Arquivo da categoria ‘Wireless – WLC’

Mal saiu a versão 7.4 do WLC, com a grande novidade do AVC (Application Visibility and Control) – feature que permite ver as aplicações que trafegam pela rede Wireless (por WLAN ou por usuário) e criar políticas para remarcar ou descartar os pacotes, e já saiu uma versão novinha… a 7.5, que tráz ainda mais coisas interessantes!

Na versão 7.4 foi implementado o HA – High Availability – que permite que os WLCs maiores (5500, 7500, 8500 e WiSM-2) operem de forma redundante, como uma única caixa.

Deployment Guide de HA – http://www.cisco.com/en/US/products/ps10315/products_tech_note09186a0080bd3504.shtml

Na versão 7.4 foi implementado o AP SSO, ou seja, as tabelas de APs conectados são replicadas entre ambos WLCs. Dessa forma, se um WLC falhar, os APs não precisam se reassociar. Esse processo demora de 5 a 100 ms.

TODAVIA, na versão 7.4 não havia sido implementado o Client SSO. As tabelas de APs connectados são replicadas, mas a de usuários conectados não. Dessa forma, no caso de falha de um WLC, os APs não precisam se reassociar, mas os usuários conectados sim.

Na versão 7.5 isso foi corrigido, sendo implementado, além do AP SSO, o Client SSO. Agora todas as tabelas são sincronizadas entre ambos equipamentos e um deles pode falhar que nenhum usuário será impactado.

Outra novidade da versão 7.5 foi o suporte ao módulo 802.11ac, também conhecido como Gigabit WiFi, pois permitirá conexões de até 1,3 Gbps na primeira Wave.

Agora também é possível criar um par HA de WLCs em Data Centers diferentes conectando as interfaces RP (redundant port) através de switches em uma VLAN Layer 2. É importante que não haja roteamento para o HA funcionar.

WLC5508

Uma das coisas que eu achei mais interessantes e legais nessa versão é a possibilitade de tratar dispositivos móveis como smartphones e tablets, possibilitando a adoção do BYOD. Não chega a ser um ISE, mas já faz 80% das coisas que escuto os clientes pedindo. Nessa versão é possível detectar o tipo de dispositivo e criar regras aplicando:

  • ACL;
  • VLAN
  • QoS
  • Session Timeout
  • Sleeping Client Timeout (já vou falar disso)

As imagens abaixou ilustram uma policy que eu criei chamada de Mobile_Devices. Esta policy detecta dispositivos móveis e aplica o QoS Gold (porque eu gosto de assistir vídeos em HD no Ipad rs).

Local Policies

Device List:

Policy_001

Ação realizada:

Policy_002

Aplicando a Policy a WLAN:

Policy_003

Diversas Policies podem ser aplicadas a uma WLAN. Elas serão verificadas de forma sequencial e a primeira a dar match será executada.

A imagem abaixo exibe a nova coluna que pode ser vista em Monitor > Clients: Device Type.

Monitor_Clients

Agora uma boa notícia para quem faz implantações Wireless de forma errada em desacordo com as Best Practices: é comum ver em implantações toscas, usuários corporativos sendo tratados como guests, ou seja, a rede Wireless corporativa, utiliza certificado (PEAP, EAP-TLS, EAP-FAST, etc), mas só os notebooks utilizam essa rede. Smartphones e tablets se conectam a WLAN de guest que utiliza Web Authentication, para isso, usam um usuário com lifetime infinito. Este é o primeiro erro: credenciais diferentes. Para acessar os recursos da empresa os usuários usam a senha do AD. Para acessar o Wifi do smartphone, usam outra senha.

O problema da Web Authentication para usuários corporativos: cada ver que o smartphone hiberna, é necessário entrar com as credenciais novamente para acessar o WiFi. Obviamente isso irrita muito os usuários, principalmente os VIPs.

