Revisaremos las implicaciones para regenerar Certificado WebAuth en WLC Cisco, la versión de WLC en esta prueba es la 8.3.150.0 pero aplica en otros modelos de WLC con AireOS.
Pasos Para Regenerar Certificado WebAuth en WLC
NOTA: El certificado a regenerar es un certificado utilizado por el portal guest, este certificado funciona únicamente cuando se usa el portal cautivo y este lo asigna la WLC y no un portal proporcionado por algún servidor externo.
Ingresamos a la WLC
Validamos si el certificado este próximo a expirar (En este caso el certificado tiene mucho tiempo disponible).
Monitor > Security > Web Auth > Certificate
Procedemos a regenerar el certificado para extender el tiempo de vigencia.
NOTA: Al realizar esta acción de regenerar el certificado, la WLC se tiene que reiniciar para que los cambios realizados sean aplicados.
Presionar Regenerate Certificate
Enseguida se visualizará una ventana con una advertencia, indicar OK cuando se tenga la seguridad de la actividad.
Posterior del OK, aparecerá un segundo mensaje, este mensaje indicaría que el certificado se ha generado exitosamente.
Posterior a esta acción, se requiere del reinicio de la WLC para que los cambios sean aplicados y se visualicen las nuevas fechas del certificado.
Commands > Reboot > Save and Reboot
Una vez termine el reinicio, validar las fechas del certificado.
Monitor > Security > Web Auth > Certificate
Funciones de Seguridad de la Autenticación Web
- La autenticación Web (WebAuth) es seguridad de capa 3. Permite una seguridad fácil de usar que funciona en cualquier estación que ejecute un navegador.
- Se puede combinar con cualquier seguridad de clave pre-compartida (PSK) (política de seguridad de capa 2).
- Aunque la combinación de WebAuth y PSK reduce la parte fácil de usar, tiene la ventaja de cifrar el tráfico del cliente.
- WebAuth es un método de autenticación sin cifrado.
- WebAuth no se puede configurar con 802.1x/RADIUS (servicio de usuario de acceso telefónico de autenticación remota) hasta que se instale y configure simultáneamente la versión 7.4 del software WLC.
- Los clientes deben pasar por la autenticación dot1x y web. Está pensado para la adición de un portal web para empleados (que utilizan 802.1x), no para invitados.
- No existe un identificador de conjunto de servicios (SSID) «todo en uno» para dot1x para empleados o portal web para invitados.
¿Cómo Funciona el Certificado WebAuth en WLC?
- El proceso de autenticación 802.11 está abierto, por lo que puede autenticarse y asociarse sin ningún problema. Después de eso, usted está asociado, pero no en estado RUN en la WLC.
- Con la autenticación web habilitada, se mantiene al cliente en WEBAUTH_REQD donde no puede acceder a ningún recurso de red.
- Se debe recibir una dirección IP DHCP con la dirección del servidor DNS en las opciones.
- Escriba una dirección URL válida en el explorador. El cliente resuelve la URL a través del protocolo DNS. A continuación, el cliente envía su solicitud HTTP a la dirección IP del sitio web.
- El WLC intercepta esa solicitud y devuelve el webauth, que imita la dirección IP del sitio web. Con una WebAuth externa, el WLC responde con una respuesta HTTP que incluye la dirección IP del Web site y declara que la página se ha movido.
- La página fue enviada a un servidor Web externo. Cuando se autentica, obtiene acceso a todos los recursos de red y se le redirige a la URL solicitada originalmente de forma predeterminada (a menos que se haya configurado un redireccionamiento forzado en el WLC).
- En resumen, el WLC permite al cliente resolver el DNS y obtener una dirección IP automáticamente en el estado de WEBAUTH_REQD.
- Para controlar otro puerto en lugar del puerto 80, utilice config network web-auth-port <port number> para crear también un redireccionamiento en este puerto.
Comentarios
Este proceso de auto-generación de certificado funciona para los clientes guest, cada vez que un cliente se conecta a la red Wireless guest, en automático se abrirá el navegador predeterminado y se visualizará un mensaje en el navegador como página no segura, esto es normal ya que el certificado es auto firmado, el dispositivo cliente no conoce la entidad que firma el certificado, al darle continuar con el riesgo, el portal de autenticación debe abrir de manera normal.
Como evitar el mensaje de error o mensaje de página no segura, para esto se debe firmar el certificado por medio de una entidad certificadora publica, el certificado se debe instalar en la WLC.
Puedes consultar el articulo acerca de generar certificado webadmin.
Me considero una persona apasionada por la tecnología y/o todo lo relacionado a servicios de TI, me gusta conocer un poco mas de todo lo nuevo que va saliendo y que puede hacer las cosas más sencillas y seguras, lo que busco plasmar en mis artículos es una manera sencilla de entender las cosas que he aprendido con el paso del tiempo y tratar de compartir un poco mas a detalle de algunos procesos y estructuras de TI.
Soy Ingeniero en Sistemas con certificaciones en redes Cisco, comparto lo poco o mucho de mi experiencia en el mundo de las tecnologías.
