利用windowsserver2008NPS實現(xiàn)802.1X認證(僅供參考)

1、利用windows server 2008 NPS實現(xiàn)802.1X認證目錄1、Windows server 2008安裝配置AD12、Windows server 2008安裝配置CA183、Windows server 2008安裝配置NPS組件273.1、安裝NPS組件273.2、配置Radius客戶端313.3、配置NAP策略334、802.1x認證過程384.1、PC證書安裝384.2、交換機配置404.3、本地連接屬性配置405、NPS支持IPv6411、Windows server 2008安裝配置AD 活動目錄（Active Directory）是面向Windows Standa

2、rd Server、Windows Enterprise Server以及 Windows Datacenter Server的目錄服務。Active Directory不能運行在Windows Web Server上，但是可以通過它對運行Windows Web Server的計算機進行管理。使得WINDOWS 2000以上服務器系統(tǒng)與Internet上的各項服務和協(xié)議更加聯(lián)系緊密，因為它對目錄的命名方式成功地與”域名“的命名方式一致，然后通過DNS進行解析，使得與在Internet上通過WINS解析取得一致的效果。下面將演示W(wǎng)indows server 2008活動目錄安裝與配置的安裝方法。

3、登錄Windows server 2008，開始-管理工具-服務器管理器-角色打開添加角色向?qū)?。選擇“添加角色”出現(xiàn)如下圖所示：在彈出的對話框中點擊“下一步”：在彈出的對話框中選擇“Active Directory 域服務”（如果有關(guān)聯(lián)組件沒有安裝，會提示需要安裝關(guān)聯(lián)組件，選擇“是”即可），點擊下一步如圖所示：在彈出的對話框中出現(xiàn)相關(guān) Active Directory 域服務相關(guān)簡介這里面會介紹安裝及配置以及相關(guān)注意事項，點擊下一步如圖所示：點擊“安裝”，如圖：安裝成功之后，點擊“關(guān)閉”。下面需要進行 Active Directory 域服務安裝向?qū)А｜c擊開始-運行輸入 “dcpromo”如圖

4、所示：點擊“確定”，如圖所示：彈出一個對話框，選擇“下一步”如圖所示這里提示相關(guān)操作系統(tǒng)的兼容性，點擊“下一步”如圖所示：因為我們裝的是第一臺完整的域控制器，所以選擇“在新林中新建域”，點擊“下一步”如圖所示：這里在目錄林根級域的文本框中輸入新的林根級完整的域名系統(tǒng)名稱，我們這里輸入本網(wǎng)站域名“ip-”的林的名稱（本人使用的是的林的名稱，所以后面配置NPS看到的是的域），點擊“下一步”如圖所示：這里顯示正在檢查整個網(wǎng)絡中是否已經(jīng)使用該林的名稱： 檢查完畢后，出現(xiàn)NETBIOS，點擊下一步，如圖所示： 這里出現(xiàn)“設置林功能級別”對話框，林功能有 Windows 2000、Windows serv

5、er 2003 、Windows server 2008 三個級別，默認林功能級別為 Windows 2003，這里我們選擇Windows server 2003 （并不是選擇越高越好）， 點擊“下一步”如圖所示：這里出現(xiàn)“設置域功能級別”對話框，域功能有 Windows 2000、Windows server 2003 、Windows server 2008 三個級別，默認域功能級別為 Windows 2003，這里我們選擇Windows server 2003 ， 點擊“下一步”如圖所示：開始檢查計算機上的DNS配置檢查完畢后出現(xiàn)“其他域控制器選項”如下圖所示：選擇“DNS 服務器”（有

6、些系統(tǒng)沒有出現(xiàn)這步，無影響 ），點擊下一步如圖所示：這里選擇“是，該計算機將使用動態(tài)分配的IP地址” 點擊后如圖所示：彈出這個對話框，建議安裝DNS，這樣這個向?qū)⒆詣觿?chuàng)建DNS區(qū)域委派。無論DNS服務器服務是否與活動集成，都必須將其它安裝在部署的活動目錄林根域的第一個域控制器上，點“是”如圖所示：這里出現(xiàn)，數(shù)據(jù)庫、日志文件和SYSVOL的安裝位置，這時可以修改其它安裝的目錄，點擊“下一步”如圖所示：彈出目錄還原模式的管理員密碼，這個密碼將是會在刪除域或當您的域出現(xiàn)問題需要還原的時候需要用到的，點“下一步”如圖所示：這里顯示這前所有的操作，檢查無誤后點“下一步”如圖所示：這里正在配置相關(guān)信息等