Para tanto, foi implementada a feature Sleeping Clients. Agora é mantido um cache dos usuários autenticados em WLANs com WebAuth. Dessa forma, quando o smartphone hiberna, não é necessário digitar as credenciais novamente! 🙂

Sleeping_Clients

Brincadeiras a parte, essa feature não é para fazer implantações incorretas operarem de forma que agrade os usuários. Mas mesmo para os guests, era muito chato ter que digitar o usuário e senha toda vez que o celular hibernava.

Agora que eu falei de um monte de coisa bacana da versão 7.5, vamos ao outro lado da moeda!

Se você utiliza o Cisco Prime Infrastructure para monitorar a LAN e WLAN e adorou as novidades da versão 7.5, você precisará atualizar o Prime para versão 1.4 antes de realizar o upgrade do WLC.

O fato é que a Cisco chamou a versão 1.4 de “desenvolvimento paralelo”. E o que isso quer dizer?

Usuários da versão 1.3 do Prime, poderão fazer o upgrade para futura versão 2.0.

Usuários da versão 1.3 do Prime, por se tratar de um desenvolvimento paralelo, terão que aguardar a versão 2.1.

Portanto, selo de XGH (Extreme Go Horse) para versão 1.4 do Prime:

XGH

Para quem não conhece a metodologia de programação XGH, segue link. VALE A PENA LER!!! RSRS

Minha opinião pessoal sobre esta versão: Estou utilizando-a em ambiente de Lab há mais de uma semana, não detectei nenhum problema grave. A feature Local Policies é show de bola e a sleeping clients, excelente!

Bartulihe

Meu Canal do Youtube

Olá,

Quantos de vocês conhecem essa tela?

Tela de Web Authentication padrão.

Tela de Web Authentication padrão.

Esta é a tela de Web Authenticaon padrão, geralmente usada em redes WiFi para Guests.

No próprio WLC, a máxima customização possível é esconder o logo da Cisco… Nada demais, certo? No entanto, ela ficaria bem mais atraente se fosse customizada, colocando o logo da empresa, instruções como telefone ou e-mail para solicitar as credenciais de acesso à rede Guest, etc.

Tudo isso é possível e não é difícil de fazer!

Neste post irei mostrar o passo-a-passo de como customizar essa tela.

O primeiro passo é acessar o site Cisco e em Download Software, selecionar o modelo do WLC em questão e efetuar o download do Web Authentication Bundle, conforme exibe a figura abaixo.

Fazendo o download do Web Authentication Bundle.

Fazendo o download do Web Authentication Bundle.

Download do Web Auth Bundle.

Download do Web Auth Bundle.

Extraia os arquivos. Nós vamos customizar os arquivos da pasta logout.

Pasta Logout.

Pasta Logout.

Nesta pasta existem os arquivos: aup, failed, login, logout, yourlogo e login.

O arquivo login pode ser excluído. Os demais precisam ser editados via HTML.

Customizando a pasta Logout.

Customizando a pasta Logout.

Se você, assim como eu, não manja muito de HTML, mas ainda assim quer fazer um trabalho bacana, pode utilizar um dos chamados programas WYSIWYG (What You See Is What You Get – O que você vê é o que você obtém). Eu utilizei o NVU 1.0 (freeware), que você pode baixar no linkhttp://www.baixaki.com.br/download/nvu.htm.

Depois de customizar os arquivos, a pasta ficou conforme ilustra a figura abaixo.

Pasta Logout Customizada.

Pasta Logout Customizada.

Depois de customizado, os arquivos aup, failed, login, logout e imagens utilizadas, eles precisam ser compactados em um único arquivo com a extensão .tar e nomeado de login.

Para isso podemos utilizar o 7-Zip (freeware), que pode ser baixado na URL http://www.7-zip.org.

Download do 7-Zip.

Download do 7-Zip.

Abrir o 7-Zip, selecionar todos os arquivos mencionados anteriormente e clicar em Adicionar.

Compactando em .tar com o 7-Zip.

Compactando em .tar com o 7-Zip.

Nomear como login e, em Formato do Arquivo, selecionar tar. Clicar em OK.

Compactando.

Compactando.

A figura abaixo exibe o arquivo login.tar gerado pelo 7-Zip. Este arquivo precisa ser enviado para o WLC.

