认证通过证书安全认证解决专项方案.doc

IPAD通过802.1X+证书安全认证解决方案 实验拓扑 拓扑阐明：Windows Server IP：192.168.1.136 Windows Server网关：192.168.1.141                ACIP：192.168.1.140                AP管理IP：10.1.1.100                三层互换机和AP互联IP：10.1.1.1  三层互换机和AC互联IP：192.168.1.141 三层互换机针对VLAN20建立DHCP地址池：192.168.2.1~192.168.2.100 网关192.168.2.254 环境阐明：本实验需要用到Windows Server,并且在Windows Server安装DNS、AD、CA、IAS等组件，采用CA为IAS以及终端颁发证书，AD域建立顾客，IAS作为radius服务器对终端顾客进行认证并对客户端证书进行有效性检测。在AC上对于无线接入启用802.1X认证，密钥认证方式为WPA+公司级。 依照上面拓扑环境，IPAD连接无线SSID后，输入顾客名和密码到windows进行顾客以及证书验证，验证通过后自动获取IP地址，并能PING通AC。 【实验设备】Windows Server 1台，AC1台，AP1台，三层互换机1台，测试IPAD1台，网线若干。 【实验环节】 一． 配备Windows Server 注：在配备前将WIN安装光盘放入光驱 1. 安装Windows Server AD（活动目录） 在Windows Server上，点击“开始”----“运营”，输入“dcpromo”,点“拟定”,启动“活动目录安装向导”。如下图： 此处选取“新域域控制器”，使此计算机作为此域域控制器（DC）。 此处选取“在新林中域”。 输入“”作为新建域域名。 设立NetBIOS域名，此处使用默认“TEST”。 设立数据库和日记文献保存途径，此处选取默认设立。 设立共享系统卷，此处使用默认设立。 DNS注册诊断，由于此服务器还没有安装DNS服务器组件，因而显示诊断失败，这里选取“在这台计算机安装并配备DNS服务器，并将这台DNS服务器设为计算机首选DNS服务器”。 设立顾客和组对象默认权限，此处选取默认设立。 设立目录还原模式管理员密码。 开始安装和配备活动目录。 活动目录安装完毕。 点击“及时重新启动”，重启windows server。 2. 安装并配备证书服务器（CA） IEEE 802.1X在容许网络客户端访问网络之前使用EAP来对其进行身份验证。EAP最初设计用于点对点合同（PPP）连接，它容许顾客创立任意身份验证模式来验证网络访问。祈求访问客户端和进行身份验证服务器必要一方面协商特定EAP身份验证模式（称为EAP类型）使用。在就EAP类型达到一致之后，EAP容许访问客户端和身份验证服务器（普通是一种RADIUS服务器）之间进行无限制对话。 在基于802.1X认证合同中，咱们采用是PEAP（Protected Extensible Authentication Protocol）验证方式。这是一种基于密码验证合同，可以协助公司实现简朴、安全验证功能。 PEAP是一种EAP类型，它一方面创立同步被加密和使用传播层安全（TLS）来进行完整性保护安全通道。然后进行另一种EAP类型新EAP协商，从而对客户端网络访问尝试进行身份验证。由于TLS通道保护网络访问尝试EAP协商和身份验证，因而可以将普通容易受到脱机字典袭击基于密码身份验证合同可用于在安全网络环境中执行身份验证。 PEAP是一种通过TLS来进一步增强其他EAP身份验证办法安全性身份验证机制。面向Microsoft 802.1X身份验证客户端PEAP提供了针对TLS（PEAP-TLS，同步在服务器身份验证过程与客户端身份验证过程中使用证书）与Microsoft质询握手身份验证合同2.0版（PEAP-MS-CHAP v2，在服务器身份验证过程中使用证书，而在客户端身份验证过程中使用基于口令授权凭证。若客户端但愿对网络进行认证，必要下载证书）支持能力。 MS-CHAP v2是一种基于密码质询-响应式互相身份验证合同，使用工业原则“信息摘要 4（Message Digest 4，MD4)”和数据加密原则（Data Encryption Standard，DES）算法来加密响应。身份验证服务器质询接入客户端，然后接入客户端又质询身份验证服务器。如果其中任一质询没有得到对的回答，连接就被回绝。 通过上面简介，咱们可以得出结论：不论对无线连接使用哪种身份验证办法（PEAP-TLS 或 PEAP-MS-CHAP v2），都必要在 IAS 服务器上安装计算机证书。 安装一种证书服务即指定一种证书颁发机构 (CA)，证书可以从第三方CA机构获取，例如VeriSign，或者从公司内部CA机构颁发。这两种方案在老式意义上都是可行，但是对于小型公司来说并不现实，由于小型公司不乐意每年花诸多额外钱购买第三方认证机构证书，因而可以考虑在公司内部自己架设 CA服务器。 咱们这里采用是在IAS服务器和客户端上都需要安装证书，以完毕双方互相认证。客户端通过web从CA上下载证书，一方面需要安装IIS。 在“windows组件向导”选取“应用程序服务器”，点击“详细信息”。 完毕IIS服务安装。