安全 : 用于 Windows 的思科安全访问控制服务器

EAP-TLS版本1.01配置指南

2015 年 8 月 28 日 - 机器翻译
其他版本: PDFpdf | 英语 (2014 年 8 月 12 日) | 反馈


目录


简介

本文为扩展验证传输层安全(EAP-TLS)版本1.01提供一配置示例。

注意: 本文假设,您使用微软认证授权(CA)。当您能使用自签名证书时,思科高度劝阻此实践,并且本文不包括自签名证书。自签名证书的默认有效期期限只是一年,并且您不能更改此设置。这为服务器证书是相当标准。然而,自签名证书也作为根CA证书。所以,除非不检查" Validate server certificate "选项,您需要每年安装在每个客户端的新证书。实时CA一定取得到无论如何获取客户端证书,然后确实没有原因使用与EAP-TLS的自签名证书。

先决条件

要求

本文档没有任何特定的要求。

使用的组件

本文档中的信息基于以下软件和硬件版本:

  • 接入点(AP) 12.02T1

  • 访问控制服务器(ACS) 3.1, 3.2和3.3

  • Windows 2000和XP

  • 企业根Certificate Authority (CA)

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您使用的是真实网络,请确保您已经了解所有命令的潜在影响。

规则

有关文档规则的详细信息,请参阅 Cisco 技术提示规则

配置

本部分提供有关如何配置本文档所述功能的信息。

注意: 使用命令查找工具仅限注册用户)可获取有关本部分所使用命令的详细信息。

安装 Microsoft 证书 (CA) 服务器

完成这些步骤:

  1. 选择开始 > 设置 > 控制面板

  2. 点击添加/删除程序在控制面板中。

  3. 选择添加/删除Windows组件

  4. 选择证书服务。

  5. 单击 Next

  6. 对 IIS 消息单击

  7. 选择一个独立(或企业)根CA。

  8. 单击 Next

  9. 为该 CA 命名。

    注意: 所有其他框都是可选的。

    注意: 因为这能造成PEAP客户端发生故障验证,请勿使用同一名称CA象ACS服务器。当服务器证书迷惑PEAP客户端,与同样的一个根CA证书命名。此问题并非 Cisco 客户端独有。当然,如果不计划使用PEAP,这不应用。

  10. 单击 Next

    数据库默认设置正确。

  11. 单击 Next

    在安装 CA 前,必须安装 IIS。

创建服务器证书

完成这些步骤:

  1. 浏览对CA (从您的ACS服务器的http://IP_of_CA_server/certsrv/)

  2. 选中 Request a certificate 框。

  3. 单击 Next

  4. 选择高级请求

  5. 单击 Next

  6. 使用表,选择提交证书请求对此CA

  7. 单击 Next

  8. 在命名(CN)方框中键入名称。

  9. 检查服务器验证证书方框打算的目的。

    注意: 如果使用企业CA,请选择在第一列表的Web服务器

  10. 选择这些选项在关键选项创建一个新的模板下:

    • CSP —微软Base Cryptographic供应者v1.0

    • 密钥大小— 1024

      注意: 证书创建与极大密钥大小比1024能工作为HTTPS,但是不为PEAP。

      注意: Windows 2003年企业CA允许极大密钥大小比1024,但是关键大于1024不与PEAP一起使用。验证在ACS能看上去通过,但是客户端暂停在认证尝试。

    • 检查马克密钥作为可导出选项

      注意: Microsoft 已在 Windows 2003 企业 CA 发行版中更改 Web 服务器模板。使用此模板更改,您能不再导出密钥,并且选项变灰。没有与是为服务器验证,或者给能力标记密钥如可导出的证书服务一起提供的其他认证模板。要创建一个可实现此功能的新模板,请参阅创建新证书模板部分。

    • 检查使用本地机器存储选项

    注意: 保留所有其它选项的默认选择。

  11. 单击 submit

    您必须收到此消息:您的证书请求已收到。

创建新证书模板

完成这些步骤:

