認證通過證書安全認證解決專項方案

IPAD通過802.1X+證書安全認證解決方案實驗拓撲拓撲闡明：WindowsServerIP：36WindowsServer網(wǎng)關：41

ACIP：40

AP管理IP：00

三層互換機和AP互聯(lián)IP：

三層互換機和AC互聯(lián)IP：41三層互換機針對VLAN20建立DHCP地址池：~00網(wǎng)關54環(huán)境闡明：本實驗需要用到WindowsServer,并且在WindowsServer安裝DNS、AD、CA、IAS等組件，采用CA為IAS以及終端頒發(fā)證書，AD域建立顧客，IAS作為radius服務器對終端顧客進行認證并對客戶端證書進行有效性檢測。在AC上對于無線接入啟用802.1X認證，密鑰認證方式為WPA+公司級。依照上面拓撲環(huán)境，IPAD連接無線SSID后，輸入顧客名和密碼到windows進行顧客以及證書驗證，驗證通過后自動獲取IP地址，并能PING通AC?！緦嶒炘O備】WindowsServer1臺，AC1臺，AP1臺，三層互換機1臺，測試IPAD1臺，網(wǎng)線若干?！緦嶒灜h(huán)節(jié)】一．配備WindowsServer注：在配備前將WIN安裝光盤放入光驅1.安裝WindowsServerAD（活動目錄）在WindowsServer上，點擊“開始”----“運營”，輸入“dcpromo”,點“擬定”,啟動“活動目錄安裝向導”。如下圖：此處選取“新域域控制器”，使此計算機作為此域域控制器（DC）。此處選取“在新林中域”。輸入“”作為新建域域名。設立NetBIOS域名，此處使用默認“TEST”。設立數(shù)據(jù)庫和日記文獻保存途徑，此處選取默認設立。設立共享系統(tǒng)卷，此處使用默認設立。DNS注冊診斷，由于此服務器還沒有安裝DNS服務器組件，因而顯示診斷失敗，這里選取“在這臺計算機安裝并配備DNS服務器，并將這臺DNS服務器設為計算機首選DNS服務器”。設立顧客和組對象默認權限，此處選取默認設立。設立目錄還原模式管理員密碼。開始安裝和配備活動目錄?；顒幽夸洶惭b完畢。點擊“及時重新啟動”，重啟windowsserver。2.安裝并配備證書服務器（CA）IEEE802.1X在容許網(wǎng)絡客戶端訪問網(wǎng)絡之前使用EAP來對其進行身份驗證。EAP最初設計用于點對點合同（PPP）連接，它容許顧客創(chuàng)立任意身份驗證模式來驗證網(wǎng)絡訪問。祈求訪問客戶端和進行身份驗證服務器必要一方面協(xié)商特定EAP身份驗證模式（稱為EAP類型）使用。在就EAP類型達到一致之后，EAP容許訪問客戶端和身份驗證服務器（普通是一種RADIUS服務器）之間進行無限制對話。在基于802.1X認證合同中，咱們采用是PEAP（ProtectedExtensibleAuthenticationProtocol）驗證方式。這是一種基于密碼驗證合同，可以協(xié)助公司實現(xiàn)簡樸、安全驗證功能。PEAP是一種EAP類型，它一方面創(chuàng)立同步被加密和使用傳播層安全（TLS）來進行完整性保護安全通道。然后進行另一種EAP類型新EAP協(xié)商，從而對客戶端網(wǎng)絡訪問嘗試進行身份驗證。由于TLS通道保護網(wǎng)絡訪問嘗試EAP協(xié)商和身份驗證，因而可以將普通容易受到脫機字典襲擊基于密碼身份驗證合同可用于在安全網(wǎng)絡環(huán)境中執(zhí)行身份驗證。PEAP是一種通過TLS來進一步增強其他EAP身份驗證辦法安全性身份驗證機制。面向Microsoft802.1X身份驗證客戶端PEAP提供了針對TLS（PEAP-TLS，同步在服務器身份驗證過程與客戶端身份驗證過程中使用證書）與Microsoft質詢握手身份驗證合同2.0版（PEAP-MS-CHAPv2，在服務器身份驗證過程中使用證書，而在客戶端身份驗證過程中使用基于口令授權憑證。若客戶端但愿對網(wǎng)絡進行認證，必要下載證書）支持能力。MS-CHAPv2是一種基于密碼質詢-響應式互相身份驗證合同，使用工業(yè)原則“信息摘要4（MessageDigest4，MD4)”和數(shù)據(jù)加密原則（DataEncryptionStandard，DES）算法來加密響應。身份驗證服務器質詢接入客戶端，然后接入客戶端又質詢身份驗證服務器。如果其中任一質詢沒有得到對的回答，連接就被回絕。通過上面簡介，咱們可以得出結論：不論對無線連接使用哪種身份驗證辦法（PEAP-TLS或PEAP-MS-CHAPv2），都必要在IAS服務器上安裝計算機證書。安裝一種證書服務即指定一種證書頒發(fā)機構(CA)，證書可以從第三方CA機構獲取，例如VeriSign，或者從公司內部CA機構頒發(fā)。這兩種方案在老式意義上都是可行，但是對于小型公司來說并不現(xiàn)實，由于小型公司不樂意每年花諸多額外錢購買第三方認證機構證書，因而可以考慮在公司內部自己架設CA服務器。咱們這里采用是在IAS服務器和客戶端上都需要安裝證書，以完畢雙方互相認證。