Para enviar o arquivo para o WLC, vamos utilizar um TFTP server. Recomenda-se o TFTPd32 ou TFTPd64.

TFTPd64.

TFTPd64.

Acessar a Web Interface do WLC. Na guia COMMANDS  > Download File, preencher de forma análoga a figura abaixo e clicar em Download.

Fazendo o upload para o WLC.

Fazendo o upload para o WLC.

As imagens abaixo exibem o processo de upload.

Uploading.

Uploading.

Agora vamos criar uma WLAN com a Web Authentication customizada. Para isso, clicar na guia WLANs e selecionar Create New > Go.

Criando WLAN.

Criando WLAN.

Será exibida a tela abaixo. Preencha com o Profile Name e o SSID.

Criando WLAN.

Criando WLAN.

Na aba General, selecionar o Status Enabled, Radio Policy, Interface e se deseja realizar o broadcast do SSID.

Configurando a WLAN - Guia General.

Configurando a WLAN – Guia General.

Em Security > Layer 2, selecionar None.

Configurando a WLAN - Guia Security.

Configurando a WLAN – Guia Security.

Em Security > Layer 3, preencher de forma análoga a figura abaixo.

Configurando a WLAN - Guia Security.

Configurando a WLAN – Guia Security.

Conectando-se a WLAN:

Conectando-se a WLAN.

Conectando-se a WLAN.

Após abrir uma página da Internet, você será redirecionado para o IP 1.1.1.1 (Virtual Interface) e será exibida a tela de Web Auth Customizada. Após inserir as credenciais, será liberado o acesso para navegação.

WebAuth Customizada.

WebAuth Customizada.

 

Bom, é isso aí pessoal, espero que seja útil esse post para bastante gente.

Abraços,

Bartulihe

Continuando a sequência…

Parte 2/4. Agora vamos configurar o WLC para suportar o Cisco ISE. A configuração é bem simples, tanto é que o vídeo tem apenas 5 minutos.

Espero que gostem… Se inscrevam no meu canal do YouTube, é só clicar neste link. Se inscrevam no blog também, assim vocês receberão atualizações sempre que um novo post ou vídeo for adicionado! 🙂

Comentários, críticas e sugestões são sempre bem-vindas!

Novamente, o áudio está ruim, mas era o que dava pra fazer com o mic do próprio note. Pelo menos o vídeo está em HD. Talvez, mais para frente eu coloque legendas no vídeo.

Até o próximo vídeo (Configuração do Cisco ISE)!!!!

Abs.,

Bartulihe

Olá pessoal,

Excelentes novidades! A Cisco está com uma promoção com descontos que chegam a quase 50% para acelerar as vendas do WLC 2504.

Cisco WLC 2504

Ótimo para você, Account Manager, que terá projetos mais agressivos, e ótimo para você, cliente, que poderá comprar um produto com a qualidade Cisco, por um preço bem bacana.

Eu falei sobre esse WLC nesse post! Mas algumas irão mudar, e eu precisarei atualizá-lo…

O WLC 2504 é um WLC de pequeno porte destinado ao mercado SMB (Small Medium Business), escolas e escritórios remotos. Antes ele podia ser licenciado para gerenciar até 50 Access Points e 500 clients. Agora sua capacidade subiu para 75 Access Points e 1000 clients.

Também foi introduzida uma nova adder license que adiciona o suporte a mais 1 Access Point. Dessa forma, o cliente não precisa mais adquirir uma adder license para 5 APs se ele não precisa de tudo isso.

Para Ordering, os Part Numbers são:

Part Number Descrição Desconto
AIR-CT2504-5-K9 WLC 2504 licenciado para 5 Access Points 48%
AIR-CT2504-15-K9 WLC 2504 licenciado para 15 Access Points 22%
AIR-CT2504-25-K9 WLC 2504 licenciado para 25 Access Points 28%
AIR-CT2504-50-K9 WLC 2504 licenciado para 50 Access Points 0%

Adder License (Paper Delivery):

Part Number Descrição Desconto
LIC-CT2504-1A Novo PN! Adder License para 1 Access Point.
LIC-CT2504-5A Adder License para 5 Access Points. 38%
LIC-CT2504-25A Adder License para 25 Access Points. 7%

Adder License (e-Delivery):

Part Number Descrição Desconto
L-LIC-CT2504-1A Novo PN! Adder License para 1 Access Point.
L-LIC-CT2504-5A Adder License para 5 Access Points. 38%
L-LIC-CT2504-25A Adder License para 25 Access Points. 7%

Observação: Para o WLC 2504 suportar 75 Access Points é necessário usar os Part Numbers AIR-CT2504-50-K9 e L-LIC-CT2504-25A.

