收藏
下载资源

利用windowsserverNPS实现X认证

上传人:012****78 文档编号:141967991 上传时间:2020-08-14 格式:DOCX 页数:45 大小:3.23MB
返回 下载 相关 举报
利用windowsserverNPS实现X认证_第1页
第1页 / 共45页
利用windowsserverNPS实现X认证_第2页
第2页 / 共45页
利用windowsserverNPS实现X认证_第3页
第3页 / 共45页
利用windowsserverNPS实现X认证_第4页
第4页 / 共45页
利用windowsserverNPS实现X认证_第5页
第5页 / 共45页
点击查看更多>>
资源描述

《利用windowsserverNPS实现X认证》由会员分享,可在线阅读,更多相关《利用windowsserverNPS实现X认证(45页珍藏版)》请在金锄头文库上搜索。

1、利用windows-server-NPS实现.X认证 作者: 日期:利用windows server 2008 NPS实现802.1X认证目录1、Windows server 2008安装配置AD12、Windows server 2008安装配置CA183、Windows server 2008安装配置NPS组件273.1、安装NPS组件273.2、配置Radius客户端313.3、配置NAP策略334、802.1x认证过程384.1、PC证书安装384.2、交换机配置404.3、本地连接属性配置405、NPS支持IPv6411、Windows server 2008安装配置AD 活动目录(

2、Active Directory)是面向Windows Standard Server、Windows Enterprise Server以及 Windows Datacenter Server的目录服务。Active Directory不能运行在Windows Web Server上,但是可以通过它对运行Windows Web Server的计算机进行管理。使得WINDOWS 2000以上服务器系统与Internet上的各项服务和协议更加联系紧密,因为它对目录的命名方式成功地与”域名“的命名方式一致,然后通过DNS进行解析,使得与在Internet上通过WINS解析取得一致的效果。下面将演示

3、Windows server 2008活动目录安装与配置的安装方法。登录Windows server 2008,开始-管理工具-服务器管理器-角色打开添加角色向导。选择“添加角色”出现如下图所示:在弹出的对话框中点击“下一步”:在弹出的对话框中选择“Active Directory 域服务”(如果有关联组件没有安装,会提示需要安装关联组件,选择“是”即可),点击下一步如图所示:在弹出的对话框中出现相关 Active Directory 域服务相关简介这里面会介绍安装及配置以及相关注意事项,点击下一步如图所示:点击“安装”,如图:安装成功之后,点击“关闭”。下面需要进行 Active Direc

4、tory 域服务安装向导。点击开始-运行输入 “dcpromo”如图所示:点击“确定”,如图所示:弹出一个对话框,选择“下一步”如图所示这里提示相关操作系统的兼容性,点击“下一步”如图所示:因为我们装的是第一台完整的域控制器,所以选择“在新林中新建域”,点击“下一步”如图所示:这里在目录林根级域的文本框中输入新的林根级完整的域名系统名称,我们这里输入本网站域名“ip-”的林的名称(本人使用的是的林的名称,所以后面配置NPS看到的是的域),点击“下一步”如图所示:这里显示正在检查整个网络中是否已经使用该林的名称: 检查完毕后,出现NETBIOS,点击下一步,如图所示: 这里出现“设置林功能级别”

5、对话框,林功能有 Windows 2000、Windows server 2003 、Windows server 2008 三个级别,默认林功能级别为 Windows 2003,这里我们选择Windows server 2003 (并不是选择越高越好), 点击“下一步”如图所示:这里出现“设置域功能级别”对话框,域功能有 Windows 2000、Windows server 2003 、Windows server 2008 三个级别,默认域功能级别为 Windows 2003,这里我们选择Windows server 2003 , 点击“下一步”如图所示:开始检查计算机上的DNS配置检查

6、完毕后出现“其他域控制器选项”如下图所示:选择“DNS 服务器”(有些系统没有出现这步,无影响 ),点击下一步如图所示:这里选择“是,该计算机将使用动态分配的IP地址” 点击后如图所示:弹出这个对话框,建议安装DNS,这样这个向导将自动创建DNS区域委派。无论DNS服务器服务是否与活动集成,都必须将其它安装在部署的活动目录林根域的第一个域控制器上,点“是”如图所示:这里出现,数据库、日志文件和SYSVOL的安装位置,这时可以修改其它安装的目录,点击“下一步”如图所示:弹出目录还原模式的管理员密码,这个密码将是会在删除域或当您的域出现问题需要还原的时候需要用到的,点“下一步”如图所示:这里显示这

7、前所有的操作,检查无误后点“下一步”如图所示:这里正在配置相关信息等待完成,如图所示:到这里配置就完成了,点击“完成”,如图所示:这里点击立即重新启动,等到服务器重启后,登录名就会出现“域名/administrator”,如本人创建的林是,登录出现WIN8AD/Administrator: 2、Windows server 2008安装配置CACA(证书颁发机构)为了保证网络上信息的传输安全,除了在通信中采用更强的加密算法等措施外,必须建立一种信任及信任验证机制,即通信各方必须有一个可以被验证的标识,这就需要使用数字证书,证书的主体可以是用户、计算机、服务等。证书可以用于多方面,例如Web用户

