EAP-TLS (Extensible Authentication Protocol — Transport Layer Security) — это метод аутентификации, применяемый в сетях 802.1X, VPN и NAC-системах. Он основан на использовании цифровых сертификатов и инфраструктуры открытых ключей (PKI), которые обеспечивают проверку подлинности устройств и пользователей. Протокол описан в RFC 5216 и считается эталонным решением для корпоративных сетей благодаря высокой криптографической стойкости при правильной настройке и защите приватных ключей.

В контексте AxelNAC EAP-TLS используется на этапе сетевой аутентификации: когда устройство подключается к проводной, беспроводной или VPN-сети, система направляет запрос на проверку сертификата клиента. После проверки AxelNAC назначает пользователю соответствующую роль или политику доступа — например, VLAN или уровень сетевых прав. Таким образом, EAP-TLS позволяет AxelNAC точно идентифицировать клиента до предоставления ему сетевого доступа.

Основу EAP-TLS составляют сертификаты стандарта X.509 v3, которые связывают открытый ключ с конкретным субъектом — пользователем, устройством или сервером. Сертификат содержит идентификационные данные, сведения об издателе (CA), срок действия и цифровую подпись. В версии X.509 v3 добавлены расширения — дополнительные поля, уточняющие назначение ключа, альтернативные имена (например, доменные или сетевые идентификаторы), политику доверия и методы проверки статуса. Проверка выполняется по доверенной цепочке — от сертификата клиента или сервера до корневого центра сертификации. Владение соответствующим приватным ключом подтверждает подлинность стороны.

Во время аутентификации клиент и сервер обмениваются сертификатами, проверяют их действительность и подтверждают владение приватными ключами. После этого механизм TLS формирует временные ключи шифрования, обеспечивающие конфиденциальность и целостность передаваемых данных. Такой процесс исключает возможность подмены точки доступа или перехвата трафика, поскольку аутентификация возможна только при наличии действительного сертификата.

Процесс EAP-TLS аутентификации

Процесс EAP-TLS представляет собой последовательность взаимодействий между тремя компонентами:

• Supplicant (клиент) — устройство, запрашивающее доступ;
• Authenticator (точка доступа или коммутатор) — сетевое устройство, передающее данные аутентификации;
• Authentication Server (сервер аутентификации) — чаще всего RADIUS-сервер, выполняющий проверку сертификатов и принятие решения о доступе.

Ниже приведена схема, показывающая, как происходит обмен сообщениями между этими компонентами при аутентификации с использованием EAP-TLS.

На схеме показан порядок обмена: клиент устанавливает соединение с аутентификатором, который передает запрос AxelNAC. AxelNAC предоставляет свой сертификат, клиент его проверяет. Если проверка проходит успешно, клиент отправляет свой сертификат, после чего обе стороны выполняют взаимную проверку. При успешном завершении (EAP Success) создаются ключи шифрования, и аутентификатор разрешает прохождение сетевого трафика от клиента.

Выдача и распространение сертификатов

В AxelNAC сертификаты выдаются через инфраструктуру открытых ключей (PKI). Центр сертификации (CA) может выпускать сертификаты вручную или автоматически, используя протоколы SCEP, EST, ACME либо службы Microsoft AD CS. Эти механизмы позволяют устройствам самостоятельно запрашивать и получать сертификаты без участия администратора.

После регистрации устройство автоматически получает сертификат и обновляет его при истечении срока действия. В инфраструктурах без централизованного управления сертификаты могут устанавливаться вручную, что требует контроля сроков действия и проверки корректности конфигурации.

Отзыв сертификатов

EAP-TLS не использует пароли, что устраняет риски их компрометации и фишинга. Доверие между участниками обеспечивается инфраструктурой PKI: сертификаты выдаются, обновляются и при необходимости отзываются центром сертификации. Отзыв осуществляется через онлайн-проверку статуса по протоколу OCSP. Перед установлением соединения AxelNAC сверяет сертификат клиента с этими источниками, чтобы убедиться в его действительности. Если сертификат отозван или срок его действия истек, аутентификация отклоняется.