Uma dica: quando aquirir uma licença, é preferível utilizar a e-Delivery, pois, por ser digital, o processo é mais rápido em relação à Paper Delivery.

Além de melhorias no desempenho do WLC, diversas novas features serão adicionadas na versão 7.4:

  • Application Visibility and Control (AVC)

Essa nova feature irá detectar mais de 1000 aplicações utilizadas pelos usuários da rede WiFi, permitindo a priorização das aplicações críticas ao negócio.

  • Link Aggregation

Agora o WLC 2504 suporta LAG!!! Duas portas Giga poderão ser agregadas, aumentando a redundância e perfomance.

  • HA SKU

Novo HA SKU (Part Number para High Availability). O preço do HA SKU é bem reduzido, além de não ser necessário licenciá-lo, como se estivesse comprando dois WLCs iguais.

Um detalhe importante é que a disponibilidade é do tipo N+1 e não AP-SSO. AP-SSO é uma feature suportada no WLC 5508, 7500, 7800  e WiSM-2.

Bom, essas são as novas features e descontos da Cisco. Agora nos resta esperar pelas próximas semanas para o release desta nova versão de software. E vamos aproveitar estes descontos para aumentar as vendas desse modelo de WLC! 🙂

Qualquer dúvida, estou à disposição: marco_bartulihe@hotmail.com.

Abraços,

Bartulihe

Olá,

Enfim chegamos ao ultimo post dessa série, no qual iremos realizar as configurações nos clients WiFi (Windows e iOS) para se conectarem a WLAN.

Conectando-se a WLAN

  • Configurando a autenticação no Windows 7

Inicialmente irei mostrar o erro que acontece quando um client WiFi que não pertence ao domínio ou não possui o certificado da CA instalado tenta se conectar a WLAN e como resolver este problema.

  • Client WiFi não pertence ao domínio ou não possui o CA Certificate instalado

Clique em Connect.

Será solicitado inserir o usuário e senha do AD. Preencha tais campos e clique em OK.

Será exibida a tela de erro abaixo informando que não foi possível se conectar a WLAN.

Mas por que ocorre esse erro?

Simples. Na configuração padrão gerada pelo Windows é feita a validação do certificado do servidor (CA Certificate), no entanto, como nosso client não tem o certificado instalado e também não pertence ao domínio, ele não possui o CA Certificate, logo não é possível validá-lo.

Caso o client pertencesse ao domínio, ele iria receber o CA Certificate automaticamente.

Portanto, a solução para tal problema é dizer para o Windows não validar o certificado do servidor… Para isso, acesse o Network and Sharing Center.

Clique em Manage wireless networks.

Clique em Add.

Selecione Manually create a network profile.

Entre com o SSID, a forma de autenticação e o tipo de encriptação.

Neste laboratório criamos uma WLAN com o perfil WPA2-AES, Auth(802.1x).

Autenticação 802.1x é chamada de “Enterprise”, e autenticação PSK é chamada de “Personal”.

Clique em Next.

Clique em Change connections settings.

Na guia Connection, configure conforme ilustra a imagem abaixo.

Na guia Security, assegure-se de que a autenticação selecionada seja Microsoft: Protected EAP (PEAP) e clique em Settings.

Desmarque a opção Validade server certificate.

Em Authentication Method, selecione Secured password (EAP-MSCHAP v2) e clique em Configure.

Desmarque a opção para usar automaticamente as credenciais de logon do Windows e clique em OK.

Clique em OK.

Clique em OK, novamente.

