2025年度认证通过证书安全认证解决方案.doc

该【2025年度认证通过证书安全认证解决方案 】是由【梅花书斋】上传分享，文档一共【58】页，该文档可以免费在线阅读，需要了解更多关于【2025年度认证通过证书安全认证解决方案 】的内容，可以使用淘豆网的站内搜索功能，选择自己适合的文档，以下文字是截取该文章内的部分文字，如需要获得完整电子版，请下载此文档到您的设备，方便您编辑和打印。+证书安全认证处理方案试验拓扑拓扑阐明:WindowsServerIP::???????????????AC的IP:???????????????AP的管理IP:???????????????三层互换机和AP的互联IP:?三层互换机和AC的互联IP::~:本试验需要用到WindowsServer,并且在WindowsServer安装DNS、AD、CA、IAS等组件,采用CA為IAS以及终端颁发证书,AD域建立顾客,IAS作為radius服务器对终端顾客进行认证并对客户端证书进行有效性检测。,密钥认证方式為WPA+企业级。根据上面的拓扑环境,IPAD连接无线SSID后,输入顾客名和密码到windows进行顾客以及证书验证,验证通过后自动获取IP地址,并能PING通AC。【试验设备】WindowsServer1台,AC1台,AP1台,三层互换机1台,测试IPAD1台,网线若干。【试验环节】:(活动目录)在WindowsServer上,点击“开始”----“运行”,输入“dcpromo”,点“确定”,启动“活动目录安装向导”。如下图:此处选择“新域的域控制器”,使此计算机作為此域的域控制器(DC)。此处选择“在新林中的域”。输入“”作為新建域的域名。BIOS域名,此处使用默认的“TEST”。设置数据库和曰志文献的保留途径,此处选择默认设置。设置共享的系统卷,此处使用默认设置。DNS注册诊断,由于此服务器还没有安装DNS服务器组件,因此显示诊断失败,这里选择“在这台计算机安装并配置DNS服务器,并将这台DNS服务器设為计算机的首选DNS服务器”。设置顾客和组对象的默认权限,此处选择默认设置。设置目录还原模式的管理员密码。开始安装和配置活动目录。活动目录安装完毕。点击“立既重新启动”,重启windowsserver。(CA)。EAP最初设计用于点对点协议(PPP)连接,它容許顾客创立任意身份验证模式来验证网络访问。祈求访问的客户端和进行身份验证的服务器必须首先协商特定EAP身份验证模式(称為EAP类型)的使用。在就EAP类型达到一致之后,EAP容許访问客户端和身份验证服务器(一般是一种RADIUS服务器)之间进行无限制的对话。,我們采用的是PEAP(ProtectedExtensibleAuthenticationProtocol)的验证方式。这是一种基于密码的验证协议,可以协助企业实現简朴、安全的验证功能。PEAP是一种EAP类型,它首先创立同步被加密和使用传播层安全(TLS)来进行完整性保护的安全通道。然后进行另一种EAP类型的新的EAP协商,从而对客户端的网络访问尝试进行身份验证。由于TLS通道保护网络访问尝试的EAP协商和身份验证,因此可以将一般轻易受到脱机字典袭击的基于密码的身份验证协议可用于在安全的网络环境中执行身份验证。PEAP是一种通过TLS来深入增强其他EAP身份验证措施安全性的身份验证机制。(PEAP-TLS,同步在服务器身份验证过程与客户端身份验证过程中使用证书)(PEAP-MS-CHAPv2,在服务器身份验证过程中使用证书,而在客户端身份验证过程中使用基于口令的授权凭证。若客户端但愿对网络进行认证,必须下载证书)的支持能力。MS-CHAPv2是一种基于密码的质询-响应式互相身份验证协议,使用工业原则的“信息摘要4(MessageDigest4,MD4)”和数据加密原则(DataEncryptionStandard,DES)算法来加密响应。身份验证服务器质询接入客户端,然后接入客户端又质询身份验证服务器。假如其中任一质询没有得到对的的回答,连接就被拒绝。通过上面的简介,我們可以得出結论:不管对无线连接使用哪种身份验证措施(PEAP-TLS或PEAP-MS-CHAPv2),都必须在IAS服务器上安装计算机证书。安装一种证书服务既指定一种证书颁发机构(CA),证书可以从第三方的CA机构获取,例如VeriSign,或者从企业内部的CA机构颁发。这两种方案在老式意义上都是可行的,不过对于小型企业来說并不現实,由于小型企业不乐意每年花诸多额外的钱购置第三方认证机构的证书,因此可以考虑在企业内部自已架设CA服务器。我們这里采用的是在IAS服务器和客户端上都需要安装证书,以完毕双方的互相认证。客户端通过web从CA上下载证书,首先需要安装IIS。在“windows组件向导”选择“应用程序服务器”,点击“详细信息”。