На практике не зафиксировано случаев компрометации протокола EAP-TLS. Основные риски связаны не с механизмом шифрования, а с ошибками конфигурации, использованием слабых алгоритмов и нарушением политики управления сертификатами. Поэтому в AxelNAC ключевое значение имеет корректная настройка PKI, защита приватных ключей и своевременное обновление списков отзыва.

Настройка коммутатора в AxelNAC

Первым подготовительным этапом является первоначальная настройка коммутатора. Необходимо сконфигурировать коммутатор таким образом, чтобы он интегрировался с AxelNAC с помощью стандарта 802.1x.

Настройка стандарта 802.1x на коммутаторе

В рамках данного курса мы рассмотрим конфигурацию коммутатора на примере коммутатора доступа Cisco Catalyst 2960 с IP-адресом 172.21.2.3. Также, в примере зададим IP-адрес сервера AxelNAC 10.31.205.172.

Шаг 1. Подключитесь к этому коммутатору по протоколу SSH как администратор.

Шаг 2. Активируйте стандарт 802.1x на коммутаторе с помощью команды:

dot1x system-auth-control

Шаг 3. Настройте AAA таким образом, чтобы он использовал только что созданный сервер AxelNAC с помощью следующих команд:

aaa new-model
radius server AxelNAC
    address ipv4 10.31.205.172 auth-port 1812 acct-port 1813
    timeout 2
    key useStrongerSecret
aaa group server radius AxelNAC
    server name AxelNAC
aaa authentication dot1x default group AxelNAC
aaa authorization network default group AxelNAC
aaa accounting dot1x default start-stop group AxelNAC
radius-server vsa send authentication
aaa server radius dynamic-author
    client <IP> server-key <key>
    port 3799
snmp-server community useStrongerSecretSNMPRO RO
snmp-server community useStrongerSecretSNMPRW RW

Шаг 4. Настройте все (или только необходимые) порты для работы со стандартом 802.1x. В примере ниже выбран только порт №10:

interface fastEthernet 0/10 
switchport mode access //определение порта как access-порт (нетегированного)
authentication host-mode multi-domain //режим аутентификации хоста multi-domain, разрешающий подключение нескольких конечных устройств на порт
authentication order dot1x mab //использование порядка методов аутентификации, при котором сначала выполняется попытка аутентификации по 802.1X, а затем — по MAB (MAC Authentication Bypass)
authentication priority dot1x mab //приоритеты методов аутентификации заданы так, чтобы 802.1X имел более высокий приоритет, чем MAB. Если оба метода проходят успешно, предпочтение отдается 802.1X как основному
authentication port-control auto //аутентификация по 802.1x на порту
authentication periodic //периодическая реаутентификация клиента
authentication timer restart 10800 //период реаутентификации (в секундах)
authentication timer reauthenticate 10800 //количество секунд до повторной попытки аутентифицировать неавторизованный порт
mab //включение MAC authentication bypass на порту, позволяя аутентифицироваться устройствам, не поддерживающим 802.1x
no snmp trap link-status //отключение отправки SNMP-ловушек при включении/отключении порта
dot1x pae authenticator //роль порта определена как аутентификатор. Он не будет отвечать на сообщения, предназначенные для суппликанта.
dot1x timeout quiet-period 2 //интервал ожидания (в секундах) после неудачной попытки аутентификации по 802.1x
dot1x timeout tx-period 3 //интервал ожидания ответа (в секундах) на EAP request перед его повторной отправкой

Шаг 5. Сохраните конфигурацию коммутатора.

