windows认证-IPAD通过802.1X+证书安全认证解决方案

IPAD通过802.1X+证书安全认证解决方案
实验拓扑
无线域控制器
AAASERVER
证书服务器
拓扑说明：Windows 2003 Server IP：192.168.1.136
Windows 2003 Server的网关：192.168.1.141
AC的IP：192.168.1.140
AP的管理IP：10.1.1.100
三层交换机和AP的互联IP：10.1.1.1
三层交换机和AC的互联IP：192.168.1.141
三层交换机针对VLAN20建立DHCP地址池：192.168.2.1~192.168.2.100
网关192.168.2.254
环境说明：本实验需要用到Windows 2003 Server,并且在Windows 2003 Server安装DNS、AD、CA、IAS等组件，采用CA为IAS以及终端颁发证书，AD域建立用户，IAS作为radius服务器对终端用户进行认证并对客户端证书进行有效性检测。

在AC上对于无线接入启用802.1X认证，密钥认证方式为WPA+企业级。

根据上面的拓扑环境，IPAD连接无线SSID后，输入用户名和密码到windows2003进行用户以及证书验证，验证通过后自动获取IP地址，并能PING通AC。

【实验设备】Windows 2003 Server 1台，AC1台，AP1台，三层交换机1台，测试IPAD1台，网线若干。

【实验步骤】
一．配置Windows 2003 Server
注：在配置前将WIN2003安装光盘放入光驱
1. 安装Windows 2003 Server AD（活动目录）
在Windows 2003 Server上，点击“开始”----“运行”，输入“dcpromo”,点“确定”,启动“活动目录安装向导”。

如下图：
此处选择“新域的域控制器”，使此计算机作为此域的域控制器（DC）。

此处选择“在新林中的域”。

输入“test.”作为新建域的域名。

设置NetBIOS域名，此处使用默认的“TEST”。

设置数据库和日志文件的保存路径，此处选择默认设置。

设置共享的系统卷，此处使用默认设置。

DNS注册诊断，由于此服务器还没有安装DNS服务器组件，因此显示诊断失败，这里选择“在这台计算机安装并配置DNS服务器，并将这台DNS服务器设为计算机的首选DNS服务器”。

设置用户和组对象的默认权限，此处选择默认设置。

设置目录还原模式的管理员密码。

开始安装和配置活动目录。

活动目录安装完毕。

点击“立即重新启动”，重启windows 2003 server。

2. 安装并配置证书服务器（CA）
IEEE 802.1X在允许网络客户端访问网络之前使用EAP来对其进行身份验证。

EAP最初设计用于点对点协议（PPP）连接，它允许用户创建任意身份验证模式来验证网络访问。

请求访问的客户端和进行身份验证的服务器必须首先协商特定EAP身份验证模式（称为EAP类型）的使用。

在就EAP类型达成一致之后，EAP允许访问客户端和身份验证服务器（通常是一个RADIUS服务器）之间进行无限制的对话。

在基于802.1X的认证协议中，我们采用的是PEAP（Protected Extensible Authentication Protocol）的验证方式。

这是一种基于密码的验证协议，可以帮助企业实现简单、安全的验证功能。

PEAP是一种EAP类型，它首先创建同时被加密和使用传输层安全（TLS）来进行完整性保护的安全通道。

然后进行另一种EAP类型的新的EAP协商，从而对客户端的网络访问尝试进行身份验证。

由于TLS通道保护网络访问尝试的EAP协商和身份验证，因此可以将通常容易受到脱机字典攻击的基于密码的身份验证协议可用于在安全的网络环境中执行身份验证。

PEAP是一种通过TLS来进一步增强其它EAP身份验证方法安全性的身份验证机制。

面向Microsoft 802.1X身份验证客户端的PEAP提供了针对TLS（PEAP-TLS，同时在服务器身份验证过程与客户端身份验证过程中使用证书）与Microsoft质询握手身份验证协议2.0版
（PEAP-MS-CHAP v2，在服务器身份验证过程中使用证书，而在客户端身份验证过程中使用基于口令的授权凭证。

若客户端希望对网络进行认证，必须下载证书）的支持能力。

MS-CHAP v2是一种基于密码的质询-响应式相互身份验证协议，使用工业标准的“信息摘要 4（Message Digest 4，MD4)”和数据加密标准（Data Encryption Standard，DES）算法来加密响应。

身份验证服务器质询接入客户端，然后接入客户端又质询身份验证服务器。

如果其中任一质询没有得到正确的回答，连接就被拒绝。

通过上面的介绍，我们可以得出结论：不管对无线连接使用哪种身份验证方法（PEAP-TLS 或PEAP-MS-CHAP v2），都必须在 IAS 服务器上安装计算机证书。

安装一种证书服务即指定一个证书颁发机构 (CA)，证书可以从第三方的CA机构获取，比如VeriSign，或者从企业部的CA机构颁发。

这两种方案在传统意义上都是可行的，但是对于小型企业来说并不现实，因为小型企业不愿意每年花很多额外的钱购买第三方认证机构的证书，因此可以考虑在企业部自己架设 CA服务器。

