利用windowsserverNPS实现8021X认证Word下载.docx

利用windowsserverNPS实现8021X认证Word下载.docx

《利用windowsserverNPS实现8021X认证Word下载.docx》由会员分享，可在线阅读，更多相关《利用windowsserverNPS实现8021X认证Word下载.docx（41页珍藏版）》请在冰点文库上搜索。

弹出一个对话框，选择“下一步”如图所示

这里提示相关操作系统的兼容性，点击“下一步”如图所示：

因为我们装的是第一台完整的域控制器，所以选择“在新林中新建域”，点击“下一步”如图所示：

这里在目录林根级域的文本框中输入新的林根级完整的域名系统名称，我们这里输入本网站域名“ip-”的林的名称（本人使用的是的林的名称，所以后面配置NPS看到的是的域），点击“下一步”如图所示：

这里显示正在检查整个网络中是否已经使用该林的名称：

检查完毕后，出现NETBIOS，点击下一步，如图所示：

这里出现“设置林功能级别”对话框，林功能有Windows2000、Windowsserver2003、Windowsserver2008三个级别，默认林功能级别为Windows2003，这里我们选择Windowsserver2003（并不是选择越高越好），点击“下一步”如图所示：

这里出现“设置域功能级别”对话框，域功能有Windows2000、Windowsserver2003、Windowsserver2008三个级别，默认域功能级别为Windows2003，这里我们选择Windowsserver2003，点击“下一步”如图所示：

开始检查计算机上的DNS配置检查完毕后出现“其他域控制器选项”如下图所示：

选择“DNS服务器”（有些系统没有出现这步，无影响），点击下一步如图所示：

这里选择“是，该计算机将使用动态分配的IP地址”点击后如图所示：

弹出这个对话框，建议安装DNS，这样这个向导将自动创建DNS区域委派。

无论DNS服务器服务是否与活动集成，都必须将其它安装在部署的活动目录林根域的第一个域控制器上，点“是”如图所示：

这里出现，数据库、日志文件和SYSVOL的安装位置，这时可以修改其它安装的目录，点击“下一步”如图所示：

弹出目录还原模式的管理员密码，这个密码将是会在删除域或当您的域出现问题需要还原的时候需要用到的，点“下一步”如图所示：

这里显示这前所有的操作，检查无误后点“下一步”如图所示：

这里正在配置相关信息等待完成,如图所示：

到这里配置就完成了，点击“完成”，如图所示：

这里点击立即重新启动，等到服务器重启后，登录名就会出现“域名/administrator”，如本人创建的林是，登录出现WIN8AD/Administrator：

2、Windowsserver2008安装配置CA

CA（证书颁发机构）

为了保证网络上信息的传输安全，除了在通信中采用更强的加密算法等措施外，必须建立一种信任及信任验证机制，即通信各方必须有一个可以被验证的标识，这就需要使用数字证书，证书的主体可以是用户、计算机、服务等。

证书可以用于多方面，例如Web用户身份验证、web服务器身份验证、安全电子邮件等。

安装证书确保望上传递信息的机密性、完整性、以及通信双方身份的真实性，从而保障网络应用的安全性。

CA分为两大类，企业CA和独立CA；

企业CA的主要特征如下：

●企业CA安装时需要AD（活动目录服务支持），即计算机在活动目录中才可以。

●当安装企业根时，对于域中的所用计算机，它都将会自动添加到受信任的根证书颁发机构的证书存储区域；

●必须是域管理员或对AD有写权限的管理员，才能安装企业根CA；

独立CA主要以下特征:

●CA安装时不需要AD（活动目录服务）。

●一般情况下，发送到独立CA的所有证书申请都被设置为挂起状态，需要管理员手动颁发。

这完全出于安全性的考虑，因为证书申请者的凭证还没有被独立CA验证；

在简单介绍完CA的分类后，我们现在AD（活动目录）环境下安装证书服务，即安装企业证书，具体步骤如下：

登录Windowsserver2008，开始-管理工具-服务器管理器-角色—打开添加角色向导。

选择“添加角色”出现如下图所示，点击“下一步”：

：

在弹出的对话框中选择“ActiveDirectory证书服务”（如果有关联组件没有安装，会提示需要安装关联组件，选择“是”即可），点击下一步如图所示：

在选择角色服务中选择证书颁发机构和证书颁发机构Web注册；

在指定安装类型中选择”企业”，点击下一步；

在“指定CA类型”中选择“根CA”，点击下一步；

在设置私钥窗口中选择“新建私钥”，点击下一步；

在配置加密窗口，使用默认的加密服务程序、哈希算法和密钥长度，点击“下一步”；

接下来需要配置CA的名称（没有截图，借用2003的一张截图，类似）

因为在同一台Server上，所以在CA的公用名称里默认名称是与域名计算名相关的公用名称，我们改为简单点的，输入“ROOTCA”，可分辨名称后缀包含CN=ROOTCA,DC=WIN8AD,DC=COM三项，是自动生成的，没有自动生成就自己加一下。

单击“下一步”到确认—安装;

安装完成后，从管理工具中可以看到“证书颁发机构”，打开证书颁发机构管理器，管理证书的颁发；

也可以从服务器管理器的列表中看到：

CA装完之后，就会给AD域服务器颁发证书，也会给本机颁发计算机证书，如果没有可以自己去申请，在运行里输入mmc-文件-添加/删除管理单元-证书（双击）-计算机账户：

