ｉindows認證-IPAD通過802.1X+證書安全安全認證解決方案

1、PAGE58IPAD通過+證書安全認證解決方案實驗拓撲拓撲說明：Windows 2003 Server IP： Windows 2003 Server的網關：AC的IP：AP的管理IP：10.1.1.100三層交換機和AP的互聯(lián)IP：10.1.1.1 三層交換機和AC的互聯(lián)IP： 三層交換機針對VLAN20建立DHCP地址池：網關環(huán)境說明：本實驗需要用到Windows 2003 Server,并且在Windows 2003 Server安裝DNS、AD、CA、IAS等組件，采用CA為IAS以及終端頒發(fā)證書，AD域建立用戶，IAS作為radius服務器對終端用戶進行認證并對客戶端證書進行有效性檢

2、測。在AC上對于無線接入啟用認證，密鑰認證方式為WPA+企業(yè)級。根據上面的拓撲環(huán)境，IPAD連接無線SSID后，輸入用戶名和密碼到windows2003進行用戶以及證書驗證，驗證通過后自動獲取IP地址，并能PING通AC?！緦嶒炘O備】Windows 2003 Server 1臺，AC1臺，AP1臺，三層交換機1臺，測試IPAD1臺，網線若干?！緦嶒灢襟E】一 配置Windows 2003 Server注：在配置前將WIN2003安裝光盤放入光驅1. 安裝Windows 2003 Server AD（活動目錄）在Windows 2003 Server上，點擊“開始”“運行”，輸入“dcpromo”

3、,點“確定”,啟動“活動目錄安裝向導”。如下圖：此處選擇“新域的域控制器”，使此計算機作為此域的域控制器（DC）。此處選擇“在新林中的域”。輸入“”作為新建域的域名。設置NetBIOS域名，此處使用默認的“TEST”。設置數據庫和日志文件的保存路徑，此處選擇默認設置。設置共享的系統(tǒng)卷，此處使用默認設置。DNS注冊診斷，由于此服務器還沒有安裝DNS服務器組件，因此顯示診斷失敗，這里選擇“在這臺計算機安裝并配置DNS服務器，并將這臺DNS服務器設為計算機的首選DNS服務器”。設置用戶和組對象的默認權限，此處選擇默認設置。設置目錄還原模式的管理員密碼。開始安裝和配置活動目錄。活動目錄安裝完畢。點擊“

4、立即重新啟動”，重啟windows 2003 server。2. 安裝并配置證書服務器（CA）IEEE 在允許網絡客戶端訪問網絡之前使用EAP來對其進行身份驗證。EAP最初設計用于點對點協(xié)議（PPP）連接，它允許用戶創(chuàng)建任意身份驗證模式來驗證網絡訪問。請求訪問的客戶端和進行身份驗證的服務器必須首先協(xié)商特定EAP身份驗證模式（稱為EAP類型）的使用。在就EAP類型達成一致之后，EAP允許訪問客戶端和身份驗證服務器（通常是一個RADIUS服務器）之間進行無限制的對話。在基于的認證協(xié)議中，我們采用的是PEAP（Protected Extensible Authentication Protocol）

5、的驗證方式。這是一種基于密碼的驗證協(xié)議，可以幫助企業(yè)實現(xiàn)簡單、安全的驗證功能。PEAP是一種EAP類型，它首先創(chuàng)建同時被加密和使用傳輸層安全（TLS）來進行完整性保護的安全通道。然后進行另一種EAP類型的新的EAP協(xié)商，從而對客戶端的網絡訪問嘗試進行身份驗證。由于TLS通道保護網絡訪問嘗試的EAP協(xié)商和身份驗證，因此可以將通常容易受到脫機字典攻擊的基于密碼的身份驗證協(xié)議可用于在安全的網絡環(huán)境中執(zhí)行身份驗證。PEAP是一種通過TLS來進一步增強其它EAP身份驗證方法安全性的身份驗證機制。面向Microsoft 身份驗證客戶端的PEAP提供了針對TLS（PEAP-TLS，同時在服務器身份驗證過程與

6、客戶端身份驗證過程中使用證書）與Microsoft質詢握手身份驗證協(xié)議版（PEAP-MS-CHAP v2，在服務器身份驗證過程中使用證書，而在客戶端身份驗證過程中使用基于口令的授權憑證。若客戶端希望對網絡進行認證，必須下載證書）的支持能力。MS-CHAP v2是一種基于密碼的質詢-響應式相互身份驗證協(xié)議，使用工業(yè)標準的“信息摘要 4（Message Digest 4，MD4)”和數據加密標準（Data Encryption Standard，DES）算法來加密響應。身份驗證服務器質詢接入客戶端，然后接入客戶端又質詢身份驗證服務器。如果其中任一質詢沒有得到正確的回答，連接就被拒絕。通過上面的介紹

7、，我們可以得出結論：不管對無線連接使用哪種身份驗證方法（PEAP-TLS 或 PEAP-MS-CHAP v2），都必須在 IAS 服務器上安裝計算機證書。安裝一種證書服務即指定一個證書頒發(fā)機構 (CA)，證書可以從第三方的CA機構獲取，比如VeriSign，或者從企業(yè)內部的CA機構頒發(fā)。這兩種方案在傳統(tǒng)意義上都是可行的，但是對于小型企業(yè)來說并不現(xiàn)實，因為小型企業(yè)不愿意每年花很多額外的錢購買第三方認證機構的證書，因此可以考慮在企業(yè)內部自己架設 CA服務器。我們這里采取的是在IAS服務器和客戶端上都需要安裝證書，以完成雙方的互相認證?？蛻舳送ㄟ^web從CA上下載證書，首先需要安裝IIS。在“win

