1、PAGE58IPAD通過(guò)+證書(shū)安全認(rèn)證解決方案實(shí)驗(yàn)拓?fù)渫負(fù)湔f(shuō)明：Windows 2003 Server IP： Windows 2003 Server的網(wǎng)關(guān)：AC的IP：AP的管理IP：10.1.1.100三層交換機(jī)和AP的互聯(lián)IP：10.1.1.1 三層交換機(jī)和AC的互聯(lián)IP： 三層交換機(jī)針對(duì)VLAN20建立DHCP地址池：網(wǎng)關(guān)環(huán)境說(shuō)明：本實(shí)驗(yàn)需要用到Windows 2003 Server,并且在Windows 2003 Server安裝DNS、AD、CA、IAS等組件，采用CA為IAS以及終端頒發(fā)證書(shū)，AD域建立用戶(hù)，IAS作為radius服務(wù)器對(duì)終端用戶(hù)進(jìn)行認(rèn)證并對(duì)客戶(hù)端證書(shū)進(jìn)行有效性檢

2、測(cè)。在AC上對(duì)于無(wú)線接入啟用認(rèn)證，密鑰認(rèn)證方式為WPA+企業(yè)級(jí)。根據(jù)上面的拓?fù)洵h(huán)境，IPAD連接無(wú)線SSID后，輸入用戶(hù)名和密碼到windows2003進(jìn)行用戶(hù)以及證書(shū)驗(yàn)證，驗(yàn)證通過(guò)后自動(dòng)獲取IP地址，并能PING通AC?！緦?shí)驗(yàn)設(shè)備】Windows 2003 Server 1臺(tái)，AC1臺(tái)，AP1臺(tái)，三層交換機(jī)1臺(tái)，測(cè)試IPAD1臺(tái)，網(wǎng)線若干?！緦?shí)驗(yàn)步驟】一 配置Windows 2003 Server注：在配置前將WIN2003安裝光盤(pán)放入光驅(qū)1. 安裝Windows 2003 Server AD（活動(dòng)目錄）在Windows 2003 Server上，點(diǎn)擊“開(kāi)始”“運(yùn)行”，輸入“dcpromo”

3、,點(diǎn)“確定”,啟動(dòng)“活動(dòng)目錄安裝向?qū)А薄Ｈ缦聢D：此處選擇“新域的域控制器”，使此計(jì)算機(jī)作為此域的域控制器（DC）。此處選擇“在新林中的域”。輸入“”作為新建域的域名。設(shè)置NetBIOS域名，此處使用默認(rèn)的“TEST”。設(shè)置數(shù)據(jù)庫(kù)和日志文件的保存路徑，此處選擇默認(rèn)設(shè)置。設(shè)置共享的系統(tǒng)卷，此處使用默認(rèn)設(shè)置。DNS注冊(cè)診斷，由于此服務(wù)器還沒(méi)有安裝DNS服務(wù)器組件，因此顯示診斷失敗，這里選擇“在這臺(tái)計(jì)算機(jī)安裝并配置DNS服務(wù)器，并將這臺(tái)DNS服務(wù)器設(shè)為計(jì)算機(jī)的首選DNS服務(wù)器”。設(shè)置用戶(hù)和組對(duì)象的默認(rèn)權(quán)限，此處選擇默認(rèn)設(shè)置。設(shè)置目錄還原模式的管理員密碼。開(kāi)始安裝和配置活動(dòng)目錄?；顒?dòng)目錄安裝完畢。點(diǎn)擊“

4、立即重新啟動(dòng)”，重啟windows 2003 server。2. 安裝并配置證書(shū)服務(wù)器（CA）IEEE 在允許網(wǎng)絡(luò)客戶(hù)端訪問(wèn)網(wǎng)絡(luò)之前使用EAP來(lái)對(duì)其進(jìn)行身份驗(yàn)證。EAP最初設(shè)計(jì)用于點(diǎn)對(duì)點(diǎn)協(xié)議（PPP）連接，它允許用戶(hù)創(chuàng)建任意身份驗(yàn)證模式來(lái)驗(yàn)證網(wǎng)絡(luò)訪問(wèn)。請(qǐng)求訪問(wèn)的客戶(hù)端和進(jìn)行身份驗(yàn)證的服務(wù)器必須首先協(xié)商特定EAP身份驗(yàn)證模式（稱(chēng)為EAP類(lèi)型）的使用。在就EAP類(lèi)型達(dá)成一致之后，EAP允許訪問(wèn)客戶(hù)端和身份驗(yàn)證服務(wù)器（通常是一個(gè)RADIUS服務(wù)器）之間進(jìn)行無(wú)限制的對(duì)話(huà)。在基于的認(rèn)證協(xié)議中，我們采用的是PEAP（Protected Extensible Authentication Protocol）

