认证通过证书安全认证解决专项方案.docVIP

IPAD通过802.1X+证书安全认证解决方案

实验拓扑

拓扑阐明：WindowsServerIP：36

WindowsServer网关：41

???????????????ACIP：40

???????????????AP管理IP：00

???????????????三层互换机和AP互联IP：

?三层互换机和AC互联IP：41

三层互换机针对VLAN20建立DHCP地址池：~00

网关54

环境阐明：本实验需要用到WindowsServer,并且在WindowsServer安装DNS、AD、CA、IAS等组件，采用CA为IAS以及终端颁发证书，AD域建立顾客，IAS作为radius服务器对终端顾客进行认证并对客户端证书进行有效性检测。在AC上对于无线接入启用802.1X认证，密钥认证方式为WPA+公司级。

依照上面拓扑环境，IPAD连接无线SSID后，输入顾客名和密码到windows进行顾客以及证书验证，验证通过后自动获取IP地址，并能PING通AC。

【实验设备】WindowsServer1台，AC1台，AP1台，三层互换机1台，测试IPAD1台，网线若干。

【实验环节】

一．配备WindowsServer

注：在配备前将WIN安装光盘放入光驱

1.安装WindowsServerAD（活动目录）

在WindowsServer上，点击“开始”----“运营”，输入“dcpromo”,点“拟定”,启动“活动目录安装向导”。如下图：

此处选取“新域域控制器”，使此计算机作为此域域控制器（DC）。

此处选取“在新林中域”。

输入“”作为新建域域名。

设立NetBIOS域名，此处使用默认“TEST”。

设立数据库和日记文献保存途径，此处选取默认设立。

设立共享系统卷，此处使用默认设立。

DNS注册诊断，由于此服务器还没有安装DNS服务器组件，因而显示诊断失败，这里选取“在这台计算机安装并配备DNS服务器，并将这台DNS服务器设为计算机首选DNS服务器”。

设立顾客和组对象默认权限，此处选取默认设立。

设立目录还原模式管理员密码。

开始安装和配备活动目录。

活动目录安装完毕。

点击“及时重新启动”，重启windowsserver。

2.安装并配备证书服务器（CA）

IEEE802.1X在容许网络客户端访问网络之前使用EAP来对其进行身份验证。EAP最初设计用于点对点合同（PPP）连接，它容许顾客创立任意身份验证模式来验证网络访问。祈求访问客户端和进行身份验证服务器必要一方面协商特定EAP身份验证模式（称为EAP类型）使用。在就EAP类型达到一致之后，EAP容许访问客户端和身份验证服务器（普通是一种RADIUS服务器）之间进行无限制对话。

在基于802.1X认证合同中，咱们采用是PEAP（ProtectedExtensibleAuthenticationProtocol）验证方式。这是一种基于密码验证合同，可以协助公司实现简朴、安全验证功能。

PEAP是一种EAP类型，它一方面创立同步被加密和使用传播层安全（TLS）来进行完整性保护安全通道。然后进行另一种EAP类型新EAP协商，从而对客户端网络访问尝试进行身份验证。由于TLS通道保护网络访问尝试EAP协商和身份验证，因而可以将普通容易受到脱机字典袭击基于密码身份验证合同可用于在安全网络环境中执行身份验证。

PEAP是一种通过TLS来进一步增强其他EAP身份验证办法安全性身份验证机制。面向Microsoft802.1X身份验证客户端PEAP提供了针对TLS（PEAP-TLS，同步在服务器身份验证过程与客户端身份验证过程中使用证书）与Microsoft质询握手身份验证合同2.0版（PEAP-MS-CHAPv2，在服务器身份验证过程中使用证书，而在客户端身份验证过程中使用基于口令授权凭证。若客户端但愿对网络进行认证，必要下载证书）支持能力。

MS-CHAPv2是一种基于密码质询-响应式互相身份验证合同，使用工业原则“信息摘要4（MessageDigest4，MD4)”和数据加密原则（DataEncryptionStandard，DES）算法来加密响应。身份验证服务器质询接入客户端，然后接入客户端又质询身份验证服务器。如果其中任一质询没有得到对的回答，连接就被回绝。

通过上面简介，咱们可以得出结论：不论对无线连接使用哪种身份验证办法（PEAP-TLS或PEAP-MS-CHAPv2），都必要在IAS服务器上安装计算机证书。

安装一种证书服务即指定一种证书颁发机构(CA)，证书可以从第三方CA机构获取，例如VeriSign，或者从公司内部CA机构颁发。这