利用windowsserverNPS实现X认证仅供参考Word文档格式.docx
- 文档编号:13165138
- 上传时间:2022-10-07
- 格式:DOCX
- 页数:48
- 大小:3.18MB
利用windowsserverNPS实现X认证仅供参考Word文档格式.docx
《利用windowsserverNPS实现X认证仅供参考Word文档格式.docx》由会员分享,可在线阅读,更多相关《利用windowsserverNPS实现X认证仅供参考Word文档格式.docx(48页珍藏版)》请在冰豆网上搜索。
5、NPS支持IPv6 41
1、Windowsserver2008安装配置AD
活动目录(ActiveDirectory)是面向WindowsStandardServer、WindowsEnterpriseServer以及WindowsDatacenterServer的目录服务。
ActiveDirectory不能运行在WindowsWebServer上,但是可以通过它对运行WindowsWebServer的计算机进行管理。
使得WINDOWS2000以上服务器系统与Internet上的各项服务和协议更加联系紧密,因为它对目录的命名方式成功地与”域名“的命名方式一致,然后通过DNS进行解析,使得与在Internet上通过WINS解析取得一致的效果。
下面将演示Windowsserver2008活动目录安装与配置的安装方法。
登录Windowsserver2008,开始-管理工具-服务器管理器-角色—打开添加角色向导。
选择“添加角色”出现如下图所示:
在弹出的对话框中点击“下一步”:
在弹出的对话框中选择“ActiveDirectory域服务”(如果有关联组件没有安装,会提示需要安装关联组件,选择“是”即可),点击下一步如图所示:
在弹出的对话框中出现相关ActiveDirectory域服务相关简介这里面会介绍安装及配置以及相关注意事项,点击下一步如图所示:
点击“安装”,如图:
安装成功之后,点击“关闭”。
下面需要进行ActiveDirectory域服务安装向导。
点击开始—-运行—输入“dcpromo”如图所示:
点击“确定”,如图所示:
弹出一个对话框,选择“下一步”如图所示
这里提示相关操作系统的兼容性,点击“下一步”如图所示:
因为我们装的是第一台完整的域控制器,所以选择“在新林中新建域”,点击“下一步”如图所示:
这里在目录林根级域的文本框中输入新的林根级完整的域名系统名称,我们这里输入本网站域名“ip-”的林的名称(本人使用的是的林的名称,所以后面配置NPS看到的是的域),点击“下一步”如图所示:
这里显示正在检查整个网络中是否已经使用该林的名称:
检查完毕后,出现NETBIOS,点击下一步,如图所示:
这里出现“设置林功能级别”对话框,林功能有Windows2000、Windowsserver2003、Windowsserver2008三个级别,默认林功能级别为Windows2003,这里我们选择Windowsserver2003(并不是选择越高越好),点击“下一步”如图所示:
这里出现“设置域功能级别”对话框,域功能有Windows2000、Windowsserver2003、Windowsserver2008三个级别,默认域功能级别为Windows2003,这里我们选择Windowsserver2003,点击“下一步”如图所示:
开始检查计算机上的DNS配置检查完毕后出现“其他域控制器选项”如下图所示:
选择“DNS服务器”(有些系统没有出现这步,无影响),点击下一步如图所示:
这里选择“是,该计算机将使用动态分配的IP地址”点击后如图所示:
弹出这个对话框,建议安装DNS,这样这个向导将自动创建DNS区域委派。
无论DNS服务器服务是否与活动集成,都必须将其它安装在部署的活动目录林根域的第一个域控制器上,点“是”如图所示:
这里出现,数据库、日志文件和SYSVOL的安装位置,这时可以修改其它安装的目录,点击“下一步”如图所示:
弹出目录还原模式的管理员密码,这个密码将是会在删除域或当您的域出现问题需要还原的时候需要用到的,点“下一步”如图所示:
这里显示这前所有的操作,检查无误后点“下一步”如图所示:
这里正在配置相关信息等待完成,如图所示:
到这里配置就完成了,点击“完成”,如图所示:
这里点击立即重新启动,等到服务器重启后,登录名就会出现“域名/administrator”,如本人创建的林是,登录出现WIN8AD/Administrator:
46
2、Windowsserver2008安装配置CA
CA(证书颁发机构)
为了保证网络上信息的传输安全,除了在通信中采用更强的加密算法等措施外,必须建立一种信任及信任验证机制,即通信各方必须有一个可以被验证的标识,这就需要使用数字证书,证书的主体可以是用户、计算机、服务等。
证书可以用于多方面,例如Web用户身份验证、web服务器身份验证、安全电子邮件等。
安装证书确保望上传递信息的机密性、完整性、以及通信双方身份的真实性,从而保障网络应用的安全性。
CA分为两大类,企业CA和独立CA;
企业CA的主要特征如下:
l企业CA安装时需要AD(活动目录服务支持),即计算机在活动目录中才可以。
l当安装企业根时,对于域中的所用计算机,它都将会自动添加到受信任的根证书颁发机构的证书存储区域;
l必须是域管理员或对AD有写权限的管理员,才能安装企业根CA;
