A caixa de diálogo Select EAP Providers aparecerá. Como mostrado na figura seguinte. 6. Click Add. A caixa de diálogo Add EAP aparecerá. Como mostrado na figura seguinte. 42/58 Adaptação e tradução do documento da Microsoft step-by-step guide for setting up secure wireless access in a test lab

43 7. Click Smart Card or other certificate, e então click OK. O tipo Smart Card or other certificate é adicionado à lista de EAP. Como mostrado na figura seguinte. 8. Click Edit. A caixa de diálogo Smart Card or other Certificate Properties aparecerá. Como mostrado na figura seguinte. 43/58 Adaptação e tradução do documento da Microsoft step-by-step guide for setting up secure wireless access in a test lab

44 9. Como a propriedade do certificado do computador é mostrado, o servidor já possui certificado digital. Click OK. 10. Click Move Up para Smart Card or other certificate EAP seja o primeiro da lista. Como mostrado na figura seguinte. 11. Click OK para salvar as mudanças da tela Select EAP providers. Click OK Para salvar as mudanças nae configuração. 12. Click OK para salvar as mudanças da política de acesso remoto. Isto permitirá a política de acesso remoto Wireless access to intranet autorizar a conexão wireless usando o método de autenticação EAP-TLS. 44/58 Adaptação e tradução do documento da Microsoft step-by-step guide for setting up secure wireless access in a test lab

45 3.3. CLIENT1 3.3.1. Configure CLIENT1 para usar a autenticação 1. Atualize as políticas de configurações de computador e usuário do Group Policy digitando gpupdate no prompt do DOS; ou então faça o logoff e login que executa a mesma função do gpupdate. Voce deve está logado no domínio e conectado na rede cabeada. 2. Para obter as propriedades sobre a rede wireless WIR_TST_LAB click Start, click Control Panel, duplo click em Network Connections, e então click com botão direito em Wireless Network Connection. 3. Click Properties, click na aba Wireless Networks, click WIR_TST_LAB, e então click Configure. 4. Na aba Association, aceitar o default Network Authentication como Open, selecione WEP como tipo de encriptação Data encryption e o check box The key is provided for me automatically deve estar selecionado. Como mostrado na figura seguinte: 5. Na aba Authentication, selecione Smart Card or other Certificate para o tipo de EAP type. Como mostrado na figura seguinte. 45/58 Adaptação e tradução do documento da Microsoft step-by-step guide for setting up secure wireless access in a test lab

46 6. Na aba Connections, Verifique que Connect when this network is in range está selecionado. 46/58 Adaptação e tradução do documento da Microsoft step-by-step guide for setting up secure wireless access in a test lab

47 7. Click OK para existir a caixa de diálogo WIR_TST_LAB properties, e então click OK para fechar a caixa de diálogo Wireless Network Connection. Faça a conexão na rede wireless usando a autenticação EAP-TLS. 47/58 Adaptação e tradução do documento da Microsoft step-by-step guide for setting up secure wireless access in a test lab

4. Requsitando certificado para usuário 48 48/58 Adaptação e tradução do documento da Microsoft step-by-step guide for setting up secure wireless access in a test lab

49 49/58 Adaptação e tradução do documento da Microsoft step-by-step guide for setting up secure wireless access in a test lab

50 50/58 Adaptação e tradução do documento da Microsoft step-by-step guide for setting up secure wireless access in a test lab

51 51/58 Adaptação e tradução do documento da Microsoft step-by-step guide for setting up secure wireless access in a test lab