Clique em Close.

Agora vamos tentar nos conectar novamente… Clique na WLAN e irá aparecer a tela referente a solicitação de credenciais. Entre com o usuário/senha e clique em OK.

Pronto! Estamos conectados, conforme exibe a imagem abaixo.

Aproveitando que estamos conectados, vamos acessar a url http://<nome_do_servidor>/Certsrv. Em nosso lab, http://win2k8r2/Certsrv.

Preencha com o usuário e senha e clique em OK.

Clique em Download CA certificate.

Observação: realize tal processo utilizando o Internet Explorer. Funciona melhor do que Chrome ou Firefox.

Salve o certificado em um local de sua escolha.

Clique com o botão direito do mouse sobre o certificado e selecione Install Certificate.

Na tela de Certificate Import Wizard, apenas clique Next, Next, Finish.

Next.

Finish.

Para começar uma conexão do zero novamente, vamos entrar no Network and Sharing Certer > Manage Wireless Networks e deletar o perfil criado anteriormente.

Agora vamos nos conectar a WLAN.

Coloque o usuário e senha.

Diferentemente da primeira vez, na qual não possuíamos o certificado, agora é exibido um alerta de risco informando que o certificado do servidor não pode ser validado. Apenas ignore e clique em Connect.

Pronto, estamos conectados!!!

É importante ressaltar que nós conseguimos acessar a URL http://win2k8r2/Certsrv previamente, pois tínhamos configurado a WLAN para não validar o certificado do servidor. O correto seria se conectar a rede cabeada e então acessar a URL em questão, baixar e instalar o certificado e então se conectar a WLAN.

A título de curiosidade, acessando Network and Sharing Center > Manage Wireless Networks, clicando na WLAN em questão e acessando suas propriedades,  podemos ver que a mesma está configurada para validar o certificado do servidor e agora o mesmo aparece em Connect to these servers, conforme exibe a figura abaixo.

  • Conectando a WLAN com iOS

Agora vamos conectar a WLAN Teste_DHCP utilizando um dispositivo Apple.

Para isso, acesse as Configurações > Wi-Fi e clique na WLAN.

Será solicitado o nome de usuário e senha, conforme exibe a tela abaixo.

Após preencher com o usuário/senha e clicar em Conectar, será exibido o certificado do servidor. Clique em Aceitar.

Pronto! Você estará conectado a WLAN, conforme exibem as imagens abaixo.

Bom, chegamos ao fim dessa série de posts… Acredito que isto será de grande utilidade para muita gente, pois quando eu precisei, não encontrei nenhum Configuration Guide realmente bom na Internet.

Caso tenham dúvidas, sugestões ou dicas, me enviem um comentário ou e-mail que serei grato em ajudar.

Abraços,

Bartulihe

Olá,

Neste post iremos configurar o NPS, ou Network Policy and Access Services. Este é o RADIUS Server do Windows 2008.

De acordo com a arquitetura RADIUS da Cisco Unified Wireless Network, o WLC é o RADIUS Client.

Quando um usuário tenta se conectar a determinada WLAN com autenticação 802.1x, o WLC encaminha a solicitação ao RADIUS Server.

Para autenticação mutua entre os equipamentos, é criada uma Shared-Secret entre o RADIUS Client e RADIUS Server. Esta secret nada mais é do que uma senha entre os dois componentes.

Configurando o NPS

Vamos iniciar pela configuração do WLC.

  • Configurando o WLC

Acesse a interface de gerência do WLC.

Clique na Guia SECURITY.

Em RADIUS, selecione Authentication.

Clique em New…

Preencha o Server IP Address. Neste laboratório o endereço do server é 192.168.1.30.

Crie a Shared Secret e a confirme. Lembre-se que a Shared Secret precisa ser exatamente igual no WLC e no RADIUS Server.

Assegure-se que estejam selecionadas as opções Network User e Management.

Clique em Apply.

O RADIUS Authentication Server aparecerá listado, conforme exibe a figura abaixo.

Clique em Accounting.

Clique em New…

Preencha de forma análoga a preenchida na etapa anterior e clique em Apply.