独立CA主要以下特征:
lCA安装时不需要AD(活动目录服务)。
l一般情况下,发送到独立CA的所有证书申请都被设置为挂起状态,需要管理员手动颁发。
这完全出于安全性的考虑,因为证书申请者的凭证还没有被独立CA验证;
在简单介绍完CA的分类后,我们现在AD(活动目录)环境下安装证书服务,即安装企业证书,具体步骤如下:
选择“添加角色”出现如下图所示,点击“下一步”:
:
在弹出的对话框中选择“ActiveDirectory证书服务”(如果有关联组件没有安装,会提示需要安装关联组件,选择“是”即可),点击下一步如图所示:
在选择角色服务中选择证书颁发机构和证书颁发机构Web注册;
在指定安装类型中选择”企业”,点击下一步;
在“指定CA类型”中选择“根CA”,点击下一步;
在设置私钥窗口中选择“新建私钥”,点击下一步;
在配置加密窗口,使用默认的加密服务程序、哈希算法和密钥长度,点击“下一步”;
接下来需要配置CA的名称(没有截图,借用2003的一张截图,类似)
因为在同一台Server上,所以在CA的公用名称里默认名称是与域名计算名相关的公用名称,我们改为简单点的,输入“ROOTCA”,可分辨名称后缀包含CN=ROOTCA,DC=WIN8AD,DC=COM三项,是自动生成的,没有自动生成就自己加一下。
单击“下一步”到确认—安装;
安装完成后,从管理工具中可以看到“证书颁发机构”,打开证书颁发机构管理器,管理证书的颁发;
也可以从服务器管理器的列表中看到:
CA装完之后,就会给AD域服务器颁发证书,也会给本机颁发计算机证书,如果没有可以自己去申请,在运行里输入mmc-文件-添加/删除管理单元-证书(双击)-计算机账户:
如下图所示,多了本地计算机证书:
确定之后,控制台根节点多了本地计算机证书列表,点击个人-证书(右击)-所有任务-申请新证书,如下图所示:
就可以为本机申请一个计算机证书,申请完如下图所示,本地计算机就有两个证书,一个是ROOTCA颁发给ROOTCA的证书,一个是ROOTCA颁发给计算机WINZXB的证书:
证书安装到此完成。
3、Windowsserver2008安装配置NPS组件
3.1、安装NPS组件
登录Windowsserver2008,开始-管理工具-服务器管理器-角色-打开添加角色向导:
选择“网络策略和访问服务”角色,点击下一步:
服务简介,点击下一步:
选择“网络策略服务器”和“健康注册机构”和“主机凭据授权协议”三项,点击下一步:
在选择合适的证书机构来作为健康注册机构时,选择刚才安装的CA服务器,通过点击右边的选择按钮就会弹出刚才安装的CA服务器,选择并确定即可。
点击下一步:
选择使用加密,即第一项,点击下一步:
在这之前,需要为服务器申请一个计算机证书,用以SSL加密,在刚才安装CA服务器的时候,我们已经为本机申请了计算机证书,即ROOTCA颁发给WINZXB的证书。
因此,在这个选择加密的服务器认证证书时,选择第一项“选择一个已经存在的证书来为SSL加密”,然后点击右边的“导入”,弹出刚才安装的两个证书,一个是ROOTCA颁发给ROOTCA的证书,另一个是ROOTCA颁发给WINZXB的证书,选择后者导入。
点击下一步,后续可能需要安装一些关联组件,选择是即可,确认信息无误后一直点击下一步直到安装成功即可。
3.2、配置Radius客户端
登录Windowsserver2008,开始-管理工具-服务器管理器-网络策略和访问服务-配置Radius客户端:
弹出Radius客户端列表,如果还没有配置Radius客户端的话,列表为空(下面是已经配置一个客户端SW了),选择“新建”:
弹出新建RADIUS客户端选项框,在这里输入RADIUS客户端(即NAS)的名称、地址(IP)、手动共享机密内容,在高级选项里还可以选择是否是NAP(这个貌似关系不大)。
点击确定就配置好了。
3.3、配置NAP策略
登录Windowsserver2008,开始-管理工具-服务器管理器-网络策略和访问服务-NPS-配置NAP:
网络连接方法选择IEEE802.1x有线:
确定后,会自动生成策略的名称:
一般默认即可,点击下一步:
在指定NAS时,可以看到我们刚才添加的Radius客户端,也可以在这里添加点击下一步:
配置用户组和计算机组,不管,不用添加,点击下一步:
配置身份验证办法,默认只勾选第一项,我们把第二项也勾选,后面认证的时候有三种身份验证方式,一是智能卡或其它证书,二是PEAP-智能卡或其它证书,三是PEAP-MSCHAPv2。
配置流量控制,可以配置相关属性,比如划分认证通过的网络的VLANID等,点击下一步:
都是默认,没改:
算是配置完了。
4、802.1x认证过程
4.1、PC证书安装
首先要先为PC(如WIN7系统)向CA服务器申请证书并安装,在网页浏览器中输入:
http:
//IP_of_CA/certsrv
因为CA服务器也安装在windows2008上,所以IP_of_CA就是windows2008的IP地址,点击“申请证书”:
根据实际情况选择“用户证书”还是“高级证书”,这里选择“用户证书”即可:
“提交”申请:
提交完之后,等待CA服务器颁发证书。
等待时间与CA服务器的设置
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 利用 windowsserverNPS 实现 认证 仅供参考