5、的驗(yàn)證方式。這是一種基于密碼的驗(yàn)證協(xié)議，可以幫助企業(yè)實(shí)現(xiàn)簡(jiǎn)單、安全的驗(yàn)證功能。PEAP是一種EAP類(lèi)型，它首先創(chuàng)建同時(shí)被加密和使用傳輸層安全（TLS）來(lái)進(jìn)行完整性保護(hù)的安全通道。然后進(jìn)行另一種EAP類(lèi)型的新的EAP協(xié)商，從而對(duì)客戶(hù)端的網(wǎng)絡(luò)訪問(wèn)嘗試進(jìn)行身份驗(yàn)證。由于TLS通道保護(hù)網(wǎng)絡(luò)訪問(wèn)嘗試的EAP協(xié)商和身份驗(yàn)證，因此可以將通常容易受到脫機(jī)字典攻擊的基于密碼的身份驗(yàn)證協(xié)議可用于在安全的網(wǎng)絡(luò)環(huán)境中執(zhí)行身份驗(yàn)證。PEAP是一種通過(guò)TLS來(lái)進(jìn)一步增強(qiáng)其它EAP身份驗(yàn)證方法安全性的身份驗(yàn)證機(jī)制。面向Microsoft 身份驗(yàn)證客戶(hù)端的PEAP提供了針對(duì)TLS（PEAP-TLS，同時(shí)在服務(wù)器身份驗(yàn)證過(guò)程與

6、客戶(hù)端身份驗(yàn)證過(guò)程中使用證書(shū)）與Microsoft質(zhì)詢(xún)握手身份驗(yàn)證協(xié)議版（PEAP-MS-CHAP v2，在服務(wù)器身份驗(yàn)證過(guò)程中使用證書(shū)，而在客戶(hù)端身份驗(yàn)證過(guò)程中使用基于口令的授權(quán)憑證。若客戶(hù)端希望對(duì)網(wǎng)絡(luò)進(jìn)行認(rèn)證，必須下載證書(shū)）的支持能力。MS-CHAP v2是一種基于密碼的質(zhì)詢(xún)-響應(yīng)式相互身份驗(yàn)證協(xié)議，使用工業(yè)標(biāo)準(zhǔn)的“信息摘要 4（Message Digest 4，MD4)”和數(shù)據(jù)加密標(biāo)準(zhǔn)（Data Encryption Standard，DES）算法來(lái)加密響應(yīng)。身份驗(yàn)證服務(wù)器質(zhì)詢(xún)接入客戶(hù)端，然后接入客戶(hù)端又質(zhì)詢(xún)身份驗(yàn)證服務(wù)器。如果其中任一質(zhì)詢(xún)沒(méi)有得到正確的回答，連接就被拒絕。通過(guò)上面的介紹

7、，我們可以得出結(jié)論：不管對(duì)無(wú)線連接使用哪種身份驗(yàn)證方法（PEAP-TLS 或 PEAP-MS-CHAP v2），都必須在 IAS 服務(wù)器上安裝計(jì)算機(jī)證書(shū)。安裝一種證書(shū)服務(wù)即指定一個(gè)證書(shū)頒發(fā)機(jī)構(gòu) (CA)，證書(shū)可以從第三方的CA機(jī)構(gòu)獲取，比如VeriSign，或者從企業(yè)內(nèi)部的CA機(jī)構(gòu)頒發(fā)。這兩種方案在傳統(tǒng)意義上都是可行的，但是對(duì)于小型企業(yè)來(lái)說(shuō)并不現(xiàn)實(shí)，因?yàn)樾⌒推髽I(yè)不愿意每年花很多額外的錢(qián)購(gòu)買(mǎi)第三方認(rèn)證機(jī)構(gòu)的證書(shū)，因此可以考慮在企業(yè)內(nèi)部自己架設(shè) CA服務(wù)器。我們這里采取的是在IAS服務(wù)器和客戶(hù)端上都需要安裝證書(shū)，以完成雙方的互相認(rèn)證?？蛻?hù)端通過(guò)web從CA上下載證書(shū)，首先需要安裝IIS。在“win

