无线 : 思科 4400 系列无线局域网控制器

ACS 4.0 和 Windows 2003 中统一无线网络下的 EAP-TLS

2015 年 8 月 28 日 - 机器翻译
其他版本: PDFpdf | 英语 (2014 年 9 月 19 日) | 反馈


目录


简介

本文描述如何配置安全无线访问使用无线局域网控制器(WLCs), Microsoft Windows 2003年软件和思科安全访问控制服务器(ACS) 4.0通过扩展验证传输层安全(EAP-TLS)。

注意: 关于部署的更多信息请巩固无线,参考Microsoft wi-fi网站leavingcisco.comCisco SAFE无线图纸

先决条件

要求

假设安装者已经掌握基本的 Windows 2003 安装和 Cisco 控制器安装,因为本文档仅涵盖有助于开展测试的特定配置。

Cisco的初始安装和配置信息4400系列控制器,是指:快速入门指南:Cisco 4400 Series Wireless LAN Controllers。有关 Cisco 2000 系列控制器的初始安装和配置信息,请参阅快速入门指南:Cisco 2000 系列无线局域网控制器

在您开始前,请安装Windows服务器2003年用服务包(SP)1在其中每一个的操作系统在测试实验室的服务器和更新所有服务包。安装控制器和AP并且保证最新的软件更新配置。

重要信息:在本文写入时候, SP1是最新的Windows服务器2003更新,并且与更新补丁程序的SP2是Windows XP Professional的最新的软件。

2003年,企业版,使用有SP1的Windows服务器,以便用户和工作站证书的自动注册EAP-TLS验证的可以配置。这在本文的EAP-TLS验证部分描述。证书自动注册和自动续签使更加容易部署证书和经过自动超时和更新证书改进安全。

使用的组件

本文档中的信息基于以下软件和硬件版本:

  • 运行 3.2.116.21 的 Cisco 2006 或 4400 系列控制器

  • Cisco 1131 轻量接入点协议 (LWAPP) AP

  • 装有 Internet Information Server (IIS)、证书颁发机构 (CA)、DHCP 和域名系统 (DNS) 的 Windows 2003 Enterprise

  • 具有访问控制服务器 (ACS) 4.0 的 Windows 2003 Standard

  • 具有 SP(和更新的 Service Pack)以及无线网络接口卡 (NIC)(支持 CCX v3)或第三方请求方的 Windows XP Professional。

  • Cisco 3560 交换机

网络图

本文档使用以下网络设置:

Cisco 安全无线实验室拓扑

/image/gif/paws/71929/eap-tls-acs40-win2003-1.gif

本文主要目的将提供您逐步程序实现EAP-TLS在Unified无线网络下用ACS 4.0和Windows 2003年企业服务器。重点是自动注册客户端,使得客户端能够自动注册并从服务器获取证书。

注意: 为了添加wi-fi受保护的访问(WPA)/WPA2用临时密钥完整性协议(TKIP) /Advanced加密标准(AES)对有SP的Windows XP Professional,设置服务为Windows XP的参考的WPA2/Wireless信息元素(WPS IE)更新与SP2leavingcisco.com

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您使用的是真实网络,请确保您已经了解所有命令的潜在影响。

规则

有关文档规则的详细信息,请参阅 Cisco 技术提示规则

Windows Enterprise 2003 中关于 IIS、证书颁发机构、DNS、DHCP 的设置 (DC_CA)

DC_CA (wirelessdemoca)

DC_CA 是一台运行 Windows Server 2003 Enterprise Edition SP1 的计算机,该计算机担当以下角色:

  • 运行 IIS 的 wirelessdemo.local 域的域控制器

  • wirelessdemo.local DNS 域的 DNS 服务器

  • DHCP 服务器

  • wirelessdemo.local 域的企业根 CA

要为这些服务配置 DC_CA,请完成以下步骤:

  1. 执行基本安装和配置。

  2. 将计算机配置为域控制器。

  3. 提升域功能级别。

  4. 安装并配置 DHCP。

  5. 安装证书服务。

  6. 验证证书的管理员权限。

  7. 向域中添加计算机。

  8. 允许计算机进行无线访问。

  9. 向域中添加用户。

  10. 允许用户进行无线访问。

  11. 向域中添加组。

  12. 向 wirelessusers 组中添加用户。

  13. 向 wirelessusers 组中添加客户端计算机。

步骤 1:执行基本安装和配置

完成这些步骤:

  1. 将 Windows Server 2003 Enterprise Edition SP1 安装为独立服务器。

  2. 用 IP 地址 172.16.100.26 和子网掩码 255.255.255.0 配置 TCP/IP 协议。

步骤 2:将计算机配置为域控制器

完成这些步骤:

  1. 要启动 Active Directory 安装向导,请选择开始 > 运行,键入 dcpromo.exe,然后单击“确定”。

  2. 在n欢迎到活动目录安装向导页,其次单击。

  3. 在“操作系统兼容性”页上,单击下一步

  4. 在域控制器页心,请选择新域的域控制器并且其次单击。

  5. 在“创建一个新域”页上,选择在新林中新建域,然后单击“下一步”。

  6. 在“安装或配置 DNS”页上,选择否,只在这台计算机上安装并配置 DNS,然后单击“下一步”。

  7. 在“新的域名”页上,键入 wirelessdemo.local,然后单击“下一步”。

  8. 在“NetBIOS 域名”页上,输入 NetBIOS 域名 wirelessdemo,然后单击“下一步”。

  9. 在数据库和日志文件夹位置页,请接受默认数据库并且记录文件夹目录并且其次单击。

    /image/gif/paws/71929/eap-tls-acs40-win2003-2.gif

  10. 在共享系统容量对话框上,请验证默认文件夹位置正确并且其次单击。

    /image/gif/paws/71929/eap-tls-acs40-win2003-3.gif

  11. 在权限页,请验证权限仅与Windows 2000或Windows服务器2003操作系统兼容选择和clickNext。

    eap-tls-acs40-win2003-4.gif

  12. 在“目录服务恢复模式管理密码”页上,将密码框保留为空,然后单击下一步

  13. 查看“摘要”页上的信息,然后单击下一步

    eap-tls-acs40-win2003-5.gif

  14. 在完成活动目录安装向导页,请点击芬通社

  15. 当提示重新启动计算机时,单击立即重新启动

步骤 3:提升域功能级别

完成这些步骤:

  1. 打开活动目录域和信任卡扣式从管理工具文件夹(Start > Administrative Tools >活动目录域和信任),然后用鼠标右键单击域计算机DC_CA.wirelessdemo.local。

  2. 单击提升域功能级别,然后在“提升域功能级别”页上选择 Windows Server 2003

    /image/gif/paws/71929/eap-tls-acs40-win2003-6.gif

  3. 单击提升,单击“确定”,然后再次单击“确定”。

步骤 4:安装并配置 DHCP

完成这些步骤:

  1. 使用“控制面板”中的“添加或删除程序”安装动态主机配置协议 (DHCP) 作为网络服务组件。

  2. 打开从管理工具文件夹的DHCP管理单元(Start > Programs > Administrative Tools > DHCP,然后突出显示DHCP服务器, DC_CA.wirelessdemo.local。

  3. 单击操作,然后单击“授权”以便授权 DHCP 服务。

  4. 在控制台结构树上,请用鼠标右键单击DC_CA.wirelessdemo.local,然后单击新的范围。

  5. 在“新建作用域向导”的“欢迎”页上,单击下一步

  6. 在“作用域名称”页上,在“名称”字段中键入 CorpNet

    /image/gif/paws/71929/eap-tls-acs40-win2003-7.gif

  7. 单击下一步 并填写以下参数:

    • 起始 IP 地址 — 172.16.100.1

    • 结束 IP 地址 — 172.16.100.254

    • 长度 - 24

    • 子网掩码 - 255.255.255.0

    eap-tls-acs40-win2003-8.gif

  8. 单击下一步,并输入 172.16.100.1 作为要排除的“起始 IP 地址”,输入 172.16.100.100 作为要排除的“结束 IP 地址”。然后,单击下一步。这将保留从 172.16.100.1 到 172.16.100.100 范围内的 IP 地址。DHCP服务器没有定量这些保留IP地址。

    /image/gif/paws/71929/eap-tls-acs40-win2003-9.gif

  9. 在“租约期限”页上,单击下一步

  10. 在“配置 DHCP 选项”页上,选择是,我想现在配置这些选项,然后单击“下一步”。

    /image/gif/paws/71929/eap-tls-acs40-win2003-10.gif

  11. 在“路由器 (默认网关)”页上,添加默认路由器地址 172.16.100.1,然后单击“下一步”。

    /image/gif/paws/71929/eap-tls-acs40-win2003-11.gif

  12. 在域名和DNS服务器页上,类型wirelessdemo.local在父域字段,IP地址字段的类型172.16.100.26,然后单击Addand其次单击

    /image/gif/paws/71929/eap-tls-acs40-win2003-12.gif

  13. 在“WINS 服务器”页上,单击下一步

  14. 在“激活作用域”页上,选择是,我想现在激活此作用域,然后单击“下一步”。

    /image/gif/paws/71929/eap-tls-acs40-win2003-13.gif

  15. 在完成新的范围向导页,请点击芬通社

步骤 5:安装证书服务

完成这些步骤:

注意: 必须在安装证书服务之前安装 IIS,并且用户应该是 Enterprise Admin OU 的一部分。

  1. 在控制面板中,开放请添加或删除程序和然后单击添加/删除Windows组件

  2. 在窗口组件向导页,请选择证书服务其次然后单击。

    /image/gif/paws/71929/eap-tls-acs40-win2003-14.gif

  3. 在“CA 类型”页上,选择企业根 CA,然后单击“下一步”。

    eap-tls-acs40-win2003-15.gif

  4. 在识别信息页的CA,请键入在公用名称的wirelessdemoca此CA方框的。您能输入其他可选详细信息其次然后单击。接受在证书数据库设置页的默认。

    /image/gif/paws/71929/eap-tls-acs40-win2003-16.gif

  5. 单击 Next。在安装完成时,单击完成

  6. 在您读关于安装IIS后的警告请点击OK键。

步骤 6:验证证书的管理员权限

完成这些步骤:

  1. 选择开始 > 管理工具 > 证书颁发机构

  2. 右键单击 wirelessdemoca CA,然后单击“属性”。

  3. 在“安全性”选项卡上,单击“组或用户名称”列表中的管理员

  4. 在“权限或管理员”列表中,验证以下选项均设置为允许

    • 颁发和管理证书

    • 管理 CA

    • 请求证书

    如果其中任意一项设置为“拒绝”或未选中,请将该权限设置为允许

    eap-tls-acs40-win2003-17.gif

  5. 单击确定关闭“wirelessdemoca CA 属性”对话框,然后关闭“证书颁发机构”。

步骤 7:向域中添加计算机

完成这些步骤:

注意: 如果计算机已添加到域中,请继续执行向域中添加用户

  1. 打开 Active Directory 用户和计算机管理单元。

  2. 在控制台树中,展开 wirelessdemo.local

  3. 右键单击用户,单击“新建”,然后单击“计算机”。

  4. 在“新建对象 – 计算机”对话框中,在“计算机名称”字段中键入计算机的名称,然后单击下一步。本示例使用计算机名称 Client

    /image/gif/paws/71929/eap-tls-acs40-win2003-18.gif

  5. 在“托管”对话框中,单击下一步

  6. 在新的对象计算机对话框中,请点击芬通社

  7. 重复步骤 3 到步骤 6,创建更多计算机帐户。

步骤 8:允许计算机进行无线访问

完成这些步骤:

  1. 在“Active Directory 用户和计算机”控制台树中,单击计算机文件夹,然后右键单击要分配无线访问权限的计算机。此示例显示与计算机客户端的步骤哪些您在步骤7.添加了。

  2. 点击属性,然后去Dial-in选项。

  3. 选择允许访问,然后单击“确定”。

步骤 9:向域中添加用户

完成这些步骤:

  1. 在“Active Directory 用户和计算机”控制台树中,右键单击用户,单击“新建”,然后单击“用户”。

  2. 在新的对象–用户对话框、类型无线用户在First Name字段和类型无线用户在用户登录名字名称字段和其次单击。

    eap-tls-acs40-win2003-19.gif

  3. 在“新建对象 – 用户”对话框中,在“密码”和“确认密码”字段中键入您选择的密码。清除用户必须在下次登录时更改密码复选框,然后单击“下一步”。

    /image/gif/paws/71929/eap-tls-acs40-win2003-20.gif

  4. 在“新建对象 – 用户”对话框中,单击完成

  5. 重复步骤 2 到步骤 4,以便创建更多用户帐户。

步骤 10:允许用户进行无线访问

完成这些步骤:

  1. 在“Active Directory 用户和计算机”控制台树中,单击用户文件夹,右键单击 wirelessuser,单击属性,然后转至拨号选项卡。

  2. 选择允许访问,然后单击“确定”。

步骤 11:向域中添加组

完成这些步骤:

  1. 在 Active Directory 用户和计算机控制台树中,右键单击“用户”,单击“新建”,然后单击“组”。

  2. 在“新建对象 – 组”对话框中,在“组名”字段中键入组的名称,然后单击确定。本文档使用组名 WirelessUsers

    eap-tls-acs40-win2003-21.gif

步骤 12:向 wirelessusers 组中添加用户

完成这些步骤:

  1. 在“Active Directory 用户和计算机”的详细信息窗格中,双击组 WirelessUsers

  2. 转至“成员”选项卡,然后单击添加

  3. 在“选择用户、联系人、计算机或组”对话框中,键入要添加到组中的用户的名称。本示例显示如何将用户 wirelessuser 添加到组中。单击 Ok

    eap-tls-acs40-win2003-22.gif

  4. 在“发现多个名称”对话框中,单击确定。此时会将 wirelessuser 用户帐户添加到 wirelessusers 组中。

    /image/gif/paws/71929/eap-tls-acs40-win2003-23.gif

  5. 单击确定,以便保存对 WirelessUsers 组的更改。

  6. 重复此过程,向该组中添加更多用户。

步骤 13:向 wirelessusers 组中添加客户端计算机

完成这些步骤:

  1. 重复本文档的向 WirelessUsers 组中添加用户部分中的步骤 1 和步骤 2。

  2. 在“选择用户、联系人或计算机”对话框中,键入要添加到组中的计算机的名称。本示例显示如何将名为 client 的计算机添加到组中。

    /image/gif/paws/71929/eap-tls-acs40-win2003-24.gif

  3. 单击对象类型,清除“用户”复选框,然后选中“计算机”。

    /image/gif/paws/71929/eap-tls-acs40-win2003-25.gif

  4. 单击确定两次。此时会将 CLIENT 计算机帐户添加到 wirelessusers 组中。

  5. 重复此过程,向该组中添加更多计算机。

在 Windows Standard 2003 上设置 Cisco Secure ACS 4.0

Cisco Secure ACS 是一台运行 Windows Server 2003 Standard Edition SP1 的计算机,为控制器提供 RADIUS 身份验证和授权。要将 ACS 配置为 RADIUS 服务器,请完成本部分中的步骤:

基本安装和配置

完成这些步骤:

  1. 安装 Windows Server 2003 Standard Edition SP1,使其成为 wirelessdemo.local 域中名为 ACS 的成员服务器

    注意: ACS 服务器的名称在余下的配置中显示为 cisco_w2003。请在余下的实验室设置中替换 ACS 或 cisco_w2003。

  2. 对于本地连接,使用 IP 地址 172.16.100.26、子网掩码 255.255.255.0 和 DNS 服务器 IP 地址 127.0.0.1 来配置 TCP/IP 协议。

Cisco Secure ACS 4.0 安装

注意: 有关如何配置 Cisco Secure ACS 4.0 for Windows 的更多信息,请参阅 Cisco Secure ACS 4.0 for Windows 安装指南

完成这些步骤:

  1. 使用域管理员帐户,请登陆到计算机被命名ACS对Cisco Secure ACS。

    注意: 只能在您已安装 Cisco Secure ACS 的计算机上执行安装。使用WINDOWS终端服务或产品被执行的远程安装例如虚拟网络计算(VNC),没有测试和不支持。

  2. 在计算机的 CD-ROM 驱动器中插入 Cisco Secure ACS CD。

  3. 如果 CD-ROM 驱动器支持 Windows 自动运行功能,就会显示“Cisco Secure ACS for Windows Server”对话框。

    注意: 如果计算机上没有安装所需的 Service Pack,将显示一个对话框。Windows Service Pack 可在安装 Cisco Secure ACS 之前或之后应用。您可以继续安装,但是必须在完成安装后应用所需的 Service Pack。否则,Cisco Secure ACS 可能不可靠。

  4. 执行这些任务之一:

    • 如果显示了“Cisco Secure ACS for Windows Server”对话框,请单击 Install

    • 如果未显示“Cisco Secure ACS for Windows Server”对话框,请运行 Cisco Secure ACS CD 根目录中的 setup.exe

  5. “Cisco Secure ACS Setup”对话框将显示软件许可协议。

  6. 阅读软件许可协议。如果您接受软件许可协议,请单击 Accept

    “Welcome”对话框显示有关安装程序的基本信息。

  7. 当您读完“Welcome”对话框中的信息后,单击 Next

  8. “Before You Begin”对话框列出了您必须在继续安装之前要完成的任务。如果您已经完成了“Before You Begin”对话框中的所有任务,请选择每一项任务的相应对话框,然后单击 Next

    注意: 如果未完成在列出的所有项目,在您开始方框前,请点击取消然后单击退出设置。当您完成“Before You Begin”对话框中列出的所有任务之后,再重新启动安装。

  9. 此时将显示“Choose Destination Location”对话框。“Destination Folder”下将显示安装位置。这是安装程序用来安装 Cisco Secure ACS 的驱动器和路径。

  10. 如果您希望更改安装位置,请完成以下步骤:

    1. 单击浏览。此时将显示“Choose Folder”对话框。“Path”框包含安装位置。

    2. 更改安装位置。您可以在“Path”框中键入新位置,也可以使用“Drives”和“Directories”列表来选择新的驱动器和目录。安装位置必须在计算机的本地驱动器上。

      注意: 请勿指定包含百分号“%”的路径。如果这么做,安装看起来能够正确进行,但是会在完成前失败。

    3. 单击 Ok

      注意: 如果指定了不存在的文件夹,安装程序会显示一个对话框,确认创建该文件夹。要继续安装,请单击 Yes

  11. 在“Choose Destination Location”对话框中,新的安装位置显示在“Destination Folder”下。

  12. 单击 Next

  13. “Authentication Database Configuration”对话框列出了有关对用户进行身份验证的选项。您可以仅使用 Cisco Secure 用户数据库进行身份验证,也可以使用 Cisco Secure 用户数据库和 Windows 用户数据库进行身份验证。

    注意: 安装完 Cisco Secure ACS 之后,不仅可以为 Windows 用户数据库配置身份验证支持,而且可以为其他所有外部用户数据库类型配置身份验证支持。

  14. 如果您希望仅使用 Cisco Secure 用户数据库对用户进行身份验证,请选中 Check the Cisco Secure ACS database only 选项。

  15. 如果除了 Cisco Secure 用户数据库以外,您还希望使用 Windows 安全访问管理器 (SAM) 用户数据库或 Active Directory 用户数据库对用户进行身份验证,请完成以下步骤:

    1. 选中 Also check the Windows User Database 选项。

    2. Yes, refer to "Grant dialin permission to user" setting 复选框就变为可用。

      注意: “Yes, refer to "Grant dialin permission to user" setting”复选框适用于由 Cisco Secure ACS 控制的所有形式的访问,而不仅仅是拨号访问。例如,访问网络的用户通过VPN通道不拨号到网络接入服务器。但是,如果选中了 Yes, refer to "Grant dialin permission to user" setting 复选框,Cisco Secure ACS 也会应用 Windows 用户拨号权限,以便决定是否向该用户授予网络访问权限。

    3. 如果您希望仅当用户的 Windows 帐户具有拨号权限时,才允许通过 Windows 域用户数据库身份验证的用户获得访问权限,请选中 Yes, refer to "Grant dialin permission to user" setting 复选框。

  16. 单击 Next

  17. 安装程序将安装 Cisco Secure ACS 并更新 Windows 注册表。

  18. “Advance Options”对话框将列出在默认情况下处于禁用状态的 Cisco Secure ACS 功能。有关这些功能的更多信息,请参阅 Cisco Secure ACS for Windows Server 4.0 用户指南

    注意: 只有在您启用了某项功能之后,该功能才会显示在 Cisco Secure ACS HTML 界面中。安装之后,您可以在“Advanced Options”页的“Interface Configuration”部分中启用或禁用它们。

  19. 对于您要启用的每项功能,请选中相应的复选框。

  20. 单击 Next

  21. 此时将显示“Active Service Monitoring”对话框。

    注意: 安装之后,您可以在“Active Service Management”页面的“System Configuration”配置部分中配置活动服务监视功能。

  22. 如果您希望 Cisco Secure ACS 监视用户身份验证服务,请选中 Enable Login Monitoring 复选框。从执行列表的脚本,请选择在验证服务失败情形下,您想要已应用的选项:

    • No Remedial Action—Cisco Secure ACS 不运行脚本。

      注意: 如果您启用了事件邮件通知,则此选项很有用。

    • Reboot—Cisco Secure ACS 运行一个脚本,以便重新引导运行了 Cisco Secure ACS 的计算机。

    • 重新启动全Cisco Secure ACS重新启动所有Cisco Secure ACS服务。

    • Restart RADIUS/TACACS+—Cisco Secure ACS 仅重新启动 RADIUS 和 TACACS+ 服务。

  23. 如果您希望 Cisco Secure ACS 在服务监视功能检测到事件时发送电子邮件消息,请选中 Mail Notification 复选框。

  24. 单击 Next

  25. 此时将显示“Database Encryption Password”对话框。

    注意: 数据库加密密码被加密并存储在 ACS 注册表中。在出现重大问题并且需要手动访问数据库时,您可能需要再次使用此密码。请保留此密码,以使技术支持能够访问数据库。密码在每个有效期内都可以更改。

  26. 输入用于加密数据库的密码。密码至少要有 8 个字符长,并且需要同时包含字符和数字。不存在无效字符。单击 Next

  27. 安装程序就会完成安装,并显示“Cisco Secure ACS Service Initiation”对话框。

  28. 对于您需要的每个“Cisco Secure ACS Services Initiation”选项,请选中相应的复选框。与选项相关的操作将在安装程序完成后执行。

    • 是,我要开始现在Cisco Secure ACS的服务开始撰写Cisco Secure ACS的Windows服务。如果您不选中此选项,则除非您重新引导计算机或启动 CSAdmin 服务,否则就不能使用 Cisco Secure ACS HTML 界面。

    • Yes, I want Setup to launch the Cisco Secure ACS Administrator from my browser following installation—在默认 Web 浏览器中为当前 Windows 用户帐户打开 Cisco Secure ACS HTML 界面。

    • Yes, I want to view the Readme File—在 Windows 记事本中打开 README.TXT 文件。

  29. 单击 Next

  30. 如果您选择了某个选项,将启动 Cisco Secure ACS 服务。“Setup Complete”对话框显示有关 Cisco Secure ACS HTML 界面的信息。

  31. 单击 完成

    注意: 其余配置在有关所配置的 EAP 类型的部分下介绍。

Cisco LWAPP 控制器配置

创建WPA2/WPA的必要的配置

完成这些步骤:

注意: 假设控制器与网络之间具有基本的连接,并且能够成功通过 IP 访问管理接口。

  1. 登陆到控制器通过浏览对https://172.16.101.252

    eap-tls-acs40-win2003-26.gif

  2. 单击 Login

  3. 用默认用户 admin 和默认密码 admin 进行登录。

  4. 创建接口VLAN映射在控制器菜单下。

  5. 单击 Interfaces

  6. 单击 New

  7. 在“Interface name”字段中,键入 Employee。(此字段可以是您喜欢的任何值。)

  8. 在“VLAN ID”字段中,键入 20。(此字段可以是网络中支持的任何 VLAN。)

  9. 单击 Apply

  10. 在显示“Interfaces > Edit”窗口时,配置相关信息。

    /image/gif/paws/71929/eap-tls-acs40-win2003-27.gif

  11. 单击 Apply

  12. 点击WLAN

  13. 单击 New

  14. 在WLAN SSID字段类型员工

  15. 单击 Apply

  16. 配置信息,此WLAN > Edit Window显示。

    注意: WPA2是此实验室的选定的Layer2加密方法。为了允许与TKIP-MIC客户端的WPA联合到此SSID,您能也检查方框WPA兼容模式允许不支持802.11i AES加密方法的WPA2 TKIP客户端或那些客户端。

