windows认证-IPAD通过802.1X+证书安全认证解决方案

1、IPAD通过了802.1X证书安全认证解决方案实验拓扑拓扑说明： windows 2003服务器IP:36windows 2003服务器网关： 41交流电的IP:40PS的管理IP:00三层交换机和AP的互连IP:第3层交换机与交流之间的互连IP:41第3层交换机为VLAN20建立DHCP地址池。 00网关54环境说明：本实验需要Windows 2003 Server，另外，在Windows 2003 Serv

2、er上安装DNS、AD、CA、IAS等组件，CA向IAS和终端发行证书，AD域建立用户，并在交流中启用无线接入的802.1X身份验证。 密钥认证方式是WPA企业。根据上述拓扑环境，IPAD在连接到无线SSID后，输入用户名和密码，去windows2003对用户和证书进行认证，如果认证成功，则自动获取IP地址，并PING。【实验设备】Windows 2003 Server 1台、AC1台、AP1台、3层交换机1台、测试IPAD1台、网络电缆数。【实验顺序】windows 2003服务器的配置注：在配置之前，请将WIN2003安装光盘插入光驱1 .安装windows 2003服务器(活动目录)在W

3、indows 2003 Server上，开始-单击“运行”，输入dcpromo，然后单击“确定”启动“activedirectory安装”向导。 请参照下图在此选择“新域域控制器”，将此计算机设为此域的域控制器(DC )。在此选择“新林中的域”。输入作为新域的域名。设置NetBIOS域名。 在这里使用默认的“TEST”。设置数据库和日志文件的保存路径。 在此选择默认设置。设置共享系统卷。 在此使用默认设定。DNS注册诊断失败，因为此服务器上未安装DNS服务器组件。 在此，选择“在此计算机上安装和配置DNS服务器，并将此DNS服务器设置为计算机的首选DNS服务器”。设置用户和组对

4、象的默认权限。 在此选择默认设置。设置目录还原模式的管理员密码。开始安装和配置activedirectory。activedirectory的安装完成。单击“立即重新启动”，重新启动windows 2003服务器。2 .证书服务器(CA )的安装和配置IEEE 802.1X在允许网络客户端访问网络之前使用EAP进行认证。 EAP最初是为点对点协议(PPP )连接而设计的，用户可以创建验证模式来验证网络访问。 请求访问的客户端和进行认证的服务器必须首先协商使用被称为EAP类型的特定EAP认证模式。 同意EAP类型后，EAP允许客户端和认证服务器(通常是RADIUS服务器)之间进行无限制的对话。基

5、于802.1X的认证协议采用了peap (保护性扩展协议)认证方式。 这是一种基于密码的认证协议，可以帮助企业实现简单安全的认证功能。PEAP是一种EAP类型，首先加密，并使用传输层安全性(TLS )创建完整性保护的安全信道。 然后，执行另一种EAP类型的新EAP协商，以认证客户端的网络访问。 为了保护网络访问尝试的EAP协商和认证，TLS隧道可以使用容易受到离线词典攻击的基于密码的认证协议，在安全的网络环境中执行认证。PEAP是一种利用TLS进一步增强其他EAP认证方式安全性的认证机制。 面向Microsoft 802.1X认证客户端的PEAP是TLS(PEAP-TLS，在服务器和客户端认证

6、过程中使用证书)和Microsoft挑战握手认证协议2.0版(peap-ms-chap v2 ) 如果客户端想认证网络，则必须下载证书)的支持能力。MS-CHAP v2是一种基于密码的质询-响应型相互认证协议，使用业界标准的“消息摘要4 (消息摘要4，MD4 )”和“数据加密标准(DES )”算法来加密响应。 认证服务器访问客户端，访问客户端，访问认证服务器。 如果其中一个问题没有得到正确的回答，连接将被拒绝。根据上述说明，可以得出以下结论：无论无线连接使用的认证方法(PEAP-TLS或PEAP-MS-CHAP v2 )如何，都需要在IAS服务器上安装计算机证书。安装证书服务后，您将指定一个证

7、书颁发机构(CA )，您可以从第三方CA机构(例如VeriSign )获取证书，也可以从企业中的CA机构发行证书。 这两个剧本在传统意义上是可能的，但对中小企业来说是不现实的。 因为中小企业不想每年为了购买第三方认证机构的证明书花很多费用，所以可以考虑在企业内设置CA服务器。必须在IAS服务器和客户端上都安装证书，以完成双方的相互认证。 客户端需要通过web从CA下载证书，并首先安装IIS。在“windows组件向导”中，选择“应用程序服务器”，然后单击“详细信息”。完成IIS服务的安装。 接下来安装证书服务。在windows组件向导中，选择“证书服务”，然后单击“详细信息”。单击“是”，然后