如下图所示，多了本地计算机证书：

确定之后，控制台根节点多了本地计算机证书列表，点击个人-证书（右击）-所有任务-申请新证书，如下图所示：

就可以为本机申请一个计算机证书，申请完如下图所示，本地计算机就有两个证书，一个是ROOTCA颁发给ROOTCA的证书，一个是ROOTCA颁发给计算机WINZXB的证书：

证书安装到此完成。

3、Windowsserver2008安装配置NPS组件

3.1、安装NPS组件

登录Windowsserver2008，开始-管理工具-服务器管理器-角色-打开添加角色向导：

选择“添加角色”出现如下图所示：

选择“网络策略和访问服务”角色，点击下一步：

服务简介，点击下一步：

选择“网络策略服务器”和“健康注册机构”和“主机凭据授权协议”三项，点击下一步：

在选择合适的证书机构来作为健康注册机构时，选择刚才安装的CA服务器，通过点击右边的选择按钮就会弹出刚才安装的CA服务器，选择并确定即可。

点击下一步：

选择使用加密，即第一项，点击下一步：

在这之前，需要为服务器申请一个计算机证书，用以SSL加密，在刚才安装CA服务器的时候，我们已经为本机申请了计算机证书，即ROOTCA颁发给WINZXB的证书。

因此，在这个选择加密的服务器认证证书时，选择第一项“选择一个已经存在的证书来为SSL加密”，然后点击右边的“导入”，弹出刚才安装的两个证书，一个是ROOTCA颁发给ROOTCA的证书，另一个是ROOTCA颁发给WINZXB的证书，选择后者导入。

点击下一步，后续可能需要安装一些关联组件，选择是即可，确认信息无误后一直点击下一步直到安装成功即可。

3.2、配置Radius客户端

登录Windowsserver2008，开始-管理工具-服务器管理器-网络策略和访问服务-配置Radius客户端：

弹出Radius客户端列表，如果还没有配置Radius客户端的话，列表为空（下面是已经配置一个客户端SW了），选择“新建”：

弹出新建RADIUS客户端选项框，在这里输入RADIUS客户端（即NAS）的名称、地址（IP）、手动共享机密内容，在高级选项里还可以选择是否是NAP（这个貌似关系不大）。

点击确定就配置好了。

3.3、配置NAP策略

登录Windowsserver2008，开始-管理工具-服务器管理器-网络策略和访问服务-NPS-配置NAP：

网络连接方法选择IEEE802.1x有线：

确定后，会自动生成策略的名称：

一般默认即可，点击下一步：

在指定NAS时，可以看到我们刚才添加的Radius客户端，也可以在这里添加点击下一步：

配置用户组和计算机组，不管，不用添加，点击下一步：

配置身份验证办法，默认只勾选第一项，我们把第二项也勾选，后面认证的时候有三种身份验证方式，一是智能卡或其它证书，二是PEAP-智能卡或其它证书，三是PEAP-MSCHAPv2。

配置流量控制没管没配置，可以配置相关属性，比如划分认证通过的网络的VLANID等，点击下一步：

都是默认，没改：

算是配置完了。

4、802.1x认证过程

4.1、PC证书安装

首先要先为PC（如WIN7系统）向CA服务器申请证书并安装，在网页浏览器中输入：

http:

//IP_of_CA/certsrv

因为CA服务器也安装在windows2008上，所以IP_of_CA就是windows2008的IP地址，点击“申请证书”：

根据实际情况选择“用户证书”还是“高级证书”，这里选择“用户证书”即可：

“提交”申请：

提交完之后，等待CA服务器颁发证书。

等待时间与CA服务器的设置有关，如果CA服务器需要手动去响应证书请求，则会PC端会跳出已经提交请求请等待的页面，如果CA服务器设置成自动响应证书请求，则会立即颁发证书给请求者，如下图所示，PC直接收到CA服务器颁发的证书，点击“安装此证书”：

证书安装完成。

4.2、交换机配置

不同厂商的交换机配置都是大同小异，可以根据自己使用的交换机进行相应的配置，认证radius服务器IP就是windows2008的IP地址。

4.3、本地连接属性配置

打开“本地连接属性”，进入“身份验证”，如果没有“身份验证”这一项，打开“服务”，启动“WiredAutoConfig”服务。

在“本地连接属性”里打勾“启用IEEE802.1X身份认证”，网络身份验证方法选择“智能卡或其它证书”或其它方式。

进入右边的“设置”，可以选择是否验证服务器证书。

确定后网络连接断开，开始进入802.1X身份验证阶段，可以通过wireshark抓包来查看报文交互过程，认证通过则可以上网，认证不通过则不能上网。

5、NPS支持IPv6

NPS已经支持IPv6，如果认证PC、交换机（NAS）、认证服务器（windows2008NPS）具有可通信IPv6地址（内网或全局都可），可以实现使用IPv6地址进行802.1X认证，只要将配置Radius客户端步骤中客户端的IP换成NAS的IPv6地址，交换机（NAS）上的认证服务器地址配置成认证服务器（windows2008NPS）的IPv6地址即可。