* MS QB323172 hotfix应在证书服务安装之后再进行,如已安装了此hotfix后才安装证书服务,则需在安装证书服务后再安装一遍此hotfix;
* MS QB323172 hotfix是针对Windows SP3以前的补丁,如已安装了SP4则此hotfix不能安装 。但我装了SP4后“Downloading ActiveX Control”出错信息仍然存在,只好用SP1的版本安装后再装此hotfix问题方消除,不知何故;
* 如是在实际环境中使用,应确保AAA client到AAA server的UDP 1812/1813端口没被无意中被block;
* ACS版本应尽量新,因为那个众所周知的Java出错问题,安装ACS机器的OS最好是E文版的OS;
* 配置ACS Server前先确保ACS Server已加入到域中;
* ACS Server中的“Reports and Activity→Failed Attempts→Failed Attempts XXX.csv”能给你些认证出错上的帮助;
* 最后的最后,ACS Server和Windows客户机上的安装证书可通过MMC中的Console Root→Certificates (Local Computer) →Trusted Root Certification Authorities→Certificates及Console Root→Certificates - Current User→Trusted Root Certification Authorities→Certificates进行校验 。
EAP-TLS的配置和PEAP是类似的,唯一不同的是Windows客户机上要多做一次证书申请的过程,同时ACS Server上的协议勾选为EAP-TLS即可,晚了,下次补充了 。
EAP-TLS的配置
一、配置Secure ACS
1、在ACS服务器上申请证书
同PEAP部分;
2、进行ACS的证书配置
同PEAP;
3、配置ACS所信任的CA
同PEAP;
4、重启ACS服务并进行EAP-TLS设置
选择“System Configuration→Service Control→Restart”重启服务;
选择“System Configuration→Global Authentication Setup”,勾选“Allow EAP-TLS”选项,同时勾选“Certificate SAN comparision”、“Certificate CN comparision”及“Certificate Binary comparision”选项;
5、配置AAA Client
同PEAP;
6、配置外部用户数据库
同PEAP 。
唯一不同是在“Windows EAP Settings”的“Machine Authentication”下勾选“Enable EAP-TLS machine authentication”选项,“EAP-TLS and PEAP machine authentication name prefix.”处使用默认的“host/”不用改动;
二、配置AAA客户端及802.1x
同PEAP
三、配置终端接入设备
1、在AD Server上配置MS Certificate Machine Autoenrollment
同PEAP;
2、将终端设备加入域
同PEAP;
3、为终端设备申请证书
在ACS服务器浏览器上键入http://192.168.168.196/certsrv进入证书WEB申请页面,登录用户采用当前用户账号 。
选择“Request a certificate→Advanced request→Submit a certificate request to this CA using a form”,接下来Certificate Template处选择“User”,Key Options:下的Key Size:填入“1024”,然后submit 。出现安全警告时均选择“Yes”,在CA Server上issue这个certificate,终端设备上会有Certificate Issued的提示信息,然后安装这个证书,如有需要安装CA自己的证书的提示信息,选择“Yes”;
4、进行终端设备上的802.1x认证设置
在以太网卡的连接属性中选择“Authentication→Enable IEEE 802.1x authentication for this network”,EAP type选为“Smart Card or other Certificate”,勾选“Authenticate as computer when computer information is available”,然后再点Properties,在Smart Card属性窗口中选择“Use a certificate on this computer”、“Use simple certificate selection(Recommended)”及“Validate server certificate”,同时在“Trusted Root Certificastion Authorities:”窗口中选择对应的ROOT CA,这里为acs-ca 。
推荐阅读
- 新购的CHT 9000的使用心得
- 联想s5中将短信删除具体操作方法
- 一滴香可以用吗
- 新保温壶第一次怎么清洗才能使用
- NOKIA 6020使用两年以来的感想
- 自热火锅怎么使用 自热火锅如何使用
- Realme x语音助手怎么唤醒 Breeno语音助手使用操作设置方法
- 美的电饭煲使用说明 美的电饭煲怎么使用
- 电磁炉的锅能在燃气灶上使用吗 电磁炉专用的锅可以在煤气灶上用的
- 无线蓝牙耳机怎么使用 无线蓝牙耳机如何使用