补充:关于802.1X身份验证中CA证书的配置

本文提供了关于802.1X身份验证中CA证书配置的补充信息,特别是针对EAP-TLS和智能卡证书的设置。通过链接提供了详细的配置文档,以帮助解决验证过程中遇到的问题。

        前几天写了H3C和CISCO两种交换机的802.1X实现方法,但是有人联系我说CA没有配置好,验证不过去.由于时间关系,我这里不写出自己的配置文档.手上有一篇可供参考的配置文档,希望对大家有所帮助.电子版文档在我的究竟中资源里面去下载吧.地址:http://download.csdn.net/user/deflag

 使用EAP-TLS(智能卡与证书)实现802.1X----验证服务器和交换机相关配置

For this configuration, complete the following steps:
1. Configure Active Directory for accounts and groups.
2. Configure the primary IAS server on a computer.
3. Configure the secondary IAS server on another computer.
netsh aaaa show config >c:/IAS.txt
netsh exec c:/IAS.txt
4. Deploy and configure your authenticating switches.
6. Configure a certificate infrastructure for EAP-TLS.
7. Install computer certificates on wired client computers (EAP-TLS).
8. Install user certificates on wired client computers (EAP-TLS).
9. Configure wired client computers for EAP-TLS.
10.Configure wired client computers for EAP-MD5 CHAP.
11.Verify wired connections.
 
MD5:
1. HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Netlogon/Parameters /MaximumPasswordAge (REG_DWORD data type)
2. Enable storage of a reversibly encrypted form of the account's password in your domains.
3. Force a reset of the account passwords so that the new passwords are stored in a reversibly encrypted form.
采用系统为Windows2003,必须安装AD,DNS,IAS,CA
------------------------------------
下表列出了不同的认证方式需要用到的证书:

Authentication Type
Certificates on Wired client
Certificates on IAS Server
PEAP-MS-CHAP v2
Root CA certificates for issuers of    IAS server computer certificates
Computer certificates
EAP-TLS
Computer certificates
User certificates
Root CA certificates for issuers of    IAS server computer certificates
Computer certificates
Root CA certificates for issuers of    wired client computer and user certificates
EAP-MD5 CHAP
None
None