接下来安装证书服务。 在“windows组件向导”选取“证书服务”，点击“详细信息”。 点击是，选中“证书服务”和“证书服务Web注册支持”。 选取“公司根CA”。 输入CA公钥名称。 浮现生成公钥过程，并提示设立证书数据库。 完毕CA安装。 4. 安装IAS服务器 在“添加/删除Windows组件”中，选取“网络服务”，单击“详细信息” 选取“Internet验证服务”，单击“拟定”。 然后返回原对话框，点击“下一步”。 点击完毕按钮。 接下来开始为IAS服务器申请证书。 在IAS服务器上点击“开始”----“运营”，输入“mmc”,点击“拟定”。 在控制台上，选取“文献”----“添加/删除管理单元”。 在控制台根节点下点击“添加”按钮。 在添加独立管理单元选取“证书”，点击添加按钮。 选取“计算机帐户”，点击“下一步”。 选取“本地计算机”，点击“完毕”。 点击拟定。 在控制台根节点下，展开“证书”，右键单击“个人”----“所有任务”----“申请新证书”。 证书类型选取“域控制器”。 输入证书名称。 完毕IAS服务器证书申请。 提示证书申请成功。 在控制台根节点下，查看个人证书，可以看到刚才申请证书，以及自动为此计算机颁发证书。 5. 建立域顾客帐户 进入活动目录顾客和计算机。 右键单击“”选取“新建”----“顾客”。 建立一种登录名为“liming”顾客帐户。 为“liming”这个账户创立密码，选取“顾客不能更改密码”。 创立顾客帐户完毕。 右键单击新建“liming”顾客帐户，选取“属性”。 在“拨入”选项卡中“远程访问权限”赋予此顾客“容许访问”权限，点击“应用”。 在“从属于”选项卡，可以看到这个账户属于“Domain Users”这个顾客组。 6. 配备IAS服务器 如果顾客是运用活动目录内顾客帐户来连接网络，则IAS服务器必要向域控制器询问顾客帐户信息，才干决定顾客与否有权连接。一方面必要将IAS服务器注册到活动目录中，IAS服务器才可以读取活动目录顾客帐户信息。 选取“Internet验证服务”。 右击“Internet验证服务（本地）”，选取“在Active Directory中注册服务器”。 接下来配备IAS服务器，涉及配备IAS客户端和远程访问方略。 输入客户端名称和IP地址（在本例中AC地址为192.168.1.140）。注意：这里客户端指是AC。 客户端供应商这里选取是“RADIUS Standard”,“共享机密”指是IAS服务器和AC上设立预共享密钥。只有双方密钥相似时，IAS服务器才会接受RADIUS客户端传来验证、授权和记账祈求。此处密钥区别大小写。 RADIUS客户端建立完毕后，浮现如上显示。 然后新建远程访问方略。 注：这里选取“无线” 选取“lan access”,右键“属性”。 选取“编辑配备文献”。 高档选项卡里面高档属性类型如上。 保证此方略“授予远程访问权限”，点击“拟定”完毕IAS服务器配备。 二．配备IPAD 1.获取客户端证书 Windows证书服务器默认URL为：http://[ip_address]/certsrv，[ip_address]填写实际IP地址。在本例中，URL为http:/192.168.1.136/certsrv。进入URL之后，选取“申请一种证书” 等证书下载完毕后，安装该证书： 安装时也许会浮现如下提示，选取“是”即可 证书安装成功 此时，进入IE“Internet选项”，可以看到安装客户端证书，被放在“个人”类别中 1 2.如何将证书导入到IPAD中,并连接无线，通过证书认证 为了将证书导入iPad，并在iPad上启用证书认证，咱们需要在PC上安装iPhone配备实用工具（iPhone Configuration Utility）。这是苹果官方发布一种免费软件，可以在其网站上下载到。将iPad连接到PC，启动iPhone配备实用工具，选中左侧栏“配备描述文献”，并点击“新建” 2 1 在“通用”中填写配备描述文献名称，标记符，机构以及描述 1 2 选取“凭证”，点击“配备”，进行证书设立 1 2 在弹出“个人证书商店”窗口中，选取lan证书客户端证书 对客户端证书设立密码，后续往iPad中安装此配备描述文献时候，需要进行密码验证 注：该选项为自动弹出，若配备时候没有弹出则不用设立，直接按照下面环节进行操作 选取“Wi-Fi”，点击“配备” 2 1 在“服务集标记符（SSID）”下填写SSID（本例中为test666。在这里，如果在AC上将SSID设立为隐藏，则需要将“隐藏网络”前面勾选上。随后，设立“安全类型”为WPA/WPS2公司级，并在“合同”中选取PEAP 4 3 2 1 将选项卡切换至“鉴定”，选取“身份证书”为前面环节中配备CA服务器下发顾客名密码 2 1 将选项卡切换至“信任”，在“可信证书”中把CA证书勾上 2 1 至此，配备描述文献设立完毕，在左侧栏中选取当前iPad，在右侧选取选项卡“配备描述文献”，安装刚才设立好配备描述文献 2 1 此时，iPad上会弹出如下窗口，选取“安装”—当前安装---输入前面环节中配备客户端证书时设立密码，随后点击右上角“下一步” 安装成功，点击右上角“完毕” 在“设立”-->“通用”-->“描述文献”中可以看到安装配备描述文献 进入“设立”-->“无线局域网”，单击相应SSID（本例中为test2）即可连接 三 AP和三层互换机配备