对于 PEAP-MS-CHAP v2,您不必部署证书基础结构来为每台无线客户端计算机颁发计算机和用户证书。 相反,您可以通过商业证书颁发机构为企业中的每个 IAS 服务器获得单独的证书,并将它们安装在 IAS 服务器上。 有关更多信息,请参见本文中的“步骤 3:配置主 IAS 服务器”和“步骤 4:配置辅助助 IAS 服务器”。 Windows 无线客户端包括许多知名和受信任的商业 CA 的根 CA 证书。 如果从已经为其安装了根 CA 证书的商业 CA 获得计算机证书,Windows 无线客户端上就不需要安装附加的证书。 如果从还没有为其安装根 CA 证书的商业 CA 获得计算机证书,您必须在每个 Windows 无线客户端上安装 IAS 服务器上安装的计算机证书的颁发者的根 CA 证书。 有关更多信息,请参见本文中的“步骤 10:为 PEAP-MS-CHAP v2 配置无线客户端计算机”。
在 Windows Server 2003、Windows XP 和 Windows 2000 中,您可以从“证书”管理单元中证书属性的证书路径选项卡查看证书链。您可以在 Trusted Root Certification Authorities\Certificates 文件夹中查看已安装的根 CA 证书,在 Intermediate Certification Authorities\Certificates 文件夹中查看中级 CA 证书。
在典型的企业部署中,证书基础结构是使用一个包含根 CA/中级 CA/颁发 CA 的三层结构中的单个根 CA 来配置的。 颁发 CA 配置用于颁发计算机证书和用户证书。 当在无线客户端上安装计算机证书或用户证书时,同时也会安装颁发 CA 证书、中级 CA 证书和根 CA 证书。 当在 IAS 服务器计算机上安装计算机证书时,同时也会安装颁发 CA 证书、中级 CA 证书和根 CA 证书。 IAS 服务器证书的颁发 CA 可以不同于无线客户端证书的颁发 CA。 在这样的情况下,无线客户端和 IAS 服务器计算机都有所有必需的证书,用以执行 EAP-TLS 身份验证的证书验证。
如果已经有一个用于 EAP-TLS 身份验证的证书基础结构,并且正在将 RADIUS 用于拨号或虚拟专用网 (VPN) 远程访问连接,您可以跳过一些证书基础结构步骤。 您可以将相同的证书基础结构用于无线连接。 然而,您必须确保安装计算机证书来进行计算机身份验证。 对于不带 Service Pack 的 Windows XP 计算机,您必须在该计算机上存储用户证书以进行用户身份验证(而不是使用智能卡)。 对于运行 Windows Server 2003、Windows XP SP1、Windows XP SP2 或 Windows 2000 的计算机,您可以使用存储在计算机上的用户证书或智能卡来进行用户身份验证。
步骤 1a:安装证书基础结构
在安装证书基础结构时,请遵循以下最佳实践:
在部署 CA 之前规划公钥基础结构 (PKI)。
根 CA 应该处于离线状态,它的签名密钥应使用硬件安全模块 (HSM) 进行保护,并保管在保险库中以最小化潜在的密钥泄漏风险。
精品推荐