Настройка коммутатора в AxelNAC

После того как выполнена конфигурация на стороне коммутатора, необходимо добавить его в AxelNAC, чтобы обучить их «общаться между собой». Для этого вы можете следовать алгоритму, описанному ниже:

Шаг 1. В AxelNAC перейдите в раздел Конфигурация → Политики и контроль доступа → Сетевые устройства → Сетевые устройства и нажмите Новое сетевое устройство. В выпадающем списке выберите значение default.

Шаг 2. На открывшейся странице заполните поля следующим образом:

• IP-адрес/MAC-адрес/диапазон (CIDR): 172.21.2.3;
• Тип: Cisco Catalyst 2960;
• Режим: Продуктивный.

Шаг 3. Переключитесь на вкладку Роли и убедитесь, что параметр Назначать VLAN ID (роль по идентификатору VLAN) активирован.

Шаг 4. Переключитесь на вкладку RADIUS и в поле Секретная фраза укажите секретную фразу, которую вы настроили на коммутаторе. В нашем примере секретная фраза — useStrongerSecret.

Шаг 5.  На вкладке SNMP укажите необходимые значения в полях Community Read и Community Write. В поле Версия укажите v2c.

Заполните значения в соответствии с конфигурацией коммутатора:

• Community Read — useStrongerSecretSNMPRO;
• Community Write — useStrongerSecretSNMPRW.

Шаг 6. Для добавления коммутатора нажмите кнопку Создать в левом нижнем углу страницы.

Настройка центра сертификации (ЦС)

Вторым подготовительным этапом является установка и настройка центра сертификации (ЦС). В лабораторной среде уже присутствует настроенный ЦС. Вы можете использовать его или воспользоваться нашей инструкцией для самостоятельной настройки.

В качестве ЦС может быть использовано различное ПО, поэтому данный этап должен быть изучен самостоятельно. После настройки ЦС, выпустите сертификаты для стороны сервера и стороны клиента.

После выпуска контейнера необходимо извлечь сертификаты для их установки. Данный процесс можно выполнить с помощью AxelNAC:

Шаг 1. Переместите ранее созданный контейнер сертификатов в AxelNAC, используя следующую команду, и введите пароль для доступа к AxelNAC:

scp <путь к контейнеру сертификатов> root@<IP-адрес AxelNAC}:~/{Контейнер сертификата}.pfx

Пример:
scp C:\Users\Default\downloads\Certificates.pfx root@{10.28.121.52}:~/Certificates.pfx

Шаг 2. Подключитесь к AxelNAC по SSH, создайте и переместите сертификат в удобную директорию с помощью следующего набора команд:

mkdir <папка для сертификатов>
mv /root/{Контейнер сертификата}.pfx <папка для сертификатов>/
cd <папка для сертификатов>

Пример:
mkdir certs
mv /root/Certificates.pfx certs/
cd certs

Шаг 3. В рабочей директории необходимо разделить сертификат на 3 части: Открытый ключ, сертификат УЦ, закрытый ключ. Во время разделения сертификатов у вас запросят пароль от контейнера:

openssl pkcs12 -in {Контейнер сертификата}.pfx -clcerts -nokeys -out <имя сертификата>.crt
openssl pkcs12 -in {Контейнер сертификата}.pfx -cacerts -nokeys -out <имя сертификата УЦ>.crt
openssl pkcs12 -in {Контейнер сертификата}.pfx -nocerts -out <имя закрытого ключа>.key

Пример:
openssl pkcs12 -in Certificates.pfx -clcerts -nokeys -out Axelnac_cert.crt
openssl pkcs12 -in Certificates.pfx -cacerts -nokeys -out Axeldemo_CA.crt
openssl pkcs12 -in Certificates.pfx -nocerts -out Axelnac_private_key.key

Шаг 4. Скорректируйте содержимое сертификатов: при экспорте через openssl могут появиться лишние данные, поэтому необходимо оставить только информацию о сертификатах (начиная с ------BEGIN CERTIFICATE------ и заканчивая ------END CERTIFICATE------). Также необходимо инвертировать порядок указанных сертификатов так, чтобы первым был сертификат УЦ ближайший к клиенту.