    /image/gif/paws/71929/eap-tls-acs40-win2003-28.gif

  17. 单击 Apply

  18. 点击Security菜单并且添加RADIUS服务器。

  19. 单击 New

  20. 添加 RADIUS 服务器 IP 地址 (172.16.100.25),该服务器是前面配置的 ACS 服务器。

  21. 确保共享密钥与 ACS 服务器中配置的 AAA 客户端相匹配。

  22. 单击 Apply

    eap-tls-acs40-win2003-29.gif

    eap-tls-acs40-win2003-30.gif

  23. 基本配置当前完成,并且您能开始测试EAP-TLS。

EAP-TLS验证

EAP-TLS验证要求计算机和用户证书在无线客户端、EAP-TLS的新增内容作为EAP类型对Remote access Policy无线访问的和无线网络连接的重新配置。

为了配置DC_CA为计算机和用户证书提供自动注册,请完成在此部分的步骤。

注意: Microsoft 已在 Windows 2003 企业 CA 发行版中更改 Web 服务器模板以使密钥不再可导出,该选项将变灰。证书服务没有为服务器身份验证提供其他证书模板,但是可以在下拉菜单中将密钥标记为可导出,从而使您能够为服务器身份验证创建新模板。

注意: Windows 2000 允许使用可导出的密钥,因此如果您使用的是 Windows 2000,则不需要执行以下步骤。

安装证书模板管理单元

完成这些步骤:

  1. 选择“开始”>“运行”,键入 mmc,然后单击“确定”。

  2. 在“文件”菜单上,单击添加/删除管理单元,然后单击“添加”。

  3. 在“管理单元”下,双击证书模板,单击“关闭”,然后单击“确定”。

  4. 在控制台树中,单击证书模板。所有证书模板都将显示在“详细信息”窗格中。

  5. 要跳过步骤 2 到步骤 4,请键入 certtmpl.msc,以打开“证书模板”管理单元。

    /image/gif/paws/71929/eap-tls-acs40-win2003-31.gif

为 ACS Web Server 创建证书模板

完成这些步骤:

  1. 在“证书模板”管理单元的“详细信息”窗格中,单击 Web Server 模板。

  2. 在“操作”菜单上,单击复制模板

    /image/gif/paws/71929/eap-tls-acs40-win2003-32.gif

  3. 在“模板显示名称”字段中,键入 ACS

    eap-tls-acs40-win2003-33.gif

  4. 转到“请求处理”选项卡,并选中允许导出私钥

    eap-tls-acs40-win2003-34.gif

  5. 选择请求必须使用以下的一个 CSP 并选中“Microsoft Base Cryptographic Provider v1.0”。取消选中其他任何选中的 CSP,然后单击确定

    /image/gif/paws/71929/eap-tls-acs40-win2003-35.gif

  6. 转至“使用者名称”选项卡,选择在请求中提供,然后单击“确定”。

    eap-tls-acs40-win2003-36.gif

  7. 转至“安全性”选项卡,突出显示域管理员组,并确保在“允许”下选中“注册”选项。

    重要信息:如果选择从仅此活动目录信息构件,检查主体名称(UPN)和不选定请包括电子邮件名称在主题名称和电子邮件名称,因为电子邮件名称未为在卡扣式的激活目录用户和计算机的无线用户帐户输入。如果您不禁用这两个选项,自动注册功能将尝试使用电子邮件,这会导致自动注册错误。

    /image/gif/paws/71929/eap-tls-acs40-win2003-37.gif

  8. 如果需要,还有一些附加的安全措施,可防止证书被自动推出。这些措施可以在“颁发要求”选项卡下找到。此内容在本文档中不做进一步讨论。

    /image/gif/paws/71929/eap-tls-acs40-win2003-38.gif

  9. 单击确定,以便保存模板,并从“证书颁发机构”管理单元发布此模板。

启用新的 ACS Web Server 证书模板

完成这些步骤:

  1. 打开“证书颁发机构”管理单元。按照为 ACS Web Server 创建证书模板部分中的步骤 1 到步骤 3,选择证书颁发机构选项,选择“本地计算机”,然后单击“完成”。