  1. 选择Start > Run

  2. 键入Run对话框的certtmpl.msc,并且按回车。

  3. 用鼠标右键单击Web服务器模板,并且选择重复的模板

  4. 给出模板,例如, ACS。

  5. 选择处理选项卡的请求

  6. 检查允许专用密钥是导出的选项。

  7. 选择CSPs按钮。

  8. 检查微软Base Cryptographic供应者v1.0选项。

  9. 单击 Ok

    注意: 保留所有其它选项的默认选择。

  10. 单击 Apply

  11. 单击 Ok

  12. 打开 CA MMC 管理单元。

  13. 用鼠标右键单击认证模板,并且选择新>发出的认证模板

  14. 选择您创建的新模板。

  15. 单击 Ok

  16. 重新启动 CA。

    新的模板在认证模板列表包括。

有时,当您尝试创建新证书时, “失败的创建‘CertificateAuthority.Request’对象”错误发生。

完成这些步骤为了更正此错误:

  1. 选择开始 > 管理工具 > IIS

  2. 展开网站 > 默认网站

  3. 用鼠标右键单击CertSrv,并且选择属性

  4. 在“虚拟目录”选项卡的“应用程序设置”部分中单击配置按钮。

  5. 选择选项卡

  6. 检查Enable (event)会话状态选项。

    注意: 保留所有其它选项的默认选择。

  7. 单击确定两次。

  8. 重新启动 IIS。

    注意: 在模式未为2003年与adprep/forestprep/domainprep的兼容性准备的2000年域的2003 CA不与EAP一起使用。如果您的浏览器锁定与“下载Activex控件”消息,您需要运行在此URL的修正:http://support.microsoft.com/default.aspx?scid=kb%3Ben-us%3B330389leavingcisco.com

    注意: 如果CSP字段显示“加载….”请保证您没有提交请求在计算机的一软件防火墙。ZoneLabs' ZoneAlarm几乎每次导致此错误。某一其它软件能也导致此错误。

批准来自 CA 的证书

完成这些步骤:

  1. 选择 Start > Programs > Administrative Tools > Certificate Authority

  2. 展开在左窗格的证书。

  3. 选择等待请求

  4. 右键单击该证书。

  5. 选择所有任务。

  6. 选择问题

安装在Windows服务器的证书

将服务器证书下载到 ACS 服务器

完成这些步骤:

  1. 浏览对CA (从您的ACS服务器的http://IP_of_CA_server/certsrv/)

  2. 选择在一待定证书的检查

  3. 单击 Next

  4. 选择证书。

  5. 单击 Next

  6. 单击 Install

在 ACS 服务器上安装 CA 证书

注意: 这些步骤不是必要的ACS和CA是否在同一个服务器安装。

    完成这些步骤:

  1. 从 ACS 服务器浏览到 CA (http://IP_of_CA_server/certsrv/)。

  2. 选择获取CA证书或证书撤销列表

  3. 单击 Next

  4. 选择编码的Base64

  5. 单击下载 CA 证书

  6. 单击 Open(打开)。

  7. 单击 Install Certificate

  8. 单击 Next

  9. 在以下存储选择地方所有证书

  10. 单击浏览

  11. 选中显示物理存储区框。

  12. 展开可靠的根证书颁发机构授权表。

  13. 选择本地计算机。

  14. 单击 Ok

  15. 单击 Next

  16. 单击 完成

    消息框出现。

  17. 单击 Ok

    注意: 如果您的客户端证书通过CA创建与您的服务器证书不同,您必须重复在客户端证书创建和所有中间CA这些步骤涉及的根CA的。

使用服务器证书的设置ACS

完成这些步骤:

  1. 点击在ACS服务器的系统配置

  2. 选择ACS证书设置

  3. 选择安装ACS证书

  4. 选择 Use certificate from storage

  5. 输入CN名称(您输入创建步骤8服务器证书部分)的同一名称。

  6. 单击 submit

  7. 点击在ACS服务器的系统配置

  8. 选择ACS证书设置

  9. 选择编辑证书信任列表

  10. 检查CA方框。

  11. 单击 submit

创建证书签名请求

完成这些步骤:

  1. 设置的系统配置> ACS证书>生成证书签名请求

  2. cn=name格式的证书主题字段键入一名称。

  3. 键入一名称对于专用密钥文件。

    注意: 此字段缓存路径对专用密钥。所以,如果单击请提交第二次,在CSR创建后,专用密钥覆盖和不会匹配原始CSR。当您尝试安装服务器证书时,这能导致“专用密钥不匹配”错误。