8、身份验证、web服务器身份验证、安全电子邮件等。安装证书确保望上传递信息的机密性、完整性、以及通信双方身份的真实性,从而保障网络应用的安全性。CA分为两大类,企业CA和独立CA;企业CA的主要特征如下:l 企业CA安装时需要AD(活动目录服务支持),即计算机在活动目录中才可以。l 当安装企业根时,对于域中的所用计算机,它都将会自动添加到受信任的根证书颁发机构的证书存储区域;l 必须是域管理员或对AD有写权限的管理员,才能安装企业根CA;独立CA主要以下特征:l CA安装时不需要AD(活动目录服务)。l 一般情况下,发送到独立CA的所有证书申请都被设置为挂起状态,需要管理员手动颁发。这完全出于安

9、全性的考虑,因为证书申请者的凭证还没有被独立CA验证; 在简单介绍完CA的分类后,我们现在AD(活动目录)环境下安装证书服务,即安装企业证书,具体步骤如下:登录Windows server 2008,开始-管理工具-服务器管理器-角色打开添加角色向导。选择“添加角色”出现如下图所示,点击“下一步”:在弹出的对话框中选择“Active Directory 证书服务”(如果有关联组件没有安装,会提示需要安装关联组件,选择“是”即可),点击下一步如图所示:在选择角色服务中选择证书颁发机构和证书颁发机构Web注册;在指定安装类型中选择”企业”,点击下一步;在“指定CA类型”中选择“根CA”, 点击下一

10、步;在设置私钥窗口中选择“新建私钥”, 点击下一步;在配置加密窗口,使用默认的加密服务程序、哈希算法和密钥长度,点击“下一步”;接下来需要配置CA的名称(没有截图,借用2003的一张截图,类似)因为在同一台Server上,所以在CA的公用名称里默认名称是与域名计算名相关的公用名称,我们改为简单点的,输入“ROOT CA”,可分辨名称后缀包含CN=ROOT CA, DC=WIN8AD, DC=COM三项,是自动生成的,没有自动生成就自己加一下。单击“下一步”到确认安装;安装完成后,从管理工具中可以看到“证书颁发机构”,打开证书颁发机构管理器,管理证书的颁发;也可以从服务器管理器的列表中看到:CA

11、装完之后,就会给AD域服务器颁发证书,也会给本机颁发计算机证书,如果没有可以自己去申请,在运行里输入mmc-文件-添加/删除管理单元-证书(双击)-计算机账户:如下图所示,多了本地计算机证书:确定之后,控制台根节点多了本地计算机证书列表,点击个人-证书(右击)-所有任务-申请新证书,如下图所示:就可以为本机申请一个计算机证书,申请完如下图所示,本地计算机就有两个证书,一个是ROOT CA颁发给ROOT CA的证书,一个是ROOT CA颁发给计算机WINZXB的证书:证书安装到此完成。3、Windows server 2008安装配置NPS组件3.1、安装NPS组件登录Windows serve

12、r 2008,开始-管理工具-服务器管理器-角色-打开添加角色向导:选择“添加角色”出现如下图所示:选择“网络策略和访问服务”角色,点击下一步:服务简介,点击下一步:选择“网络策略服务器”和“健康注册机构”和“主机凭据授权协议”三项, 点击下一步:在选择合适的证书机构来作为健康注册机构时,选择刚才安装的CA服务器,通过点击右边的选择按钮就会弹出刚才安装的CA服务器,选择并确定即可。点击下一步:选择使用加密,即第一项,点击下一步:在这之前,需要为服务器申请一个计算机证书,用以SSL加密,在刚才安装CA服务器的时候,我们已经为本机申请了计算机证书,即ROOT CA颁发给WINZXB的证书。因此,在

13、这个选择加密的服务器认证证书时,选择第一项“选择一个已经存在的证书来为SSL加密”,然后点击右边的“导入”,弹出刚才安装的两个证书,一个是ROOT CA颁发给ROOT CA的证书,另一个是ROOT CA颁发给WINZXB的证书,选择后者导入。点击下一步,后续可能需要安装一些关联组件,选择是即可,确认信息无误后一直点击下一步直到安装成功即可。3.2、配置Radius客户端登录Windows server 2008,开始-管理工具-服务器管理器-网络策略和访问服务-配置Radius客户端:弹出Radius客户端列表,如果还没有配置Radius客户端的话,列表为空(下面是已经配置一个客户端SW了),

14、选择“新建”:弹出新建RADIUS客户端选项框,在这里输入RADIUS客户端(即NAS)的名称、地址(IP)、手动共享机密内容,在高级选项里还可以选择是否是NAP(这个貌似关系不大)。点击确定就配置好了。3.3、配置NAP策略登录Windows server 2008,开始-管理工具-服务器管理器-网络策略和访问服务-NPS-配置NAP:网络连接方法选择IEEE 802.1x有线:确定后,会自动生成策略的名称:一般默认即可,点击下一步:在指定NAS时,可以看到我们刚才添加的Radius客户端,也可以在这里添加点击下一步:配置用户组和计算机组,不管,不用添加,点击下一步:配置身份验证办法,默认只勾选第一项,我们把第二项也勾选,后面认证的时候有三种身份验证方式,一是智能卡或其它证书,二是PEAP-智能卡或其它证书,三是PEAP-MSCHAPv2。点击下一步:配置流量控制没管没配置,可以配置相关属性,比如划分认证通过的网络的VLAN ID等,点击下一步:都是默认,没改:算是配置完了。4、802.1x认证过程4.1、PC证书安装首先要先为PC(如WIN7系统)向CA服务器申请

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 大杂烩/其它

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号