证书根证书

知802.
1X杨银波2015-06-23发表有线802.
1XEAP-TLS证书认证配置案例网络中需要配置802.
1XEAP-TLS证书认证的场景.
无.
先根据案例《windowsserver2008证书服务器配置方法》下载根证书、服务器证书和客户端证书,如为已经生成好的证书文件.
证书文件私钥导出密码为123456一.
IMC侧配置1.
导入根证书和服务器证书首先需要将服务器侧用到的根证书和服务器证书导入iMC,点击【用户-接入策略管理-业务参数配置-证书配置】,如下图所示:点击【根证书配置-导入EAP根证书】,如下图所示:选择之前下载好的根证书文件root.
cer,点击下一步,如下图所示:CRL配置部分保持默认下一步,如下图所示:返回证书配置页面,点击【服务器证书配置-导入EAP服务器证书】,如下图所示:勾选"服务器证书和私钥在同一文件",选择之前下载好的服务器证书文件server.
pfx,如下图所示:下一步后输入服务器证书私钥密码,如下图所示:2.
添加接入设备3.
配置接入用户,接入策略及接入服务创建接入策略policy01,选择认证类型为"EAP证书认证-EAP-TLS认证",如下图所示:配置接入服务server_01,引用接入策略为policy01,如下图所示:创建接入用户user02,绑定接入服务server_01,如下图所示:二.
设备侧配置discurr#version5.
20,Release2110P04#sysnameH3C#domaindefaultenabledot1x#telnetserverenable#dot1xdot1xauthentication-methodeap#radiusschemedot1xserver-typeextendedprimaryauthentication10.
1.
1.
1primaryaccounting10.
1.
1.
1keyauthenticationcipher$c$3$3xpx9n3Cne5q0JN+Wkqes/qMAQlNngs=keyaccountingcipher$c$3$W73dK4uw4Hvg0df/PE0BGCHIgnD1/i4=user-name-formatwithout-domain#domaindot1xauthenticationlan-accessradius-schemedot1xauthorizationlan-accessradius-schemedot1xaccountinglan-accessradius-schemedot1xaccess-limitdisablestateactiveidle-cutdisableself-service-urldisable#interfaceEthernet1/0/3portlink-modebridgedot1x#三.
客户端配置1.
安装根证书双击根证书文件root.
cer来将根证书添加到可信任的颁发机构中,如下图所示:点击【安装证书】,如下图所示:点击下一步将证书存储到"受信任的根证书颁发机构"中,如下图所示:点击确定后进行确认,如下图所示:点击【是】即可完成根证书的添加.
2.
安装客户端证书双击客户端证书user02.
pfx来将客户端证书导入到系统中,如下图所示:在导入页面,输入私钥密码,如下图所示:下一步将证书存储到"个人".
如下图所示:确定后即可完成客户端证书的导入.
3.
打开iNode客户端,创建一个802.
1X连接并输入用户名和密码,点击【属性】,如下图所示:勾选【高级-启用证书认证】,选择认证类型为"EAP-TLS",并选择客户端证书为user02,如下图所示:确定后回到inode界面点击【连接】即可完成认证过程.
4.
如果没有inode,也可以使用windows自带的证书认证,配置方法为点击网卡"属性"选择"身份验证",勾选"启用IEEE802.
1X身份验证",具体配置如下图所示:完成后连接网络后,桌面右下角会弹出认证提示,左键单击.
选择客户端证书.
如下图所示:确定后即可完成认证.
1.
BAS设备上必须配置dot1x认证模式为eap;2.
客户端证书名必须和认证时输入的用户名完全一致;