Windows的v32 Secure ACS与EAP-TLS计算机验证 - Cisco.PDF

Windows的v3.2 Secure ACS与EAP-TLS计算机 验证 目录 简介 先决条件 要求 使用的组件 背景理论 规则 网络图 配置 Cisco Secure ACS for Windows v3.2 获取 ACS 服务器证书 配置 ACS 以使用存储中的证书 指定 ACS 应信任的其他证书颁发机构 重新启动服务并在 ACS 上配置 EAP-TLS 设置 将接入点指定并配置为 AAA 客户端 配置外部用户数据库 重新启动服务 配置 MS 证书计算机自动注册 配置 Cisco 接入点 配置无线客户端 加入域 获取用户证书 配置无线网络 验证 故障排除 相关信息 简介 本文描述如何配置可扩展的认证协议–传输层安全(EAP-TLS)用思科安全访问控制系统(ACS) Windows版本3.2的。 注意： 计算机验证不支持与Novell Certificate Authority (CA)。ACS能使用EAP-TLS支持计算机验 证到Microsoft Windows活动目录。最终用户客户端可能会将用于用户身份验证的协议限制为用于计 算机身份验证的同一协议。也就是说，使用 EAP-TLS 进行计算机身份验证可能需要使用 EAP-TLS 进行用户身份验证。有关计算机身份验证的详细信息，请参阅 Cisco 安全访问控制服务器 4.1 用户 指南 中的计算机身份验证部分。 注意： 当设置ACS通过EAP-TLS和ACS时验证机器为计算机验证设置，客户端必须配置执行仅计算 机验证。欲知更多信息，请参考如何启用基于802.1X的网络的计算机验证在Windows比斯塔，在 Windows服务器2008年和在Windows XP服务包3。 先决条件 要求 本文档没有任何特定的前提条件。 使用的组件 本文档中的信息基于以下软件和硬件版本。 Cisco Secure ACS for Windows v3.2 Microsoft 证书服务（作为企业根证书颁发机构 [CA] 安装）注意： 有关详细信息，请参阅证书 颁发机构设置分步指南 。 DNS 服务和 Windows 2000 Server（装有 Service Pack 3 和修补程序 323172 ）注意： 如果遇 到 CA 服务器问题，请安装修补程序 323172 。 Windows 2000 SP3 客户端需要修补程序 313664 才能启用 IEEE 802.1x 身份验证。 Cisco Aironet 1200 系列无线接入点 12.01T 运行 Windows XP Professional（装有 Service Pack 1）的 IBM ThinkPad T30 本文档中的信息都是基于特定实验室环境中的设备创建的。本文档中使用的所有设备最初均采用原 始（默认）配置。如果您是在真实网络上操作，请确保您在使用任何命令前已经了解其潜在影响。 背景理论 EAP-TLS和受保护可扩展的身份验证协议 (PEAP) 建立和使用TLS/Secure套接层(SSL)隧道。EAP- TLS 在 ACS 服务器（身份验证、授权和记帐 [AAA]）和客户端都有证书的情况下使用相互认证，证 明它们彼此的身份。然而，PEAP 仅使用服务器端身份验证；只有服务器才具备证书，并向客户端 证明其身份。 规则 有关文档规则的详细信息，请参阅 Cisco 技术提示规则。 网络图 本文档使用下图所示的网络设置。 配置 Cisco Secure ACS for Windows v3.2 按照以下步骤配置 ACS 3.2。 1. 获取 ACS 服务器证书。 2. 配置 ACS 以使用存储中的证书。 3. 指定 ACS 应信任的其他证书颁发机构。 4. 重新启动服务并在 ACS 上配置 PEAP 设置。 5. 将接入点指定并配置为 AAA 客户端。 6. 配置外部用户数据库。 7. 重新启动服务。 获取 ACS 服务器证书 按照以下步骤获取证书。 1. 在 ACS 服务器上打开 Web 浏览器，并输入 http://CA-ip-address/certsrv 以便访问 CA 服务器 。 2. 以管理员身份登录到域。 3. 选择 Request a certificate ，然后单击 Next。 4. 选择 Advanced request ，然后单击 Next。 5. 选择 Submit a certificate request to this CA