客戶端通過web從CA上下載證書，一方面需要安裝IIS。在“windows組件向導”選取“應用程序服務器”，點擊“詳細信息”。完畢IIS服務安裝。接下來安裝證書服務。在“windows組件向導”選取“證書服務”，點擊“詳細信息”。點擊是，選中“證書服務”和“證書服務Web注冊支持”。選取“公司根CA”。輸入CA公鑰名稱。浮現(xiàn)生成公鑰過程，并提示設立證書數(shù)據(jù)庫。完畢CA安裝。4.安裝IAS服務器在“添加/刪除Windows組件”中，選取“網(wǎng)絡服務”，單擊“詳細信息”選取“Internet驗證服務”，單擊“擬定”。然后返回原對話框，點擊“下一步”。點擊完畢按鈕。接下來開始為IAS服務器申請證書。在IAS服務器上點擊“開始”----“運營”，輸入“mmc”,點擊“擬定”。在控制臺上，選取“文獻”----“添加/刪除管理單元”。在控制臺根節(jié)點下點擊“添加”按鈕。在添加獨立管理單元選取“證書”，點擊添加按鈕。選取“計算機帳戶”，點擊“下一步”。選取“本地計算機”，點擊“完畢”。點擊擬定。在控制臺根節(jié)點下，展開“證書”，右鍵單擊“個人”----“所有任務”----“申請新證書”。證書類型選取“域控制器”。輸入證書名稱。完畢IAS服務器證書申請。提示證書申請成功。在控制臺根節(jié)點下，查看個人證書，可以看到剛才申請證書，以及自動為此計算機頒發(fā)證書。5.建立域顧客帳戶進入活動目錄顧客和計算機。右鍵單擊“”選取“新建”----“顧客”。建立一種登錄名為“l(fā)iming”顧客帳戶。為“l(fā)iming”這個賬戶創(chuàng)立密碼，選取“顧客不能更改密碼”。創(chuàng)立顧客帳戶完畢。右鍵單擊新建“l(fā)iming”顧客帳戶，選取“屬性”。在“撥入”選項卡中“遠程訪問權限”賦予此顧客“容許訪問”權限，點擊“應用”。在“從屬于”選項卡，可以看到這個賬戶屬于“DomainUsers”這個顧客組。6.配備IAS服務器如果顧客是運用活動目錄內顧客帳戶來連接網(wǎng)絡，則IAS服務器必要向域控制器詢問顧客帳戶信息，才干決定顧客與否有權連接。一方面必要將IAS服務器注冊到活動目錄中，IAS服務器才可以讀取活動目錄顧客帳戶信息。選取“Internet驗證服務”。右擊“Internet驗證服務（本地）”，選取“在ActiveDirectory中注冊服務器”。接下來配備IAS服務器，涉及配備IAS客戶端和遠程訪問方略。輸入客戶端名稱和IP地址（在本例中AC地址為40）。注意：這里客戶端指是AC。客戶端供應商這里選取是“RADIUSStandard”,“共享機密”指是IAS服務器和AC上設立預共享密鑰。只有雙方密鑰相似時，IAS服務器才會接受RADIUS客戶端傳來驗證、授權和記賬祈求。此處密鑰區(qū)別大小寫。RADIUS客戶端建立完畢后，浮現(xiàn)如上顯示。然后新建遠程訪問方略。注：這里選取“無線”選取“l(fā)anaccess”,右鍵“屬性”。選取“編輯配備文獻”。高檔選項卡里面高檔屬性類型如上。保證此方略“授予遠程訪問權限”，點擊“擬定”完畢IAS服務器配備。二．配備IPAD1.獲取客戶端證書Windows證書服務器默認URL為：http://[ip_address]/certsrv，[ip_address]填寫實際IP地址。在本例中，URL為36/certsrv。進入URL之后，選取“申請一種證書”等證書下載完畢后，安裝該證書：安裝時也許會浮現(xiàn)如下提示，選取“是”即可證書安裝成功此時，進入IE“Internet選項”，可以看到安裝客戶端證書，被放在“個人”類別中112.如何將證書導入到IPAD中,并連接無線，通過證書認證為了將證書導入iPad，并在iPad上啟用證書認證，咱們需要在PC上安裝iPhone配備實用工具（iPhoneConfigurationUtility）。這是蘋果官方發(fā)布一種免費軟件，可以在其網(wǎng)站上下載到。將iPad連接到PC，啟動iPhone配備實用工具，選中左側欄“配備描述文獻”，并點擊“新建”2121在“通用”中填寫配備描述文獻名稱，標記符，機構以及描述1212選取“憑證”，點擊“配備”，進行證書設立1212在彈出“個人證書商店”窗口中，選取lan證書客戶端證書對客戶端證書設立密碼，后續(xù)往iPad中安裝此配備描述文獻時候，需要進行密碼驗證注：該選項為自動彈出，若配備時候沒有彈出則不用設立，直接按照下面環(huán)節(jié)進行操作選取“Wi-Fi”，點擊“配備”2121在“服務集標記符（SSID）”下填寫SSID（本例中為test666。在這里，如果在AC上將SSID設立為隱藏，則需要將“隱藏網(wǎng)絡”前面勾選上。隨后，設立“安全類型”為WPA/WPS2公司級，并在“合同”中選取PEAP43214321將選項卡切換至“鑒定”，選取“身份證書”為前面環(huán)節(jié)中配備CA服務器下發(fā)顧客名密碼2121將選項卡切換至“信任”，在“可信證書”中把CA證書勾上2121至此，配備描述文獻