 
开始配置......
该文档演示 EAP-TLS (智能卡与证书)进行验证的方式:
1、配置 CA
A、使用共享文件夹会保留证书的副本方便后面导入证书的操作(该证书为CA的根证书 Root CA
B、配置用户证书:证书颁发机构-》管理证书模板-》复制模板“用户”到一新建模板LAN Access。
LAN Access的属性为:使用者名称-》不选择“电子邮件名”&“在使用者名称中部不包含电子邮件名”
安全:选择对应的用户具有自动注册的权限。
C、新建要颁发的证书模板-》选择我们刚刚新建的LAN Access
------------------------------------
2、配置IAS
A、先将IAS在AD注册
B、设置IAS属性,端口必须和交换机上设置一致
C、新建RADIUS客户端,客户端IP地址为交换机IP地址(Authenticator),共享的密码也和交换机上所设置密码一致
D、新建远程访问策略,在用户或组访问我们采用用户访问方式进行测试,在EAP类型选择智能卡与证书
E、设置策略属性,授予远程访问权限,编辑配置文件,选择客户端请求IP地址
------------------------------------
3、配置AD
A、组策略-》Windows 设置-》帐户策略-》密码策略-》 启用可还原的加密来储存密码
B、添加用户,该用户是分配给接入客户端的用户。在这里,我们以admin为例,用户密码和所接入计算机用户admin密码一致。
C、修改用户属性,远程访问权限设置为允许访问。
D、在客户端计算机上设置将计算机加入此域中。加入后可以在Computers上查看到。
E、使用MD5进行认证的话,修改用户属性,远程访问权限设置为允许访问。
-------------------------------------
4、配置AD组策略属性
A、在计算机配置-》windows设置-》安全设置配置公钥策略
新建自动证书申请类型为“ 计算机
B、设置受信任的根证书颁发机构,导入我们最开始建立的证书(Root CA)。
C、在用户配置-》windows设置-》安全设置-》配置公钥策略-》自动注册证书,选择“续订过期证书、更新未证书并删除吊销的证书”&“更新使用证书模板的证书”
--------------------------------------
5、客户端配置
A、本地连接-》属性-》验证-》启用此网络的IEEE 802.1X验证
B、EAP类型:智能卡与证书
C、智能卡与证书的属性— 在此计算机上使用证书使用简单证书选择验证服务器证书—〉受信任的根证书颁发机构:选择 Root CA.
服务器配置到此结束,下面开始配置交换机。
交换机使用FOUNDRY FastIron Edge Switch 2402
1. The IP address or name of a primary RADIUS server, the shared secret, UDP ports for authentication and accounting, and failure detection settings.
2. The IP address or name of a secondary RADIUS server, the shared secret, UDP ports for authentication and accounting, and failure detection settings.
下面是相关配置文档:
BR-FES2402 Router#sh run
Current configuration:
!
ver 03.4.01Tc1
!
!
!
!
vlan 1 name DEFAULT-VLAN by port
 router-interface ve 10
!
!
dot1x-enable
 enable ethe 2 to 24
!
aaa authentication dot1x default radius
radius-server host 192.168.100.1 auth-port 1812 acct-port 1813 default key 1 $Gs
ig@U/------------------------------------- dot1x
interface ethernet 3
 dot1x port-control auto
!
interface ethernet 4
 dot1x port-control auto
!
interface ethernet 5
 dot1x port-control auto
!
--More--, next page: Space, next line: Return key, quit: Control-c^C
BR-FES2402 Router#
BR-FES2402 Router#
BR-FES2402 Router#
BR-FES2402 Router#
BR-FES2402 Router#sh run
Current configuration:
!
ver 03.4.01Tc1
!
!
!
!
vlan 1 name DEFAULT-VLAN by port
 router-interface ve 10
!
!
dot1x-enable
 enable ethe 2 to 24
!
aaa authentication dot1x default radius
radius-server host 192.168.100.1 auth-port 1812 acct-port 1813 default key 1 $Gs
ig@U/ dot1x
interface ethernet 3
 dot1x port-control auto
!
interface ethernet 4
 dot1x port-control auto
!
interface ethernet 5
 dot1x port-control auto
!
interface ethernet 6
 dot1x port-control auto
!
interface ethernet 7
 dot1x port-control auto
!
interface ethernet 8
 dot1x port-control auto
!
interface ethernet 9
 dot1x port-control auto
!
interface ethernet 10
 dot1x port-control auto
!
interface ethernet 11
 dot1x port-control auto
!
interface ethernet 12
 dot1x port-control auto
!
interface ethernet 13
 dot1x port-control auto
!
interface ethernet 14
 dot1x port-control auto
!
interface ethernet 15
 dot1x port-control auto
!
interface ethernet 16
 dot1x port-control auto
!
interface ethernet 17
 dot1x port-control auto
!
interface ethernet 18
 dot1x port-control auto
!
interface ethernet 19
 dot1x port-control auto
!
interface ethernet 20
 dot1x port-control auto
!
interface ethernet 21
 dot1x port-control auto
!
interface ethernet 22
 dot1x port-control auto
!
interface ethernet 23
 dot1x port-control auto
!
interface ethernet 24
 dot1x port-control auto
!
interface ve 10
 ip address 192.168.100.2 255.255.255.0
!
!
!
!
!
!
end

6、验证
Authentication Server(WIN2003):192.168.6.10
Authenticator(SWITCH):192.168.6.1
 Client(WINXP):192.168.6.20
A、事件查看器查看
B、PING测试
C、Sniffer抓包测试
部分中文参考网站:
 
 
 
 
 
 
 
部分英文参考网站: See the following resources for further information:
·         Windows 2000 Service Pack 4 (SP4) at http://www.microsoft.com/windows2000/downloads/servicepacks/sp4/default.asp
·         Internet Authentication Service Web site at http://www.microsoft.com/windowsserver2003/technologies/ias/default.mspx
·         Security Services Web site at http://www.microsoft.com/windowsserver2003/technologies/security/default.mspx.
·         Windows XP Wireless Deployment Technology and Component Overview at http://www.microsoft.com/technet/prodtechnol/winxppro/maintain/wificomp.mspx.
·         Troubleshooting Windows XP IEEE 802.11 Wireless Access at http://www.microsoft.com/technet/prodtechnol/winxppro/maintain/wifitrbl.mspx.
 
For the latest information about Windows XP, see the Windows XP Web site at http://www.microsoft.com/windowsxp.
 
 
   
 
 
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值