Шаг 5. Полученные сертификаты необходимо перенести на АРМ, у которой есть доступ к веб-интерфейсу AxelNAC:

scp  root@{IP-адрес AxelNAC}:~/<путь к файлу сертификата>/{Имя сертификата}.crt <Путь для переноса сертификата на АРМ>\{Имя сертификата}.crt
scp  root@{IP-адрес AxelNAC}:~/<путь к файлу сертификата УЦ>/{Имя сертификата УЦ}.crt <Путь для переноса сертификата УЦ на АРМ>\{Имя сертификата УЦ}.crt
scp  root@{IP-адрес AxelNAC}:~/<путь к файлу закрытого ключа>/{Имя закрытого ключа}.crt <Путь для переноса закрытого ключа на АРМ>\{Имя закрытого ключа}.crt

Пример:
scp  root@{10.28.121.52}:~/scan_winrs_cert/Axelnac_cert.crt C:\Users\Default\downloads\Axelnac_cert.crt
scp  root@{10.28.121.52}:~/scan_winrs_cert/Axeldemo_CA.crt C:\Users\Default\downloads\Axeldemo_CA.crt
scp  root@{10.28.121.52}:~/scan_winrs_cert/Axelnac_private_key.key C:\Users\Default\downloads\Axelnac_private_key.key

Шаг 6. Для получения отпечатка сертификата на linux, воспользуйтесь командой:

openssl x509 -in {имя файла сертификата}.crt -fingerprint -sha1 -noout

Пример:
openssl x509 -in cert.crt -fingerprint -sha1 -noout

Установка сертификата на стороне клиента

Для того чтобы клиентское устройство могло быть подключено к серверу с аутентификацией по протоколу EAP-TLS, необходимо установить сертификаты на устройство. Поля, которые могут содержать сертификаты, показаны в таблице ниже.

Обязательные и опциональные поля сертификатов

Сертификат должен быть создан с включенной аутентификацией пользователя в EKU. В качестве имени пользователя в полях сертификата могут быть использованы атрибуты UPN, CN или DNS.

Шаг 1. Импортируйте сертификаты из контейнера сертификатов, следуя инструкциям мастера импорта сертификатов. При выборе хранилища сертификатов выберите Личное.

Шаг 2. Добавьте в автозагрузку сервис Windows Проводная автонастройка (dot3svc). Для этого откройте командную строку в Windows и введите следующий набор команд:

Set-Service -Name dot3svc -StartupType Automatic
Start-Service -Name dot3svc

Шаг 3. Откройте меню Сетевые подключения, затем откройте свойства сетевого интерфейса, по которому организовано подключение.

Шаг 4. На вкладке Проверка подлинности установите флажки для всех параметров.

Шаг 5. В поле Метод проверки подлинности в сети выберите значение Microsoft: смарт-карта или иной сертификат.

Шаг 6. Нажмите на кнопку Параметры справа от поля выбора метода и установите флажок для параметра Подтверждать удостоверение сервера с помощью проверки сертификата. Убедитесь, что дочерний параметр деактивирован.

Шаг 7. В поле Доверенные корневые центры сертификации выберите сертификат, ранее выданный ЦС.

Шаг 8. Перейдите в раздел Дополнительно и выберите корневого издателя сертификата. Затем нажмите OK дважды.

Шаг 9. На вкладке Проверка подлинности нажмите Дополнительные параметры, и в поле Указать режим проверки подлинности установите Проверка подлинности пользователя или компьютера. Затем нажмите ОК.

Установка сертификата на стороне сервера аутентификации

Для того чтобы сконфигурировать соединение с аутентификацией по протоколу EAP-TLS, необходимо установить сертификаты на сервере AxelNAC. Поля, которые могут содержать сертификаты, приведены в предыдущем параграфе.

Шаг 1. Перейдите на вкладку RADUIS в разделе Конфигурация → Настройки системы →  SSL-сертификаты и нажмите Редактировать.