我们这里采取的是在IAS服务器和客户端上都需要安装证书，以完成双方的互相认证。

客户端通过web从CA上下载证书，首先需要安装IIS。

在“windows组件向导”选择“应用程序服务器”，点击“详细信息”。

完成IIS服务安装。

接下来安装证书服务。

在“windows组件向导”选择“证书服务”，点击“详细信息”。

点击是，选中“证书服务”和“证书服务Web注册支持”。

选择“企业根CA”。

输入CA公钥名称。

出现生成公钥过程，并提示设置证书数据库。

完成CA的安装。

4. 安装IAS服务器
在“添加/删除Windows组件”中，选择“网络服务”，单击“详细信息”
选择“Internet验证服务”，单击“确定”。

然后返回原对话框，点击“下一步”。

点击完成按钮。

接下来开始为IAS服务器申请证书。

在IAS服务器上点击“开始”----“运行”，输入“mmc”,点击“确定”。

在控制台上，选择“文件”----“添加/删除管理单元”。

在控制台根节点下点击“添加”按钮。

在添加独立管理单元选择“证书”，点击添加按钮。

选择“计算机”，点击“下一步”。

选择“本地计算机”，点击“完成”。

点击确定。

在控制台根节点下，展开“证书”，右键单击“个人”----“所有任务”----“申请新证书”。

证书类型选择“域控制器”。

输入证书的名称。

完成IAS服务器证书的申请。

提示证书申请成功。

在控制台根节点下，查看个人证书，可以看到刚才申请的证书，以及自动为此计算机颁发的证书。

5. 建立域用户
进入活动目录用户和计算机。

右键单击“test.”选择“新建”----“用户”。

建立一个登录名为“liming”的用户。

为“liming”这个账户创建密码，选择“用户不能更改密码”。

创建用户完成。

右键单击新建的“liming”用户，选择“属性”。

在“拨入”选项卡中“远程访问权限”赋予此用户“允许访问”权限，点击“应用”。

在“隶属于”选项卡，可以看到这个账户属于“Domain Users”这个用户组。

6. 配置IAS服务器
如果用户是利用活动目录的用户来连接网络，则IAS服务器必须向域控制器询问用户的信息，才能决定用户是否有权连接。

首先必须将IAS服务器注册到活动目录中，IAS服务器才能够读取活动目录的用户信息。

选择“Internet验证服务”。

右击“Internet验证服务（本地）”，选择“在Active Directory中注册服务器”。

接下来配置IAS服务器，包括配置IAS客户端和远程访问策略。

输入客户端的名称和IP地址（在本例中AC的地址为192.168.1.140）。

注意：这里的客户端指的是AC。

客户端供应商这里选择的是“RADIUS Standard”,“共享”指的是IAS服务器和AC上设置的预共享密钥。

只有双方密钥相同时，IAS服务器才会接受RADIUS客户端传来的验证、授权和记账请求。

此处密钥区分大小写。

RADIUS客户端建立完成后，出现如上的显示。

然后新建远程访问策略。

注：这里选择“无线”
选择“lan access”,右键“属性”。

选择“编辑配置文件”。

高级选项卡里面的高级属性类型如上。

确保此策略“授予远程访问权限”，点击“确定”完成IAS服务器配置。

二．配置IPAD
1.获取客户端证书
Windows证书服务器的默认URL为：[ip_address]/certsrv，[ip_address]填写实际的IP 地址。

在本例中，URL为http:/192.168.1.136/certsrv。

进入URL之后，选择“申请一个证书”
等证书下载完毕后，安装该证书：
安装时可能会出现如下提示，选择“是”即可
证书安装成功
此时，进入IE的“Internet选项”，可以看到安装的客户端证书，被放在“个人”类别中
1
2.如何将证书导入到IPAD中,并连接无线，通过证书认证
为了将证书导入iPad，并在iPad上启用证书认证，我们需要在PC上安装iPhone配置实用工具（iPhone Configuration Utility）。

这是苹果官方发布的一个免费软件，可以在其上下载到。

将iPad连接到PC，启动iPhone配置实用工具，选中左侧栏的“配置描述文件”，并点击“新建”
2
1
在“通用”中填写配置描述文件的名称，标识符，机构以及描述
1
2
选择“凭证”，点击“配置”，进行证书设置
2
1
在弹出的“个人证书商店”窗口中，选择lan证书客户端证书
对客户端证书设置密码，后续往iPad中安装此配置描述文件的时候，需要进行密码验证注：该选项为自动弹出，若配置的时候没有弹出则不用设置，直接按照下面步骤进行操作
选择“Wi-Fi”，点击“配置”
1
2
在“服务集标识符（SSID）”下填写SSID（本例中为test666。

在这里，如果在AC上将SSID 设置为隐藏，则需要将“隐藏网络”前面的勾选上。

随后，设置“安全类型”为WPA/WPS2企业级，并在“协议”中选择PEAP
1
2
3
4
将选项卡切换至“鉴定”，选择“书”为前面步骤中配置CA服务器下发的用户名密码
1
2
将选项卡切换至“信任”，在“可信的证书”中把CA证书勾上
1
至此，配置描述文件设置完毕，在左侧栏中选择当前的iPad，在右侧选择选项卡“配置描述文件”，安装刚才设置好的配置描述文件
2
1 2
此时，iPad上会弹出如下窗口，选择“安装”—现在安装---输入前面步骤中配置客户端证书时设置的密码，随后点击右上角“下一步”
安装成功，点击右上角的“完成”
在“设置”-->“通用”-->“描述文件”中可以看到安装的配置描述文件
进入“设置”-->“无线局域网”，单击相应的SSID（本例中为test2）即可连接
三 AP和三层交换机的配置。