8、dows組件向?qū)А边x擇“應(yīng)用程序服務(wù)器”，點(diǎn)擊“詳細(xì)信息”。完成IIS服務(wù)安裝。接下來(lái)安裝證書(shū)服務(wù)。在“windows組件向?qū)А边x擇“證書(shū)服務(wù)”，點(diǎn)擊“詳細(xì)信息”。點(diǎn)擊是，選中“證書(shū)服務(wù)”和“證書(shū)服務(wù)Web注冊(cè)支持”。選擇“企業(yè)根CA”。輸入CA公鑰名稱(chēng)。出現(xiàn)生成公鑰過(guò)程，并提示設(shè)置證書(shū)數(shù)據(jù)庫(kù)。完成CA的安裝。4. 安裝IAS服務(wù)器在“添加/刪除Windows組件”中，選擇“網(wǎng)絡(luò)服務(wù)”，單擊“詳細(xì)信息”選擇“Internet驗(yàn)證服務(wù)”，單擊“確定”。然后返回原對(duì)話(huà)框，點(diǎn)擊“下一步”。點(diǎn)擊完成按鈕。接下來(lái)開(kāi)始為IAS服務(wù)器申請(qǐng)證書(shū)。 在IAS服務(wù)器上點(diǎn)擊“開(kāi)始”“運(yùn)行”，輸入“mmc”,點(diǎn)擊“確

9、定”。在控制臺(tái)上，選擇“文件”“添加/刪除管理單元”。在控制臺(tái)根節(jié)點(diǎn)下點(diǎn)擊“添加”按鈕。在添加獨(dú)立管理單元選擇“證書(shū)”，點(diǎn)擊添加按鈕。選擇“計(jì)算機(jī)帳戶(hù)”，點(diǎn)擊“下一步”。選擇“本地計(jì)算機(jī)”，點(diǎn)擊“完成”。點(diǎn)擊確定。在控制臺(tái)根節(jié)點(diǎn)下，展開(kāi)“證書(shū)”，右鍵單擊“個(gè)人”“所有任務(wù)”“申請(qǐng)新證書(shū)”。證書(shū)類(lèi)型選擇“域控制器”。輸入證書(shū)的名稱(chēng)。完成IAS服務(wù)器證書(shū)的申請(qǐng)。提示證書(shū)申請(qǐng)成功。在控制臺(tái)根節(jié)點(diǎn)下，查看個(gè)人證書(shū)，可以看到剛才申請(qǐng)的證書(shū)，以及自動(dòng)為此計(jì)算機(jī)頒發(fā)的證書(shū)。5. 建立域用戶(hù)帳戶(hù)進(jìn)入活動(dòng)目錄用戶(hù)和計(jì)算機(jī)。右鍵單擊“”選擇“新建”“用戶(hù)”。建立一個(gè)登錄名為“l(fā)iming”的用戶(hù)帳戶(hù)。為“l(fā)imi

10、ng”這個(gè)賬戶(hù)創(chuàng)建密碼，選擇“用戶(hù)不能更改密碼”。創(chuàng)建用戶(hù)帳戶(hù)完成。右鍵單擊新建的“l(fā)iming”用戶(hù)帳戶(hù)，選擇“屬性”。在“撥入”選項(xiàng)卡中“遠(yuǎn)程訪問(wèn)權(quán)限”賦予此用戶(hù)“允許訪問(wèn)”權(quán)限，點(diǎn)擊“應(yīng)用”。在“隸屬于”選項(xiàng)卡，可以看到這個(gè)賬戶(hù)屬于“Domain Users”這個(gè)用戶(hù)組。6. 配置IAS服務(wù)器如果用戶(hù)是利用活動(dòng)目錄內(nèi)的用戶(hù)帳戶(hù)來(lái)連接網(wǎng)絡(luò)，則IAS服務(wù)器必須向域控制器詢(xún)問(wèn)用戶(hù)帳戶(hù)的信息，才能決定用戶(hù)是否有權(quán)連接。首先必須將IAS服務(wù)器注冊(cè)到活動(dòng)目錄中，IAS服務(wù)器才能夠讀取活動(dòng)目錄的用戶(hù)帳戶(hù)信息。選擇“Internet驗(yàn)證服務(wù)”。右擊“Internet驗(yàn)證服務(wù)（本地）”，選擇“在Activ

