HOWTO配置WIFI-EAP-TLS企业认证(高级篇)
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
WIFI企业认证
Frank
1
EAP-TLS是无线认证的最安全的方式,因为它取代了客户 端的用户名/密码与客户端证书。 • 我们将在服务器上配置以下组件: CA • 证书服务将被用于安装服务器作为根CA,这样我们就可以 生成将提供给无线客户端计算机证书,并生成客户端证书 的EAP-TLS • IIS的Web服务器,我们将用它使EAP-TLS客户端可以轻 松地通过Web浏览器请求他们的无线连接的证书。
15
16
添加并查看个人证书
如果没有安装CA网页注册,可以采取另外一种方式申请并安装证书
17
另一种申请个人证书方式
18
查看个人证书
19
测试3:域内客户端使用EAP-TLS连接无线 网络
场景:销售部门的Tony,申请了个人证书并开始建立无线网络连接
20
21
测试4:非域内客户端使用证书认证
1. 访问CA注册网站申请用户个人证书; 2. 安装CA根证书; 3. 配置无线连接Profile
•
2
主要步骤
• 安装和配置CA • 配置Sophos UTM无线模块 • 配置NPS策略进行EAP-TLS方式认证
○ ○
测试3:域内客户端使用EAP-TLS连接无线网络 测试4:非域内客户端使用证书认证
• 通过域策略下发SSID配置和证书
3
拓扑图
4
安装CA证书服务
继续添加下面组件:AD证书服务,安装过程中Байду номын сангаас生成服务器证书 当PEAP无线客户端尝试连接到网络时,RADIUS服务器将呈现一个计算机证书给 用户验证自己的身份。它是由客户端只接受有效的证书,这将有助于防止其中 攻击者可能会运行一个假的RADIUS服务器欺骗攻击。 EAP-TLS也将需要使用从 RADIUS服务器的计算机证书,但我们也将需要为要连接到无线网络中每个用户 的客户端证书。 为了做到这一点,我们将配置我们的服务器成为一个根CA(证书颁发机构)。 这使得我们可以生成一个计算机证书,并生成客户端证书。
配置无线客户端进行EAP-TLS方式认证
无线用户要通过EAP-TLS进行身份验证代替PEAP,我们将要生成的客户端证书。 您的Windows7电脑连接到网络,使您可以访问服务器,打开Web浏览器并输 入以下地址: https://<ip-of-server>/certsrv
如果您使用的是Internet Explorer 10以上版本浏览 器时候,会收到一条警告, 说:“这个Web浏览器不 支持证书请求的生成。” 您需要启用IE兼容模式来 解决这个问题。
10
配置NPS策略进行EAP-TLS方式认证
场景:Sales部门的人员需要连接“Labs24-WPA2-EN-Cert”的无线网络, 该SSID需要进行证书验证,没有证书的用户不能通过认证。 新建网络策略
11
添加你认为必要且足够的条件
选择CA颁发给服务器的证书
12
13
在UTM上发布无线网络
14
22
23
通过域策略下发SSID配置和证书
24
25
© Sophos Ltd. All rights reserved.
26
5
6
7
8
9
PS:现在你有一个工作的认证机构和IIS正在运行服务的Web请求。如果您打算 使用EAP-TLS,我们需要启用IIS的HTTPS支持,默认情况下是禁用的。如果你只 是想使用PEAP,那么你可以跳过这一步。 如果不需要刻意直接跳过此步骤 单击开始>管理工具> Internet信息服务(IIS)管理器。
Frank
1
EAP-TLS是无线认证的最安全的方式,因为它取代了客户 端的用户名/密码与客户端证书。 • 我们将在服务器上配置以下组件: CA • 证书服务将被用于安装服务器作为根CA,这样我们就可以 生成将提供给无线客户端计算机证书,并生成客户端证书 的EAP-TLS • IIS的Web服务器,我们将用它使EAP-TLS客户端可以轻 松地通过Web浏览器请求他们的无线连接的证书。
15
16
添加并查看个人证书
如果没有安装CA网页注册,可以采取另外一种方式申请并安装证书
17
另一种申请个人证书方式
18
查看个人证书
19
测试3:域内客户端使用EAP-TLS连接无线 网络
场景:销售部门的Tony,申请了个人证书并开始建立无线网络连接
20
21
测试4:非域内客户端使用证书认证
1. 访问CA注册网站申请用户个人证书; 2. 安装CA根证书; 3. 配置无线连接Profile
•
2
主要步骤
• 安装和配置CA • 配置Sophos UTM无线模块 • 配置NPS策略进行EAP-TLS方式认证
○ ○
测试3:域内客户端使用EAP-TLS连接无线网络 测试4:非域内客户端使用证书认证
• 通过域策略下发SSID配置和证书
3
拓扑图
4
安装CA证书服务
继续添加下面组件:AD证书服务,安装过程中Байду номын сангаас生成服务器证书 当PEAP无线客户端尝试连接到网络时,RADIUS服务器将呈现一个计算机证书给 用户验证自己的身份。它是由客户端只接受有效的证书,这将有助于防止其中 攻击者可能会运行一个假的RADIUS服务器欺骗攻击。 EAP-TLS也将需要使用从 RADIUS服务器的计算机证书,但我们也将需要为要连接到无线网络中每个用户 的客户端证书。 为了做到这一点,我们将配置我们的服务器成为一个根CA(证书颁发机构)。 这使得我们可以生成一个计算机证书,并生成客户端证书。
配置无线客户端进行EAP-TLS方式认证
无线用户要通过EAP-TLS进行身份验证代替PEAP,我们将要生成的客户端证书。 您的Windows7电脑连接到网络,使您可以访问服务器,打开Web浏览器并输 入以下地址: https://<ip-of-server>/certsrv
如果您使用的是Internet Explorer 10以上版本浏览 器时候,会收到一条警告, 说:“这个Web浏览器不 支持证书请求的生成。” 您需要启用IE兼容模式来 解决这个问题。
10
配置NPS策略进行EAP-TLS方式认证
场景:Sales部门的人员需要连接“Labs24-WPA2-EN-Cert”的无线网络, 该SSID需要进行证书验证,没有证书的用户不能通过认证。 新建网络策略
11
添加你认为必要且足够的条件
选择CA颁发给服务器的证书
12
13
在UTM上发布无线网络
14
22
23
通过域策略下发SSID配置和证书
24
25
© Sophos Ltd. All rights reserved.
26
5
6
7
8
9
PS:现在你有一个工作的认证机构和IIS正在运行服务的Web请求。如果您打算 使用EAP-TLS,我们需要启用IIS的HTTPS支持,默认情况下是禁用的。如果你只 是想使用PEAP,那么你可以跳过这一步。 如果不需要刻意直接跳过此步骤 单击开始>管理工具> Internet信息服务(IIS)管理器。