    eap-tls-acs40-win2003-39.gif

  2. 在控制台树中,展开 wirelessdemoca,然后右键单击“证书模板”。

    /image/gif/paws/71929/eap-tls-acs40-win2003-40.gif

  3. 选择新>发行的认证模板

  4. 单击 ACS 证书模板。

    /image/gif/paws/71929/eap-tls-acs40-win2003-41.gif

  5. 单击确定,然后打开“Active Directory 用户和计算机”管理单元。

  6. 在控制台结构树中,请双击激活目录用户和计算机,用鼠标右键单击wirelessdemo.local域和然后单击属性

    /image/gif/paws/71929/eap-tls-acs40-win2003-42.gif

  7. 在“组策略”选项卡上,单击默认域策略,然后单击“编辑”。这将打开“组策略对象编辑器”管理单元。

    eap-tls-acs40-win2003-43.gif

  8. 在控制台树中,展开计算机配置 > Windows 设置 > 安全设置 > 公钥策略,然后选择“自动证书申请设置”。

    /image/gif/paws/71929/eap-tls-acs40-win2003-44.gif

  9. 右键单击自动证书申请设置,然后选择“新建”>“自动证书申请”。

  10. 在“欢迎使用自动证书申请设置向导”页上,单击下一步

  11. 在“证书模板”页上,单击计算机,然后单击“下一步”。

    eap-tls-acs40-win2003-45.gif

  12. 在完成自动证书请求设置向导页,请点击芬通社

    “计算机”证书类型现在就会显示在“组策略对象编辑器”管理单元的详细信息窗格中。

    eap-tls-acs40-win2003-46.gif

  13. 在控制台树中,展开用户配置 > Windows 设置 > 安全设置 > 公钥策略

    /image/gif/paws/71929/eap-tls-acs40-win2003-47.gif

  14. 在详细信息窗格中,双击自动注册设置

  15. 选择自动注册证书,然后选中“续订过期证书、更新未决证书并删除吊销的证书”和“更新使用证书模板的证书”。

    eap-tls-acs40-win2003-48.gif

  16. 单击 Ok

ACS 4.0 证书设置

为 ACS 配置可导出的证书

重要信息:ACS服务器必须从企业根CA服务器获取服务器证书为了验证WLAN EAP-TLS客户端。

重要信息:保证IIS管理器在证书安装过程中不是开放的,因为引起问题由于缓存的信息。

  1. 用具有“Enterprise Admin”权限的帐户登录 ACS 服务器。

  2. 在本地 ACS 计算机上,使 Microsoft 证书颁发机构服务器上的浏览器指向 http://IP-address-of-Root-CA/certsrv。在本示例中,IP 地址是 172.16.100.26

  3. Administrator 的身份登录。

    eap-tls-acs40-win2003-49.gif

  4. 选择申请一个证书,然后单击“下一步”。

    eap-tls-acs40-win2003-50.gif

  5. 选择高级请求并且其次点击。

    eap-tls-acs40-win2003-51.gif

  6. 选择创建并向此 CA 提交一个申请,然后单击“下一步”。

    重要信息:此步骤的原因是 Windows 2003 不允许使用可导出的密钥,您必须基于前面创建的 ACS 证书来生成证书请求。

    eap-tls-acs40-win2003-52.gif

  7. 从认证模板,请选择认证模板创建的及早名为ACS。选择模板之后,所显示的选项会随之变化。

  8. 名称配置为 ACS 服务器的完全限定的域名。在本示例中,ACS 服务器的名称为 cisco_w2003.wirelessdemo.local。确保选中将证书保存在本地计算机存储中,然后单击“提交”。

    /image/gif/paws/71929/eap-tls-acs40-win2003-53.gif

  9. 一弹出警告关于可能性执行脚本侵害的窗口出现。单击 Yes

    eap-tls-acs40-win2003-54.gif

  10. 单击 Install this certificate

    /image/gif/paws/71929/eap-tls-acs40-win2003-55.gif

  11. 此时将再次显示一个弹出窗口,警告可能出现脚本冲突。单击 Yes

    eap-tls-acs40-win2003-56.gif

  12. 当您单击后,就会安装证书。

    /image/gif/paws/71929/eap-tls-acs40-win2003-57.gif

  13. 这时,证书在证书文件夹安装。为了访问此文件夹,请选择Start > Run,键入mmc,按回车,并且选择个人>证书

    eap-tls-acs40-win2003-58.gif

  14. 请注意,证书安装在本地计算机(本示例中为 ACS 或 cisco_w2003)上,您需要为 ACS 4.0 证书文件配置生成证书文件 (.cer)。

  15. 在 ACS 服务器(本示例中为 cisco_w2003)上,使 Microsoft 证书颁发机构服务器上的浏览器指向 http://172.16.100.26/certsrv

在 ACS 4.0 软件中安装证书

完成这些步骤:

  1. 在 ACS 服务器(本示例中为 cisco_w2003)上,使 Microsoft CA 服务器上的浏览器指向 http://172.16.100.26/certsrv

  2. 从“选择一个任务”选项中选择下载 CA 证书、证书链或 CRL

  3. 选择 Base 64 无线电编码方法,然后单击“下载 CA 证书”。

    eap-tls-acs40-win2003-59.gif

  4. 此时将显示“文件下载安全警告”窗口。单击 Save

    eap-tls-acs40-win2003-60.gif

  5. 用 ACS.cer 或您需要的任意名称保存文件。请记住此名称,因为您在 ACS 4.0 中设置 ACS 证书颁发机构的过程中要用到它。

    eap-tls-acs40-win2003-61.gif

  6. 从安装过程中创建的桌面快捷方式打开 ACS Admin

  7. 单击 System Configuration

    /image/gif/paws/71929/eap-tls-acs40-win2003-62.gif

  8. 单击 ACS Certificate Setup

    /image/gif/paws/71929/eap-tls-acs40-win2003-63.gif

  9. 单击 Install ACS Certificate

    /image/gif/paws/71929/eap-tls-acs40-win2003-64.gif

  10. 选择 Use certificate from storage 并键入完全限定的域名 cisco_w2003.wirelessdemo.local(如果您使用 ACS 作为名称,则为 ACS.wirelessdemo.local)。

