PEAP 认证方式
采用MS-CHAP v2的PEAP认证方式需要在 ACS服务器上安装证书,客户端则不需要证书. 为ACS服务器自动登记计算机证书能够简化部署过程.
为了将 DC_CA 配置成能够自动提供计算机及用户证书,需要完成以下配置过程.
注意: 微软在Windows 2003 企业版本CA服务中已经修改了 Web Server 模板功能,已经不提供密钥导出功能. 这里已经不再有证书模板支持为服务器认证提供证书服务的密钥导出功能,如果你需要这样做,你不得不像下面的步骤那样自己创建一个新的模板来达到此目的.
注意: Windows 2000 是允许将密钥导出的,如果你使用Windows 2000,你可以跳过以下设置过程.
安装证书模板
-
选择 Start > Run, 输入 mmc, 然后点击 OK.
-
在文件菜单,点击 Add/Remove Snap-in 然后点击 Add.
-
双击证书模板(Certificate Templates), 点击 Close, 然后点击 OK.
-
在控制树列表中, 点击证书模板 (Certificate Templates). 在细节面板中将列出所有的证书模板.
-
如果直接输入 certtmpl.msc 可以跳过第2~4步就可以直接打开证书模板.
在ACS WEB服务器上创建证书模板
在证书模板的细节面板,点击 Web Server 模板.
-
在动作菜单,点击 Duplicate Template.
-
在模板显示名称一栏,输入ACS.
-
转到请求处理 (Request Handling)页面,然后复选允许导出私有模钥 (Allow private key to be exported). 同时确认在目的下拉列表中已经选择了签名及加密 (Signature and Encryption) .
-
选择 Requests must use one of the following CSPs 并复选 Microsoft Base Cryptographic Provider v1.0. 把所有其它复选框去掉然后点击 OK.
-
转到主题名称 (Subject Name)页面, 选择 Supply in the request 然后点击 OK.
-
转到安全 (Security) 页面, 选中 Domain Admins Group 并确认已经复选了 Enroll 功能.
-
在 Issuance Requirements 页面,有更多关于安全方面的设置.在这里不进行更多的讨论.
使能新ACS WEB 服务器证书模板
按照为ACS WEB 服务器创建证书模板中第1~3步中的方法, 选择Certificate Authority 功能, 然后选择本地计算机 (Local Computer)并点击完成 (Finish)
-
在控制台树列表中,将 wirelessdemoca 展开, 然后右键点击证书模板 (Certificate Templates)
-
选择New > Certificate Template to Issue.
-
点击 ACS 证书模板.
-
点击 OK 然后打开活动目录用户及计算机 (Active Directory Users and Computers)
-
在控制台树列表中,双击活动目录用户及计算机 (Active Directory Users and Computers), 右键点击 wirelessdemo.local, 然后点击属性 (Properties)
-
转到组策略 (Group Policy)页面, 点击默认域策略 (Default Domain Policy), 然后点击编辑 (Edit). 打开组策略对象编辑窗口.
-
在控制树列表中,按序展开 Computer Configuration > Windows Settings > Security Settings > Public Key Policies, 然后选中 Automatic Certificate Request Settings.
-
右键点击自动证书请求设置 (Automatic Certificate Request Settings),然后选择 New > Automatic Certificate Request.
-
在弹出的自动证书请求安装向导页中,点击下一步 (Next)
-
在证书模板页,点击计算机 (Computer)然后点击下一步(Next)
-
当完成自动证书请求安装向导过程后,点击完成(Finish)
现在在细节面板中出现了名为计算机 (Computer)的证书类型.
-
在控制台树列表中,按序展开 User Configuration > Windows Settings > Security Settings > Public Key Policies.
-
在细节面板中,双击自动登记设置 (Autoenrollment Settings)
-
选择自动登记证书 (Enroll certificates automatically) 并且复选 Renew expired certificates, update pending certificates and remove revoked certificates 及 Update certificates that use certificate templates.
-
点击 OK 完成设置.