7、待完成,如圖所示：到這里配置就完成了，點擊“完成”，如圖所示：這里點擊立即重新啟動，等到服務器重啟后，登錄名就會出現(xiàn)“域名/administrator”，如本人創(chuàng)建的林是，登錄出現(xiàn)WIN8AD/Administrator： 482、Windows server 2008安裝配置CACA（證書頒發(fā)機構(gòu)）為了保證網(wǎng)絡上信息的傳輸安全，除了在通信中采用更強的加密算法等措施外，必須建立一種信任及信任驗證機制，即通信各方必須有一個可以被驗證的標識，這就需要使用數(shù)字證書，證書的主體可以是用戶、計算機、服務等。證書可以用于多方面，例如Web用戶身份驗證、web服務器身份驗證、安全電子郵件等。安裝證書確保望上

8、傳遞信息的機密性、完整性、以及通信雙方身份的真實性，從而保障網(wǎng)絡應用的安全性。CA分為兩大類，企業(yè)CA和獨立CA；企業(yè)CA的主要特征如下：l 企業(yè)CA安裝時需要AD（活動目錄服務支持），即計算機在活動目錄中才可以。l 當安裝企業(yè)根時，對于域中的所用計算機，它都將會自動添加到受信任的根證書頒發(fā)機構(gòu)的證書存儲區(qū)域；l 必須是域管理員或?qū)D有寫權(quán)限的管理員，才能安裝企業(yè)根CA；獨立CA主要以下特征:l CA安裝時不需要AD（活動目錄服務）。l 一般情況下，發(fā)送到獨立CA的所有證書申請都被設置為掛起狀態(tài)，需要管理員手動頒發(fā)。這完全出于安全性的考慮，因為證書申請者的憑證還沒有被獨立CA驗證； 

9、;    在簡單介紹完CA的分類后，我們現(xiàn)在AD（活動目錄）環(huán)境下安裝證書服務，即安裝企業(yè)證書，具體步驟如下：登錄Windows server 2008，開始-管理工具-服務器管理器-角色打開添加角色向?qū)?。選擇“添加角色”出現(xiàn)如下圖所示，點擊“下一步”：在彈出的對話框中選擇“Active Directory 證書服務”（如果有關(guān)聯(lián)組件沒有安裝，會提示需要安裝關(guān)聯(lián)組件，選擇“是”即可），點擊下一步如圖所示：在選擇角色服務中選擇證書頒發(fā)機構(gòu)和證書頒發(fā)機構(gòu)Web注冊；在指定安裝類型中選擇”企業(yè)”，點擊下一步；在“指定CA類型”中選擇“根CA”， 點擊下一步；在設置私鑰窗口中選擇“

10、新建私鑰”， 點擊下一步；在配置加密窗口，使用默認的加密服務程序、哈希算法和密鑰長度，點擊“下一步”；接下來需要配置CA的名稱（沒有截圖，借用2003的一張截圖，類似）因為在同一臺Server上，所以在CA的公用名稱里默認名稱是與域名計算名相關(guān)的公用名稱，我們改為簡單點的，輸入“ROOT CA”，可分辨名稱后綴包含CN=ROOT CA, DC=WIN8AD, DC=COM三項，是自動生成的，沒有自動生成就自己加一下。單擊“下一步”到確認安裝;安裝完成后，從管理工具中可以看到“證書頒發(fā)機構(gòu)”，打開證書頒發(fā)機構(gòu)管理器，管理證書的頒發(fā)；也可以從服務器管理器的列表中看到：CA裝完之后，就會給AD域服務

11、器頒發(fā)證書，也會給本機頒發(fā)計算機證書，如果沒有可以自己去申請，在運行里輸入mmc-文件-添加/刪除管理單元-證書（雙擊）-計算機賬戶：如下圖所示，多了本地計算機證書：確定之后，控制臺根節(jié)點多了本地計算機證書列表，點擊個人-證書（右擊）-所有任務-申請新證書，如下圖所示：就可以為本機申請一個計算機證書，申請完如下圖所示，本地計算機就有兩個證書，一個是ROOT CA頒發(fā)給ROOT CA的證書，一個是ROOT CA頒發(fā)給計算機WINZXB的證書：證書安裝到此完成。3、Windows server 2008安裝配置NPS組件3.1、安裝NPS組件登錄Windows server 2008，開始-管理工