Шаг 2. На открывшейся странице замените предустановленные данные в полях Сертификат сервера RADIUS, Закрытый ключ сервера RADIUS и Сертификат(ы) от центра сертификации данными, полученными в ЦС и нажмите Сохранить в левом нижнем углу страницы.

Шаг 3. Перейдите в раздел Конфигурация → Настройки системы → RADIUS → SSL-сертификаты PKI и нажмите Новый SSL-сертификат.

Шаг 4. На открывшейся странице заполните поля следующим образом:

• Идентификатор — введите имя профиля;
• Сертификат — укажите сертификат, выпущенный ЦС для сервера;
• Центр сертификации — укажите сертификат удостоверяющего центра;
• Закрытый ключ — укажите закрытый ключ сертификата;
• Пароль для закрытого ключа — укажите пароль для контейнера сертификатов (при наличии);
• Сертификат(ы) промежуточного центра сертификации (СА) — при наличии промежуточного центра сертификации необходимо указать его сертификат, в ином случае, укажите сертификат удостоверяющего центра.

После этого нажмите Создать в левом нижнем углу страницы.

Шаг 5. Перейдите на вкладку Профили TLS и нажмите Новый TLS-профиль.

Шаг 6. На открывшейся странице заполните поля следующим образом:

• Идентификатор — введите имя профиля;
• Профиль сертификата — укажите имя SSL-профиля созданного в предыдущем шаге;
• Минимальная версия TLS — минимальная версия TLS, поддерживаемая подключаемыми устройствами;
• Максимальная версия TLS — максимальная версия TLS, поддерживаемая подключаемыми устройствами.

После этого нажмите Создать в левом нижнем углу страницы.

Шаг 7. Перейдите на вкладку Профили EAP и нажмите Новый профиль EAP.

Шаг 8. На открывшейся странице заполните поля следующим образом:

• Идентификатор — введите имя профиля;
• Тип EAP по умолчанию — TLS;
• Типы EAP-аутентификации — TLS;
• Профиль TLS — укажите имя TLS-профиля созданного в предыдущем шаге.

После этого, нажмите Создать в левом нижнем углу страницы.

Шаг 9. Перезапустите службу radiusd-auth.

Настройка соединения с аутентификацией по протоколу EAP-TLS в AxelNAC

После того как сертификаты установлены на обеих сторонах, можно начинать настройку соединения в AxelNAC.

Шаг 1. Перейдите в раздел Конфигурация → Политики и контроль доступа → Домены → Области и нажмите Новая область.

Шаг 2. На вкладке Основное заполните поле Область, введя имя вашего домена.

Шаг 3. На вкладке Настройки EAP выберите профиль EAP, который вы создали в шаге 8 установки сертификата на стороне сервера, и нажмите Создать в левом нижнем углу страницы.

Шаг 4. Перезапустите службу radiusd-auth.

Проверка работы соединения

После выполнения всех этапов конфигурации вы можете проверить работу соединения. Подключите клиентское устройство к порту коммутатора на котором настроен dot1x. Клиентское устройство должно успешно авторизоваться и получить доступ в сеть.

Чтобы посмотреть, что происходит на стороне AxelNAC, перейдите в раздел Аудит → Журналы аудита RADIUS в интерфейсе администратора. Вы должны увидеть запись для MAC-адреса подключенного клиентского устройства. Щелкните строку с нужным MAC-адресом, чтобы увидеть логи обмена RADIUS-сообщениями. Если аутентификация 802.1X прошла успешно, в колонке Статус узла появится значение Зарегистрировано.

Также, вы можете подключиться к коммутатору по протоколу ssh и выполнить команду show authentication session interface <интерфейс, к которому подключено устройство> detail. В случае успешного подключения в строке Status будет указано значение Authorized.

Вопросы и помощь

При возникновении вопросов просьба обращаться по адресу support@axel.pro.