O RADIUS Accounting Server aparecerá listado, conforme exibe a figura abaixo.

Agora vamos configurar a WLAN.

  • Configurando a WLAN

Selecione a guia WLANs e clique em Create New > Go ou no ID de uma WLAN já existente.

Neste tutorial irei modificar as configurações da WLAN Teste_DHCP, portanto, clicarei no WLAN ID 1.

Na aba General, garanta que o Status da WLAN seja Enable e que ela esteja fazendo o Broadcast do SSID.

Na aba Security > Layer 2, vamos utilizar uma chave WPA2 com encriptação AES. Atualmente este é o padrão mais elevado de segurança, recomendado pelas Best Practices.

Em Auth Key Mgmt, selecionar 802.1x.

Em Security > Layer 3, garanta que a Layer 3 Security selecionada seja None.

Em Security > Layer 3, em Authentication Server e Accounting Server, vamos selecionar o RADIUS Server criado (192.168.1.30). Garanta que a opção Enabled esteja habilitada para o servidor de Authentication e Accounting.

Na guia QoS não precisamos alterar nada, portanto pulamos para guia Advanced.

Vamos substituir o DHCP Server da Interface habilitando a opção DHCP Server Override e colocando o IP do servidor (192.168.1.30).

Clique em Apply.

Terminamos a configuração no WLC. Agora vamos configurar o NPS do Windows 2008.

  • Configurando o NPS

Abra o Server Manager.

Clique com o botão direito do mouse sobre Roles e selecione Add Roles.

Na tela exibida, clique em Next.

Selecione Network Policy and Access Services e clique em Next.

Será exibida uma tela introdutória sobre o NPS. Clique em Next.

Selecione Network Policy Server e clique em Next.

Clique em Install.

Depois de concluída a instalação será exibida a imagem abaixo informando que a instalação foi concluída em êxito.

Clique em Close.

Em Server Manager, selecione Network Policy Access > NPS (Local). No menu drop down, selecione RADIUS server for 802.1x Wireless or Wired Connections e clique em Configure 802.1x.

Na tela de Select 802.1x Connections Type selecione Secure Wireless Connections e de um nome para esta policy.

Clique em Next.

Na tela seguinte precisamos adicionar o RADIUS Client, que é o WLC. Para isso, clique em Add.

Será exibida a tela abaixo, solicitando um Nome (Friendly name), o IP (Address) e a Shared Secret.

A Shared Secret deve ser exatamente igual a configurada no WLC.

Como nós criamos uma entrada no DNS para resolver WLC para 192.168.1.2, não precisamos digitar o IP no campo Address (IP or DNS), basta escrever wlc e clicar em Vefiry.

Na tela que abrir, clique em Resolve e observe a correta tradução do nome para IP.

Clique em OK.

O RADIUS client WLC é exibido. Clique em Next.

Em Select the EAP type for this policy, selecione Microsoft: Protected (PEAP) e clique em Next.

Na tela Specify User Groups, vamos permitir apenas os usuários do grupo Network Users, criado no Post 2/7 Configuração do Active Directory Domain Services. Para isso clique em Add.

Na tela que abrir, digite Network Users e clique em Check Names. Após isso, cliquem em OK.

O grupo HOMENetwork Users será exibido. Clique em Next.

Na tela seguinte, apenas clique em Next.

Clique em Finish.

Em Server Manager, expandindo a Role Network Policy and Access Services > NPS (Local) > RADIUS Clients and Servers > RADIUS Clients é possível ver o RADIUS Client criado.

Expandindo a Role Network Policy and Access Services > NPS (Local) > Policies > Connection Request Policies é possível ver a Policy Secure Wireless Connections.

Por fim, expandindo a Role Network Policy and Access Services > NPS (Local) > Policies > Network Policies é possível ver a Policy Secure Wireless Connections e sua configuração.

Pronto! O NPS e o WLC estão devidamente configurados.

No próximo post iremos configurar os clients para se autenticarem nessa WLAN com seus usuários/senha do AD.

