EAP-TLS版本1.01配置指南.PDF

EAP-TLS版本1.01配置指南 文档ID64064 已更新：十月14， 2009     下载 pdf文档     打印   反馈 相关产品 Cisco Aironet 1200接入点 Cisco Aironet 350接入点 用于 Unix 的 Cisco 安全访问控制服务器 用于 Windows 的 Cisco 安全访问控制服务器 目录 简介 先决条件 要求 使用的组件 规则 配置 安装 Microsoft 证书 (CA) 服务器 创建服务器证书 创建新证书模板 批准来自 CA 的证书 安装在Windows服务器的证书 将服务器证书下载到 ACS 服务器 在 ACS 服务器上安装 CA 证书 设置ACS使用服务器证书 创建证书签名请求 请使用您的CSR创建服务器证书 安装在Windows设备的证书 将 CA 证书下载到您的 FTP 服务器 在您的设备上安装 CA 证书 安装在您的设备的服务器证书 其他任务 配置全局验证设置 在 ACS 上设置 AP 配置 AP 下载并且安装客户端的根CA证书 创建客户端证书 审批从CA的客户端证书 安装在客户端PC的客户端证书 委托在ACS的客户端证书 设置EAP-TLS的客户端 计算机身份验证补充 允许计算机验证的设置ACS 配置证书自动注册的域 设置计算机验证的客户端 WPA 密钥管理补充 配置 AP 设置EAP-TLS和WPA的XP客户端 验证 故障排除 Error:与证书的问题，当连接对WLAN时 解决方案 相关信息 相关的思科支持社区讨论 简介 本文为扩展验证传输层安全(EAP-TLS)版本1.01提供一配置示例。 注意： 本文假设，您使用微软认证授权(CA)。当您能使用自签名证书时，思科高度劝阻此实践，并 且本文不包括自签名证书。自签名证书的默认有效期期限只是一年，并且您不能更改此设置。这为 服务器证书是相当标准。然而，自签名证书也作为根CA证书。所以，除非不检查 Validate server certificate 选项，您需要每年安装在每个客户端的新证书。实时CA一定取得到无论如何获取客户端 证书，然后确实没有原因使用与EAP-TLS的自签名证书。 先决条件 要求 本文档没有任何特定的要求。 使用的组件 本文档中的信息基于以下软件和硬件版本： 接入点(AP) 12.02T1 访问控制服务器(ACS) 3.1， 3.2和3.3 Windows 2000和XP 企业根Certificate Authority (CA) 本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原 始（默认）配置。如果您使用的是真实网络，请确保您已经了解所有命令的潜在影响。 规则 有关文档规则的详细信息，请参阅 Cisco 技术提示规则。 配置 本部分提供有关如何配置本文档所述功能的信息。 注意： 使用命令查找工具 （仅限注册用户 ）可获取有关本部分所使用命令的详细信息。 安装 Microsoft 证书 (CA) 服务器 完成这些步骤： 1. 选择开始 设置 控制面板。 2. 点击添加/删除程序在控制面板中。 3. 选择添加/删除Windows组件。 4. 选择证书服务。 5. 单击 Next。 6. 对 IIS 消息单击是。 7. 选择一个独立(或企业)根CA。 8. 单击 Next。 9. 为该 CA 命名。注意： 所有其他框都是可选的。注意： 因为这能造成PEAP客户端发生故障验 证，请勿使用同一名称CA象ACS服务器。当服务器证书迷惑PEAP客户端，与同样的一个根 CA证书命名。此问题并非 Cisco 客户端独有。当然，如果不计划使用PEAP，这不应用。 10. 单击 Next。数据库默认设置正确。 11. 单击 Next。在安装 CA 前，必须安装 IIS。 创建服务器证书 完成这些步骤： 1. 浏览对CA (从您的ACS服务器的http://IP_of_CA_server/certsrv/)。 2. 选中 Request a certificate 框。 3. 单击 Next。 4. 选择高级请求。 5. 单击 Next。 6. 使用表，选择提交证书请求对此CA。 7. 单击 Next。 8. 在命名(CN)方框中键入名称。 9. 检查服务器验证