  4. 键入专用密钥密码。

  5. 请确认密码。

  6. 选择 1024 的密钥长度。

    注意: ACS能生成极大密钥大小比1024。然而,关键大于1024不与EAP一起使用。验证在ACS能看上去通过,但是客户端暂停在认证尝试。

  7. 单击 submit

  8. 复制在右边的CSR输出提交到CA。

请使用您的CSR创建服务器证书

完成这些步骤:

  1. 浏览对CA (从您的FTP服务器的http://IP_of_CA_server/certsrv/)

  2. 选择请求身份验证选项

  3. 单击 Next

  4. 选择高级请求

  5. 单击 Next

  6. 使用a base64 encoded PKCS -7 file,选择提交证书请求使用a base64 encoded PKCS -10 file或续订请求

  7. 粘贴从创建的步骤8的输出证书签名请求部分到Base64编码的证书请求字段。

  8. 单击 submit

  9. 单击下载 CA 证书

  10. 点击“Save”,键入一名称对于证书,并且保存它对您的FTP目录。

安装在Windows设备的证书

将 CA 证书下载到您的 FTP 服务器

完成这些步骤:

  1. 浏览对CA (从您的FTP服务器的http://IP_of_CA_server/certsrv/)

  2. 选择获取CA证书或证书撤销列表

  3. 单击 Next

  4. 选择编码的Base64

  5. 单击下载 CA 证书

  6. 点击“Save”,键入一名称对于证书,并且保存它对您的FTP目录。

在您的设备上安装 CA 证书

完成下面这些步骤。

  1. 设置的系统配置> ACS证书> ACS证书颁发机构设置

  2. 单击 Download CA certificate file

  3. 在 FTP Server 字段中键入 FTP 服务器的 IP 地址或主机名。

  4. 键入Cisco Secure ACS能使用访问FTP服务器在洛金字段的有效用户名。

  5. 在密码字段键入用户名的正确密码。

  6. 在 Remote FTP Directory 字段中键入从 FTP 服务器根目录到包含 CA 证书文件的目录的相对路径。

  7. 在 Remote FTP File Name 字段中键入 CA 证书文件的名称。

  8. 单击 submit

  9. 验证字段中的文件名。

  10. 单击 submit

  11. System Configuration > Service Control 中重新启动 ACS 服务。

    注意: 如果跳过在下载CA证书对您的FTP服务器安装CA证书的步骤在您的这两个情况的设备第一部分能出现:

    • 您不能启用EAP-TLS,并且错误消息看上去阐明,服务器证书没有安装,即使证书安装。

    • 或者, EAP类型没配置的失败在失败的尝试发生,即使EAP类型配置。

    注意: 并且请注意,如果使用中间CA创建您的服务器证书,您需要重复每个CA的这些步骤在根CA和服务器证书之间的一系列(包括根CA证书)。另外,如果通过CA创建您的客户端证书与您的服务器证书不同,您必须重复在客户端证书创建和所有中间CA这些步骤涉及的根CA的。

在您的设备的安装服务器证书

完成这些步骤:

  1. 系统配置> ACS证书设置

  2. 单击 Install ACS Certificate

  3. 选择从文件选项的读的证书。

  4. 点击下载证书文件链路。

  5. 在 FTP Server 字段中键入 FTP 服务器的 IP 地址或主机名。

  6. 键入Cisco Secure ACS能使用访问FTP服务器在洛金字段的有效用户名。

  7. 在密码字段键入正确密码。

  8. 在 Remote FTP Directory 字段中键入从 FTP 服务器根目录到包含服务器证书文件的目录的相对路径。

  9. 在 Remote FTP File Name 字段中键入服务器证书文件的名称。

  10. 单击 submit

  11. 键入路径和密码专用密钥的。参考的步骤3和4创建证书签名请求部分。

  12. 单击 submit

其他任务

配置全局验证设置

完成这些步骤:

  1. 点击在ACS服务器的系统配置

  2. 单击 Global Authentication Setup

  3. 检查允许EAP-TLS

  4. 选择一个或更多证书验证选项。如果选择所有方法, ACS依顺序尝试每个方法,直到成功验证发生或直到最后方法出故障。

  5. 单击 submit

  6. 重新启动 PC。

在 ACS 上设置 AP

要在 ACS 上设置 AP,请完成以下步骤:

  1. 点击在ACS服务器的网络配置

  2. 单击 Add Entry 以添加 AAA 客户端。

  3. 指定在方框的这些值:

    • AAA客户端IP地址- IP_of_your_AP

    • 关键字-组成密钥(请确定关键字符合AP共有的密钥)

    • 认证使用- RADIUS (Cisco Aironet)

  4. 单击 submit

  5. 重新启动 PC。

    注意: 请勿更改其中任一在AAA客户端设置的默认。

配置 AP

注意: 网络EAP是必要的是否要安装ACU。

如果使用广播密钥交替,您不需要设置密钥,当必须已经设置密钥。如果密钥没有设置,请去设置> Radio预付款和设置广播密钥交替的一个值。您很可能不需要设置此其中任一更低然后5分钟(300秒)。在您设置值后,请点击OK键,并且回到无线数据加密页。

VxWorks

完成这些步骤:

  1. 打开AP。

  2. 选择Setup > Security >认证服务器

  3. 输入ACS IP地址。

  4. 输入共享机密。此值必须匹配ACS密钥。

  5. 检查EAP验证方框。

  6. 单击 Ok

  7. 选择 Setup > Security > Radio Data Encryption

  8. 检查开放方框。

  9. 如果不使用广播密钥交替,请选择WEP密钥1128

  10. 请由站点更改Use of Data Encryption对完全加密(如果不能更改此,单击首先应用)。

  11. 单击 Ok

IOS AP Web接口

完成这些步骤:

  1. 选择安全>Server经理

  2. 从当前服务器列表选择RADIUS。

  3. 键入ACS IP地址。

  4. 键入共享机密。此值必须匹配在ACS的密钥。

  5. 检查EAP验证方框。

  6. 从EAP验证列表,请选择RADIUS服务器的IP地址。

  7. 点击OK键在警告对话框的。

  8. 单击 Apply

SSID管理器(仅WEP加密)

完成仅WEP加密的这些步骤:

  1. 从当前SSID列表选择SSID或者指定在SSID字段的一新的SSID。

  2. 检查开放式验证方框。

  3. 选择与EAP从列表。

  4. 检查网络EAP方框。

  5. 单击 Apply

加密管理器(仅WEP加密)

完成仅WEP加密的这些步骤:

  1. 选择 Security > Encryption Manager

  2. 点击WEP加密单选按钮。

  3. 从列表选择必须。

  4. 点击加密密钥1单选按钮。

  5. 指定密钥。

  6. 从密钥大小列表选择128

  7. 单击 Apply

    注意: 如果使用 WPA,则配置将有所不同。请参阅WPA密钥管理补充在本文结束时关于详细信息。

下载并且安装客户端的根CA证书

此步骤为EAP-TLS的每个客户端在该客户端要求能工作。完成这些步骤:

  1. 浏览对CA (从客户端PC的http://IP_of_CA_server/certsrv/)

  2. 选择获取CA证书

  3. 单击 Next

  4. 选择编码的Base64

  5. 单击下载 CA 证书

  6. 单击 Open(打开)。

  7. 单击 Install Certificate

  8. 单击 Next

  9. 在以下存储选择地方所有证书

  10. 单击浏览

  11. 选中显示物理存储区框。

  12. 展开可靠的根证书颁发机构,并且选择本地计算机

  13. 单击 Ok

  14. 单击 Next

  15. 单击 完成

  16. 点击OK键在消息框的用导入是成功的消息。

创建客户端证书

企业CA

完成这些步骤:

  1. 浏览对CA (从客户端的用户帐户的http://IP_of_CA_server/certsrv/)

  2. 选择请求身份验证选项

  3. 单击 Next

  4. 选择高级请求

  5. 单击 Next

  6. 使用表,选择提交证书请求对此CA

  7. 单击 Next

  8. 选择认证模板列表的用户

  9. 设置这些值在关键选项下:

    • CSP —微软Base Cryptographic供应者v1.0

    • 密钥大小— 1024

    • 所有其它选项—保留默认值

  10. 单击 submit

    消息框显现您的证书请求是接收的…消息。

独立CA

完成这些步骤:

  1. 浏览对CA (从客户端的用户帐户的http://IP_of_CA_server/certsrv/)

  2. 选择请求身份验证选项

  3. 单击 Next

  4. 选择高级请求

  5. 单击 Next

  6. 使用表,选择提交证书请求对此CA

  7. 单击 Next

  8. 在CN字段键入用户名。此值必须匹配在身份验证数据库的用户名。

  9. 选择打算的目的客户端身份验证证书。

  10. 设置这些值在关键选项下:

    • CSP —微软Base Cryptographic供应者v1.0

    • 密钥大小— 1024

    • 所有其它选项—保留默认值

  11. 单击 submit

    消息框显现您的证书请求是接收的…消息。

审批从CA的客户端证书

完成这些步骤:

  1. 选择Start > Programs > Administrative Tools >认证机关打开CA。

  2. 展开在左边的证书。

  3. 单击等待请求

  4. 用鼠标右键单击在证书并且选择所有任务。

  5. 选择问题

安装在客户端PC的客户端证书

完成这些步骤:

  1. 浏览对CA (从客户端的用户帐户的http://IP_of_CA_server/certsrv/)

  2. 选择在一待定证书的检查

  3. 单击 Next

  4. 选择证书。

  5. 单击 Next

  6. 单击 Install

    注意: 为了验证认证安装,去微软Internet Explorer和选择工具> Internet选项>内容>证书。与记录在用户ID或用户名的名称的一证书一定存在。

委托在ACS的客户端证书

只有当客户端证书和服务器证书通过不同的CA,创建您需要执行这些步骤。

  1. 保证根CA证书和半成品CA证书根据在安装的步骤安装在ACS服务器的CA证书并且安装在您的设备部分的CA证书

  2. 去在ACS > ACS证书设置的系统配置

  3. 单击 Edit Certificate Trust List

  4. 在创建客户端证书的根CA旁边检查方框。

  5. 单击 submit

设置EAP-TLS的客户端

完成这些步骤:

  1. 选择开始 > 控制面板 > 网络连接

  2. 用鼠标右键单击无线网络,并且选择属性

  3. 点击无线网络选项卡。

  4. 保证配置使用的windows…被检查。

  5. 如果看到在列表的SSID请单击配置。否则,单击添加

  6. 放置在SSID。

  7. 检查WEP,并且密钥为我自动地提供复选框。

  8. 选择Authentication选项

    注意: 如果看不到Authentication选项, 802.1X服务在禁用状态安装。为了解决此问题,您必须启用在服务列表的无线配置服务。完成这些步骤:

    1. 用鼠标右键单击我的计算机,并且选择管理

    2. 单击 Services and Applications

    3. 单击 Services

    4. 将服务的启动值设置为 Automatic。

    5. 启动服务。

    注意: 如果“身份验证”选项卡存在但不可用,这表明网络适配器驱动程序无法正确支持 802.1x。参考使用在运行Windows 2000的客户端计算机的802.1x验证leavingcisco.com

  9. 保证enable (event)网络访问控制使用…被检查。

  10. 选择智能卡或其他证书EAP类型的,并且点击属性

  11. 选择在此计算机选项的使用身份验证

  12. 检查使用简单证书选择复选框。

  13. 选中“受信任的根证书”下 CA 的框。

  14. 点击OK键三倍。

计算机身份验证补充

EAP-TLS计算机验证要求活动目录,并且企业根CA.为了获取EAP-TLS计算机验证的一证书,计算机必须有连接到企业CA通过有线连接或通过与禁用的802.1x安全的无线连接。这是获取有效机器认证的唯一方法(与“计算机”在“认证模板”领域)。当完成,机器认证在证书(本地计算机)在证书(本地计算机) MMC管理单元安装>个人>证书文件夹,当查看。证书在主题和SAN字段包含完全合格的AD机器名字。具有计算机名称,但是的证书未创建正如此部分所描述不是真的机器认证(与“计算机”在认证模板领域)。这样证书没有使用计算机验证,但是OS相当看到这样证书作为普通用户证书。

允许计算机验证的设置ACS

完成这些步骤:

  1. 外部用户数据库>数据库配置

  2. 单击 Windows Database

  3. 单击 Configure

  4. 检查Enable (event) EAP-TLS计算机验证复选框。

  5. 单击 submit

配置证书自动注册的域

完成这些步骤:

  1. 打开用户和计算机在域控制器的MMC管理单元。

  2. 用鼠标右键单击域条目并且选择属性

  3. Group Policy选项

  4. 选择默认域策略

  5. 单击 Edit

  6. Computer Configuration > Windows Settings > Security Settings >公共密钥策略

  7. 用鼠标右键单击自动证书请求设置

  8. 选择新>自动证书请求

  9. 单击 Next

  10. 突出显示计算机

  11. 单击 Next

  12. 检查企业CA。

  13. 单击 Next

  14. 单击 完成

设置计算机验证的客户端

加入域

如果客户端加入域,在您已配置的自动注册,证书必须发出到计算机前,当下次您重新启动计算机,在自动注册配置,不用需要答辩计算机对域以后。

完成这些步骤加入域:

  1. 使用具有管理员权限的帐户登录到 Windows。

  2. 右键单击我的电脑并选择“属性”。

  3. 选择Computer Name选项

  4. 单击 Change

  5. 键入在Computer Name字段的主机名。

  6. 选择

  7. 键入域的名称。

  8. 单击 Ok

    登录对话框出现。

  9. 登陆与有权限加入域帐户的凭证。

    计算机加入域。

  10. 重新启动计算机。

    计算机当前是域的成员,并且有安装的CA的一证书和机器认证。

设置计算机验证的EAP-TLS请求方

完成这些步骤:

  1. 选择开始 > 控制面板 > 网络连接

  2. 用鼠标右键单击网络连接并且选择属性

  3. 选择Authentication选项

  4. 检查验证作为计算机

WPA 密钥管理补充

此部分是可适用的对与WPA ICM Hotfixes的Cisco IOS AP 12.02(13)JA1、ACS 3.2和XP SP1。根据在此部分的文档, Windows 2000客户端不本地支持WPA密钥管理,并且您必须使用供应商的客户端软件为了获得此支持。WPA无线安全更新的参考的概述在Windows XP的leavingcisco.com

Cisco ACU当前不支持招待基础的EAP的WPA密钥管理(EAP-TLS和PEAP)。您必须安装一个第三方客户端,例如, Funk冒险旅行客户端或者Meetinghouse支持客户端。Windows的参考的无线LAN适配器文档欲知关于思科产品的WPA支持的详情。此信息是可适用的对Windows莫比尔也2003个(掌上电脑)客户端。

WPA密钥管理基本上是相同的,但是有所不同在这两个步骤:

  1. 配置AP。

  2. 设置EAP-TLS和WPA的XP客户端。

配置 AP

完成这些步骤:

  1. 安全>加密管理器

  2. 点击WEP密码器选项。

  3. 选择TKIP

  4. 单击 Apply

  5. 安全> SSID管理器

  6. 从当前SSID列表选择SSID。或者,您能指定在SSID字段的一新的SSID。

  7. 检查开放式验证

  8. 选择与EAP从列表。

  9. 选中 Network EAP

  10. 选择必须从列表在验证密钥管理下。

  11. 点击WPA

  12. 单击 Apply

设置EAP-TLS和WPA的XP客户端

完成这些步骤:

  1. 选择开始 > 控制面板 > 网络连接

  2. 用鼠标右键单击无线网络,并且选择属性

  3. 选择无线网络选项卡。

  4. 保证配置使用的windows选项被检查。

  5. 如果看到在列表的SSID请单击配置。否则,单击添加

  6. 放置在SSID。

  7. 选择网络验证的WPA

  8. 选择数据加密的TKIP

  9. 选择Authentication选项

  10. 保证enable (event)网络访问控制使用被检查。

  11. 选择智能卡或其他证书EAP类型的。

  12. 单击 Properties

  13. 选择在此计算机选项的使用身份验证

  14. 检查使用简单证书选择复选框。

  15. 选中“受信任的根证书”下 CA 的框。

  16. 点击OK键三倍。

验证

当前没有可用于此配置的验证过程。

故障排除

Error:与证书的问题,当连接对WLAN时

此错误出现在无线客户端。

服务器“<Authentication server>”提交了“<CA name>”发出的一个有效证书,但是“<CA name>”没有配置,因为此配置文件的一个有效信任锚点。

解决方案

为了解决此问题,您能导出发出证书到认证服务器到文件CA的根证明。复制文件给无线客户端从一高的Prompt命令然后运行此命令。

certutil -企业- addstore NTAuth CA_CertFilename.cer

参考的Windows安全警报出现,当连接对在一工作组计算机的一个无线网络leavingcisco.com 欲知更多信息。

相关的思科支持社区讨论

思科支持社区是您提问、解答问题、分享建议以及与工作伙伴协作的论坛。


相关信息


Document ID: 64064