Abraços e até o próximo…

Bartulihe

Olá,

No post de hoje iremos configurar o Active Directory Certificate Services e Web Server (IIS). Essa configuração será importante, pois está relacionada ao tipo de autenticação que será permitida.

Neste tutorial estamos configurando autenticação PEAP, portanto é necessário apenas o “server-side certificate”, ou seja, apenas o certificado do Servidor, no caso a CA ou Certificate Authority.

Caso estivéssemos configurando EAP-TLS, seria necessário o Server-Side Certificate e o Client-Side Certificate, pois o client valida o certificado do servidor e o servidor valida o certificado do usuário. Esse processo é chamado de autenticação mutua.

Configurando o Active Directory Certificate Services e Web Server (IIS)

Clique em Server Manager, conforme exibe a figura abaixo.

Clique com o botão direito do mouse em Roles e selecione Add Roles.

Na tela de Add Roles Wizard, clique em Next.

Selecione a opção Active Directory Certificate Services e clique em Next.

Será exibida uma tela que fala um pouco sobre o AD CS (Active Directory Certificate Services), apenas clique em Next.

Na página Select Role Services, selecione as duas primeiras opções: Certificate Authority e Certification Authority Web Enrollment.

A primeira opção é para criarmos a nossa CA, e a segunda é para permitir que qualquer cliente acesse o site http://<nome_do_servidor>/Certsrv para solicitar certificados e baixar o Certificado da CA.

Uma janela irá aparecer, pois devido a instalação da Certification Authority Web Enrollment, o IIS se faz necessário.

Clique em Add Required Role Services e depois em Next.

Na página Specify Setup Type existirão duas opções: Enterprise e Standalone. A Enterprise requer que exista um domínio e a máquina precisa pertencer ao domínio, já o Standalone não requer que haja uma estrutura de AD.

Selecione Enterprise e clique em Next.

É muito importante que você esteja logado como Administrador, caso contrário não será possível selecionar a opção Enterprise.

Selecione Root CA e clique em Next.

Nas páginas seguintes, mantenha as opções default selecionadas e clique em Next.

Next.

Next.

Defina o período de validade do certificado gerado por essa CA. A opção padrão é 5 anos.

Clique em Next.

Clique em Next novamente.

Agora se inicia a configuração do Web Server (IIS).

Clique em Next.

Selecione Next novamente.

Clique em Install.

Será iniciada a instalação do AD CS e Web Server (IIS).

Depois de concluída a instalação, será exibida a imagem abaixo informando que a instalação foi feita com sucesso.

Clique em Close.

Pronto, terminamos a instalação do AD CS e IIS. Agora, em Server Manager > Roles, existem novas opções.

Para fazer um teste, conecte-se novamente a WLAN Teste_DHCP, cuja autenticação é aberta e o DHCP utilizado é o DHCP Server criado no post anterior.

Abra o navegador e digite http://<nome_do_servidor>/Certsrv. Em nosso exemplo: http://win2k8r2/certsrv

Serão solicitadas as credenciais. Entre com uma das credenciais para os clients criadas no Post 2/7 – Configuração do Active Directory Domain Services. Neste post foram criadas as credenciais itautec@home.com, ipad@home.com e iphone@home.com.

Clique em OK.

Será exibida a tela abaixo, na qual existem as opções de solicitar um certificado (Request a Certificate) – este é o Client-Side Certificate, ou fazer o download do certificado do servidor (Download a CA certificate, certificate chain, or CRL), este é o Server-Side Certificate.

Neste momento, não vamos fazer nada ainda. Apenas tenha em mente que uma máquina que pertença ao domínio, fará automaticamente o download do certificado do servidor (CA Certificate) e se conectará a WLAN sem problemas. Já uma máquina que não pertence ao domínio, precisará fazer o download do CA Certificate ou desmarcar a opção “Validade Server Certificate”.

Mas não se preocupe. Na hora certa explicarei tais itens com mais detalhes.

Por hoje, paramos por aqui…

No próximo post iremos configurar o NPS – Network Policy and Access Services.

Como sempre, duvidas, sugestões e dicas, são bem vindas! 😀

Abraços,

Bartulihe