    /image/gif/paws/71929/eap-tls-acs40-win2003-65.gif

  11. 单击 submit

    eap-tls-acs40-win2003-66.gif

  12. 单击 System Configuration

  13. 单击 Service Control,然后单击“Restart”。

    eap-tls-acs40-win2003-67.gif

  14. 单击 System Configuration

  15. 单击 Global Authentication Setup

  16. 检查允许EAP-TLS和所有方框在它下。

    /image/gif/paws/71929/eap-tls-acs40-win2003-68.gif

  17. 单击 Submit+ Restart

  18. 单击 System Configuration

  19. 单击 ACS Certification Authority Setup

  20. 在“ACS Certification Authority Setup”窗口下,键入前面创建的 *.cer 文件的名称和位置。在本示例中,所创建的 *.cer 文件是 c:\ 根目录中的 ACS.cer

  21. 在“CA certificate file”字段中键入 c:\acs.cer,然后单击“Submit”。

    eap-tls-acs40-win2003-69.gif

  22. 重新启动 ACS 服务。

EAP-TLS的客户端配置使用Windows零联系

客户端是运行Windows XP Professional以SP2作为无线客户端并且通过无线AP获取对内联网资源的访问的计算机。要将 CLIENT 配置为无线客户端,请完成本部分中的步骤。

执行基本安装和配置

完成这些步骤:

  1. 联络客户端对内联网网段使用以太网电缆连接对交换机。

  2. 在客户端,请安装有SP2的Windows XP Professional作为名为wirelessdemo.local域的CLIENT的成员计算机。

  3. 安装 Windows XP Professional SP2。必须安装这为了有EAP-TLS和PEAP支持。

    注意: Windows 防火墙在 Windows XP Professional SP2 中会自动打开。请勿关闭防火墙。

配置无线网络连接

完成这些步骤:

  1. 注销,然后使用 wirelessdemo.local 域中的 WirelessUser 帐户重新登录。

    注意: 更新计算机和用户配置分组策略设置并且通过键入gpupdate立即获取一个计算机和用户证书无线客户端计算机的,在prompt命令。否则,当您注销然后登录时,它执行功能和gpupdate一样。您必须被注册到域通过连接在电线。

    注意: 为了验证证书在客户端自动地安装,请打开证书MMC并且验证无线用户证书是可用的在个人证书文件夹。

    /image/gif/paws/71929/eap-tls-acs40-win2003-70.gif

  2. 选择开始 > 控制面板,双击“网络连接”,然后右键单击“无线网络连接”。

  3. 点击属性,去Wireless Networks选项,并且保证配置用户的Windows我的无线网络设置被检查。

    eap-tls-acs40-win2003-71.gif

  4. 单击 Add

  5. 去关联选项卡,并且键入员工在网络名(SSID)字段。

  6. 保证数据加密设置为WEP,并且密钥为我提供自动地被检查。

    /image/gif/paws/71929/eap-tls-acs40-win2003-72.gif

  7. 转至“身份验证”选项卡。

  8. 验证EAP类型配置使用智能卡或其他证书。如果不是,请从下拉菜单中选择此选项。

  9. 如果希望在之前允许登录脚本或组策略推送应用)的登录将验证的计算机(选择选项验证作为计算机,当计算机信息是可用的时

    eap-tls-acs40-win2003-73.gif

  10. 单击 Properties

  11. 保证在此窗口的方框被检查。

    /image/gif/paws/71929/eap-tls-acs40-win2003-74.gif

  12. 单击 OK 三次。

  13. 右键单击系统任务栏中的无线网络连接图标,然后单击查看可用的无线网络

  14. 单击 Employee 无线网络并单击“连接”。

    eap-tls-acs40-win2003-75.gif

    以下屏幕截图显示连接是否成功完成。

    /image/gif/paws/71929/eap-tls-acs40-win2003-76.gif

    eap-tls-acs40-win2003-77.gif

    eap-tls-acs40-win2003-78.gif

    eap-tls-acs40-win2003-79.gif

  15. 在验证是成功的后,通过使用网络连接,请检查TCP/IP配置无线适配器。它的地址范围 172.16.100.100-172.16.100.254 应该来自 DHCP 范围或为无线客户端创建的范围。

  16. 要测试功能,请打开浏览器,并浏览到 http://wirelessdemoca(或企业 CA 服务器的 IP 地址)。

相关的思科支持社区讨论

思科支持社区是您提问、解答问题、分享建议以及与工作伙伴协作的论坛。


相关信息


Document ID: 71929