12、具-服務器管理器-角色-打開添加角色向?qū)В哼x擇“添加角色”出現(xiàn)如下圖所示：選擇“網(wǎng)絡策略和訪問服務”角色，點擊下一步：服務簡介，點擊下一步：選擇“網(wǎng)絡策略服務器”和“健康注冊機構(gòu)”和“主機憑據(jù)授權(quán)協(xié)議”三項， 點擊下一步：在選擇合適的證書機構(gòu)來作為健康注冊機構(gòu)時，選擇剛才安裝的CA服務器，通過點擊右邊的選擇按鈕就會彈出剛才安裝的CA服務器，選擇并確定即可。 點擊下一步：選擇使用加密，即第一項，點擊下一步：在這之前，需要為服務器申請一個計算機證書，用以SSL加密，在剛才安裝CA服務器的時候，我們已經(jīng)為本機申請了計算機證書，即ROOT CA頒發(fā)給WINZXB的證書。因此，在這個選擇加密的

13、服務器認證證書時，選擇第一項“選擇一個已經(jīng)存在的證書來為SSL加密”，然后點擊右邊的“導入”，彈出剛才安裝的兩個證書，一個是ROOT CA頒發(fā)給ROOT CA的證書，另一個是ROOT CA頒發(fā)給WINZXB的證書，選擇后者導入。點擊下一步，后續(xù)可能需要安裝一些關(guān)聯(lián)組件，選擇是即可，確認信息無誤后一直點擊下一步直到安裝成功即可。3.2、配置Radius客戶端登錄Windows server 2008，開始-管理工具-服務器管理器-網(wǎng)絡策略和訪問服務-配置Radius客戶端：彈出Radius客戶端列表，如果還沒有配置Radius客戶端的話，列表為空（下面是已經(jīng)配置一個客戶端SW了），選擇“新建”：

14、彈出新建RADIUS客戶端選項框，在這里輸入RADIUS客戶端（即NAS）的名稱、地址（IP）、手動共享機密內(nèi)容，在高級選項里還可以選擇是否是NAP（這個貌似關(guān)系不大）。點擊確定就配置好了。3.3、配置NAP策略登錄Windows server 2008，開始-管理工具-服務器管理器-網(wǎng)絡策略和訪問服務-NPS-配置NAP：網(wǎng)絡連接方法選擇IEEE 802.1x有線：確定后，會自動生成策略的名稱：一般默認即可，點擊下一步：在指定NAS時，可以看到我們剛才添加的Radius客戶端，也可以在這里添加點擊下一步：配置用戶組和計算機組，不管，不用添加，點擊下一步：配置身份驗證辦法，默認只勾選第一項，我

15、們把第二項也勾選，后面認證的時候有三種身份驗證方式，一是智能卡或其它證書，二是PEAP-智能卡或其它證書，三是PEAP-MSCHAPv2。點擊下一步：配置流量控制，可以配置相關(guān)屬性，比如劃分認證通過的網(wǎng)絡的VLAN ID等，點擊下一步：都是默認，沒改：算是配置完了。4、802.1x認證過程4.1、PC證書安裝首先要先為PC(如WIN7系統(tǒng))向CA服務器申請證書并安裝，在網(wǎng)頁瀏覽器中輸入：http:/IP_of_CA/certsrv因為CA服務器也安裝在windows 2008上，所以IP_of_CA就是windows 2008的IP地址，點擊“申請證書”：根據(jù)實際情況選擇“用戶證書”還是“高級

16、證書”，這里選擇“用戶證書”即可：“提交”申請：提交完之后，等待CA服務器頒發(fā)證書。等待時間與CA服務器的設置有關(guān)，如果CA服務器需要手動去響應證書請求，則會PC端會跳出已經(jīng)提交請求請等待的頁面，如果CA服務器設置成自動響應證書請求，則會立即頒發(fā)證書給請求者，如下圖所示，PC直接收到CA服務器頒發(fā)的證書，點擊“安裝此證書”：證書安裝完成。4.2、交換機配置不同廠商的交換機配置都是大同小異，可以根據(jù)自己使用的交換機進行相應的配置，認證radius服務器IP就是windows 2008的IP地址。4.3、本地連接屬性配置打開“本地連接屬性”，進入“身份驗證”，如果沒有“身份驗證”這一項，打開“服務”，啟動“Wired AutoConfig”服務。在“本地連接屬性”里打勾“啟用IEEE 802.1X身份認證”，網(wǎng)絡身份驗證方法選擇“智能卡或其它證書”或其它方式。進入右邊的“設置”，可以選擇是否驗證服務器證書。確定后網(wǎng)絡連接斷開，