8、选择“证书服务”和“证书服务Web注册支持”。选择“企业路由Pa”。输入PS公开密钥名。显示生成公钥的过程，并提示您设置证书数据库。CA的安装完成了。4 .安装IAS服务器在“添加/删除Windows组件”下，选择“网络服务”，然后单击“详细信息”选择“internet认证服务”，然后单击“确定”。然后返回到原始对话框，然后单击“下一步”。点击完成按钮。接下来，我要申请IAS服务器的证书。在IAS服务器上开始- -单击运行，输入mmc，然后单击确定。在控制台上，选择“添加/删除管理设备”。在控制台的根节点上，单击“添加”按钮。在添加独立管理设备时，选择“证书”，然后单击“添加”按钮。选择“计算

9、机帐户”，然后单击“下一步”。选择“本地计算机”，然后单击“完成”。按一下确定。在控制台根节点下，展开“证书”，然后右键单击“个人”:所有任务-“申请新证书”。证书的类型选择域控制器。输入证书的名称。完成IAS服务器证书的申请。通知证明书申请成功。在控制台根节点下，显示个人证书，并显示刚才申请的证书和为此计算机自动发行的证书。5 .创建域用户帐户访问activedirectory用户和计算机。右键单击，然后选择新建- -用户。创建登录名为“liming”的用户帐户。要为名为“liming”的帐户创建密码，请选择“用户不能更改密码”。用户帐户的创建已完成。右键单击新的liming

10、用户帐户，然后选择“属性”。在“拨入”标签上，将“远程访问”授予此用户“允许访问”权限，然后单击“应用”。在“所属”标签上，您可以看到此帐户属于名为“域用户”的用户组。6.ias服务器的配置如果用户使用activedirectory中的用户帐户连接到网络，则IAS服务器必须向域控制器咨询用户帐户信息，以确定用户是否可以连接。 要使IAS服务器读取activedirectory用户帐户信息，您必须先在activedirectory中注册IAS服务器。选择“互联网认证服务”。右键单击“internet认证服务(本地)”，然后选择“在Active Directory中注册服务器”。然后，配置IAS服

11、务器，包括IAS客户端和远程访问策略的配置。输入客户端的名称和IP地址(在本示例中，AC地址为40 )。 注意：这里的客户端是交流。客户端供应商现在选择“radius标准”，而“共享秘密”表示在IAS服务器和AC上设置的预共享密钥。 只有两个密钥相同时，IAS服务器才接受来自RADIUS客户端的认证、授权和计费请求。 钥匙区分大小写。RADIUS客户端建立完成后，显示如下。然后，创建新的远程访问策略。注：在此选择“无线”选择LAN访问，然后右键单击属性。选择“编辑配置文件”。“详细信息”标签中的“详细信息”属性类型如上所述。确认此策略已被授予远程访问权限，然后单击“确定”

12、完成IAS服务器的设置。配置IPAD1 .获取客户端证书Windows证书服务器的默认URL是http:/ip_address/certsrv，在ip_address中输入实际的IP地址。 在此示例中，URL是http :/36/certsrv。 访问URL后，选择“请求证书”在证书下载完成后，安装证书。在安装过程中，可能会出现以下消息： 请选择“是”证书安装成功此时，如果进入IE的“internet选项”，则安装的客户端证书将显示在“个人”类别中1如何将证书导入IPAD、连接到无线并通过证书认证要将证书导入iPad，并在iPad上启用证书认证，必须在PC上安装iPhon

13、e配置实用程序(iPhone配置实用程序)。 这是苹果官方发布的免费软件，可以在那个网站上下载。 将iPad连接到PC，启动iPhone配置实用程序，选中左侧栏中的“配置式”，然后单击“新建”21在“通用”中，输入配置描述文件的名称、标识符、机构和说明12选择“证书”，然后单击“设置”来设置证书12在弹出的“个人证书存储区”窗口中，选择lan证书客户端证书如果要在客户端证书上设置密码，然后在iPad上安装此配置式，则需要密码认证注意：此选项是自动弹出的，但如果配置时没有弹出窗口，请不要设置此选项，请执行以下步骤选择“Wi-Fi”，然后单击“设置”21在“服务集标识符(ssid )”中输入ssid (在本例中为test666 )。 这里，要在交流中隐藏SSID，必须选中“隐藏网络”前的复选框。 然后，将安全类型设置为WPA/WPS2企业类，并在协议中选择PEAP4321标签切换到“认证”，选择“身份证”，并设置在上一步骤中由CA服务器发行的用户名密码21将标签切换到可信证书，在可信证书