8、dows組件向導”選擇“應用程序服務器”，點擊“詳細信息”。完成IIS服務安裝。接下來安裝證書服務。在“windows組件向導”選擇“證書服務”，點擊“詳細信息”。點擊是，選中“證書服務”和“證書服務Web注冊支持”。選擇“企業(yè)根CA”。輸入CA公鑰名稱。出現(xiàn)生成公鑰過程，并提示設置證書數據庫。完成CA的安裝。4. 安裝IAS服務器在“添加/刪除Windows組件”中，選擇“網絡服務”，單擊“詳細信息”選擇“Internet驗證服務”，單擊“確定”。然后返回原對話框，點擊“下一步”。點擊完成按鈕。接下來開始為IAS服務器申請證書。 在IAS服務器上點擊“開始”“運行”，輸入“mmc”,點擊“確

9、定”。在控制臺上，選擇“文件”“添加/刪除管理單元”。在控制臺根節(jié)點下點擊“添加”按鈕。在添加獨立管理單元選擇“證書”，點擊添加按鈕。選擇“計算機帳戶”，點擊“下一步”。選擇“本地計算機”，點擊“完成”。點擊確定。在控制臺根節(jié)點下，展開“證書”，右鍵單擊“個人”“所有任務”“申請新證書”。證書類型選擇“域控制器”。輸入證書的名稱。完成IAS服務器證書的申請。提示證書申請成功。在控制臺根節(jié)點下，查看個人證書，可以看到剛才申請的證書，以及自動為此計算機頒發(fā)的證書。5. 建立域用戶帳戶進入活動目錄用戶和計算機。右鍵單擊“”選擇“新建”“用戶”。建立一個登錄名為“l(fā)iming”的用戶帳戶。為“l(fā)imi

10、ng”這個賬戶創(chuàng)建密碼，選擇“用戶不能更改密碼”。創(chuàng)建用戶帳戶完成。右鍵單擊新建的“l(fā)iming”用戶帳戶，選擇“屬性”。在“撥入”選項卡中“遠程訪問權限”賦予此用戶“允許訪問”權限，點擊“應用”。在“隸屬于”選項卡，可以看到這個賬戶屬于“Domain Users”這個用戶組。6. 配置IAS服務器如果用戶是利用活動目錄內的用戶帳戶來連接網絡，則IAS服務器必須向域控制器詢問用戶帳戶的信息，才能決定用戶是否有權連接。首先必須將IAS服務器注冊到活動目錄中，IAS服務器才能夠讀取活動目錄的用戶帳戶信息。選擇“Internet驗證服務”。右擊“Internet驗證服務（本地）”，選擇“在Activ

11、e Directory中注冊服務器”。接下來配置IAS服務器，包括配置IAS客戶端和遠程訪問策略。輸入客戶端的名稱和IP地址（在本例中AC的地址為）。注意：這里的客戶端指的是AC?？蛻舳斯踢@里選擇的是“RADIUS Standard”,“共享機密”指的是IAS服務器和AC上設置的預共享密鑰。只有雙方密鑰相同時，IAS服務器才會接受RADIUS客戶端傳來的驗證、授權和記賬請求。此處密鑰區(qū)分大小寫。RADIUS客戶端建立完成后，出現(xiàn)如上的顯示。然后新建遠程訪問策略。注：這里選擇“無線”選擇“l(fā)an access”,右鍵“屬性”。選擇“編輯配置文件”。高級選項卡里面的高級屬性類型如上。確保此策略

12、“授予遠程訪問權限”，點擊“確定”完成IAS服務器配置。二配置IPAD1.獲取客戶端證書Windows證書服務器的默認URL為：，ip_address填寫實際的IP地址。在本例中，URL為，選擇“申請一個證書” 等證書下載完畢后，安裝該證書：安裝時可能會出現(xiàn)如下提示，選擇“是”即可證書安裝成功此時，進入IE的“Internet選項”，可以看到安裝的客戶端證書，被放在“個人”類別中12.如何將證書導入到IPAD中,并連接無線，通過證書認證為了將證書導入iPad，并在iPad上啟用證書認證，我們需要在PC上安裝iPhone配置實用工具（iPhone Configuration Utility）。這

13、是蘋果官方發(fā)布的一個免費軟件，可以在其網站上下載到。將iPad連接到PC，啟動iPhone配置實用工具，選中左側欄的“配置描述文件”，并點擊“新建”21在“通用”中填寫配置描述文件的名稱，標識符，機構以及描述12選擇“憑證”，點擊“配置”，進行證書設置12在彈出的“個人證書商店”窗口中，選擇lan證書客戶端證書對客戶端證書設置密碼，后續(xù)往iPad中安裝此配置描述文件的時候，需要進行密碼驗證注：該選項為自動彈出，若配置的時候沒有彈出則不用設置，直接按照下面步驟進行操作選擇“Wi-Fi”，點擊“配置”21在“服務集標識符（SSID）”下填寫SSID（本例中為test666。在這里，如果在AC上將SSID設置為隱藏，則需要將“隱藏網絡”前面的勾選上。隨后，設置“安全類型”為WPA/WPS2企業(yè)級，并在“協(xié)議”中選擇PEAP4321將選項卡切換至“鑒定”，選擇“身份證書”為前面步驟中配置CA服務器下發(fā)的用戶名密碼21將選項卡切換至“信任”，在“可信的證書”中把CA證書勾上21至此，配置描述