11、e Directory中注冊(cè)服務(wù)器”。接下來(lái)配置IAS服務(wù)器，包括配置IAS客戶(hù)端和遠(yuǎn)程訪問(wèn)策略。輸入客戶(hù)端的名稱(chēng)和IP地址（在本例中AC的地址為）。注意：這里的客戶(hù)端指的是AC?？蛻?hù)端供應(yīng)商這里選擇的是“RADIUS Standard”,“共享機(jī)密”指的是IAS服務(wù)器和AC上設(shè)置的預(yù)共享密鑰。只有雙方密鑰相同時(shí)，IAS服務(wù)器才會(huì)接受RADIUS客戶(hù)端傳來(lái)的驗(yàn)證、授權(quán)和記賬請(qǐng)求。此處密鑰區(qū)分大小寫(xiě)。RADIUS客戶(hù)端建立完成后，出現(xiàn)如上的顯示。然后新建遠(yuǎn)程訪問(wèn)策略。注：這里選擇“無(wú)線”選擇“l(fā)an access”,右鍵“屬性”。選擇“編輯配置文件”。高級(jí)選項(xiàng)卡里面的高級(jí)屬性類(lèi)型如上。確保此策略

12、“授予遠(yuǎn)程訪問(wèn)權(quán)限”，點(diǎn)擊“確定”完成IAS服務(wù)器配置。二配置IPAD1.獲取客戶(hù)端證書(shū)Windows證書(shū)服務(wù)器的默認(rèn)URL為：，ip_address填寫(xiě)實(shí)際的IP地址。在本例中，URL為，選擇“申請(qǐng)一個(gè)證書(shū)” 等證書(shū)下載完畢后，安裝該證書(shū)：安裝時(shí)可能會(huì)出現(xiàn)如下提示，選擇“是”即可證書(shū)安裝成功此時(shí)，進(jìn)入IE的“Internet選項(xiàng)”，可以看到安裝的客戶(hù)端證書(shū)，被放在“個(gè)人”類(lèi)別中12.如何將證書(shū)導(dǎo)入到IPAD中,并連接無(wú)線，通過(guò)證書(shū)認(rèn)證為了將證書(shū)導(dǎo)入iPad，并在iPad上啟用證書(shū)認(rèn)證，我們需要在PC上安裝iPhone配置實(shí)用工具（iPhone Configuration Utility）。這

13、是蘋(píng)果官方發(fā)布的一個(gè)免費(fèi)軟件，可以在其網(wǎng)站上下載到。將iPad連接到PC，啟動(dòng)iPhone配置實(shí)用工具，選中左側(cè)欄的“配置描述文件”，并點(diǎn)擊“新建”21在“通用”中填寫(xiě)配置描述文件的名稱(chēng)，標(biāo)識(shí)符，機(jī)構(gòu)以及描述12選擇“憑證”，點(diǎn)擊“配置”，進(jìn)行證書(shū)設(shè)置12在彈出的“個(gè)人證書(shū)商店”窗口中，選擇lan證書(shū)客戶(hù)端證書(shū)對(duì)客戶(hù)端證書(shū)設(shè)置密碼，后續(xù)往iPad中安裝此配置描述文件的時(shí)候，需要進(jìn)行密碼驗(yàn)證注：該選項(xiàng)為自動(dòng)彈出，若配置的時(shí)候沒(méi)有彈出則不用設(shè)置，直接按照下面步驟進(jìn)行操作選擇“Wi-Fi”，點(diǎn)擊“配置”21在“服務(wù)集標(biāo)識(shí)符（SSID）”下填寫(xiě)SSID（本例中為test666。在這里，如果在AC上將SSID設(shè)置為隱藏，則需要將“隱藏網(wǎng)絡(luò)”前面的勾選上。隨后，設(shè)置“安全類(lèi)型”為WPA/WPS2企業(yè)級(jí)，并在“協(xié)議”中選擇PEAP4321將選項(xiàng)卡切換至“鑒定”，選擇“身份證書(shū)”為前面步驟中配置CA服務(wù)器下發(fā)的用戶(hù)名密碼21將選項(xiàng)卡切換至“信任”，在“可信的證書(shū)”中把CA證書(shū)勾上21至此，配置描述