步驟 7:在無線客戶端計算機上安裝用於 EAP-TLS 的計算機證書 對於使用 EAP-TLS 的計算機身份驗證,您必須在無線客戶端計算機上安裝一個計算機證書。 為了在運行 Windows Server 2003、Windows XP 或 Windows 2000 的無線客戶端計算機上安裝計算機證書,請使用一個 Ethernet 端口連接到公司 intranet,然後執行以下操作: 如果為域配置了計算機證書自動注冊,屬於該域成員的每台計算機都會在計算機“組策略”被刷新時請求一個計算機證書。 為了強制運行 Windows Server 2003 或 Windows XP 的計算機刷新一次計算機“組策略”,可重新啟動計算機,或在命令提示符下鍵入 gpupdate /target:computer。 為了強制運行 Windows 2000 的計算機刷新一次計算機“組策略”,可重新啟動計算機,或在命令提示符下鍵入 secedit /refreshpolicy machine_policy。 如果沒有給域配置計算機證書自動注冊,您可以使用“證書”管理單元來申請一個“計算機”證書,或者可以執行一個 CAPICOM 腳本來安裝計算機證書。 企業組織的信息技術 (IT) 部門可以在將計算機(通常是便攜式計算機)交付給用戶之前安裝計算機證書。 有關 CAPICOM 的信息,請在以下站點上搜索“CAPICOM”: 步驟 8:在無線客戶端計算機上安裝用於 EAP-TLS 的用戶證書 對於使用 EAP-TLS 的用戶身份驗證,您必須使用本地安裝的用戶證書或智能卡。本地安裝的用戶證書必須通過以下方式來獲得:自動注冊、Web 注冊、使用“證書”管理單元來申請證書、導入證書文件,或者運行一個 CAPICOM 程序或腳本。 最容易的用戶證書安裝方法假定網絡連接總是存在,比如使用一個 Ethernet 端口。 當用戶連接到 inranet 時,他們能夠通過自動注冊或者使用 Web 注冊或證書管理器來提交一個用戶證書申請,從而獲得一個用戶證書。 有關申請用戶證書的更多信息,請參見本節中的“通過 Web 提交用戶證書申請”和“申請證書”過程。 或者,用戶可以運行網絡管理員提供的 CAPICOM 程序或腳本。 CAPICOM 程序或腳本的執行可以通過用戶登錄腳本來自動化。 如果已經配置了用戶證書自動注冊,那麼無線用戶必須更新“用戶配置組策略”來獲得用戶證書。 如果沒有使用用戶證書自動注冊,可使用以下過程之一來獲得用戶證書。 通過 Web 提交用戶證書申請 1.打開 Internet Explorer。 2.在 Internet Explorer 中,連接到 ,其中 servername 是您想要訪問的 CA 所在的 Windows 2000 Web 服務器的名稱。 3.單擊申請一個證書,然後單擊下一步。 4.在選擇證書類型網頁上,在用戶證書申請下面,選擇您想要申請的證書類型,然後單擊下一步。 5.從識別信息網頁上執行以下操作之一: 如果您看到消息“已經收集到所有需要的信息。 現在可以提交您的申請”,請單擊提交。 輸入您的證書申請的識別信息,然後單擊提交。 6.如果您看到已頒發的證書網頁,請單擊安裝此證書。 7.關閉 Internet Explorer。 申請一個證書 1.打開一個包含證書-當前用戶的 MMC 控制台。 2.在控制台樹中,右鍵單擊個人,指向所有任務,然後單擊申請新證書來啟動“證書申請向導”。 3.在“證書申請向導”中,請選擇以下信息: 想要申請的證書類型。 如果已經選中高級復選框: 您正在使用的加密服務提供程序 (CSP)。 與該證書關聯的公鑰的密鑰長度(以位為單位)。 不要啟用強私鑰保護。 如果有多個 CA 可用,則選擇將頒發證書的 CA 的名稱。 4.為新證書鍵入一個好記的名稱。 5.在“證書申請向導”成功完成之後,單擊確定。 基於軟盤的安裝 另一種安裝用戶證書的方法是將用戶證書導出到軟盤上,然後再將它從軟盤導入到無線客戶端計算機上。 對於基於軟盤的注冊,請執行以下操作: 1.通過基於 Web 的注冊從 CA 獲得無線客戶端的用戶帳戶的用戶證書。 有關更多信息,請參見前面描述的“通過 Web 提交用戶證書申請”過程。 2.將無線客戶端的用戶帳戶的用戶證書導出到一個 .pfx 文件。 有關更多信息,請參見本節中的“導出證書”過程。 在“證書管理器導出向導”中,導出私鑰並選中如果導入成功,則刪除該私鑰。 將此文件保存到軟盤,並將其交付給無線客戶端計算機的用戶。 3.在無線客戶端計算機上導入用戶證書。 有關更多信息,請參見本節中的“導入證書”過程。 導出證書 1.打開包含證書 – 當前用戶的 MMC 控制台。 2.打開個人,然後打開證書。 3.在詳細信息窗格中,右鍵單擊您想要導出的證書,指向所有任務,然後單擊導出。 4.在“證書導出向導”中,單擊是,導出私鑰。 (僅當私鑰被標記為可導出的,並且您擁有私鑰訪問權限,這個選項才會出現。) 單擊下一步。 5.選擇個人信息交換 – PKCS (.PFX)作為導出文件格式,然後單擊下一步。 6.在密碼頁面上,在密碼和確認密碼中鍵入密碼來保護證書中的私鑰,然後單擊下一步。 7.在要導出的文件頁面上,鍵入證書文件名或單擊浏覽來指定證書文件的名稱和位置。 單擊下一步。 8.在正在完成證書導出向導頁面上,單擊完成。 導入證書 1.打開包含證書 – 當前用戶的 MMC 控制台。 2.打開個人,然後打開證書。 3.在詳細信息窗格中,右鍵單擊您想要導入的證書,指向所有任務,然後單擊導入。
4.鍵入包含將要導入的證書的文件名。 (也可以單擊浏覽並導航到該文件。) 5.如果這是一個 PKCS #12 文件,請執行以下操作: 鍵入用於加密私鑰的密碼。 (可選)如果希望能夠使用強私鑰保護,請選中啟用強私鑰保護復選框。 (可選)如果希望在以後備份或傳輸密鑰,請選中將密鑰標記為可導出的復選框。 6.執行以下操作之一: 如果應該基於證書類型自動將證書放到某個證書存儲區,請選擇根據證書類型,自動選擇證書存儲區。 如果想要指定證書的存儲位置,請選擇將所有的證書放入下列存儲區,然後單擊浏覽,選擇要使用的證書存儲區。 步驟 9:配置用於 EAP-TLS 的無線客戶端 如果已經為無線網絡配置了“無線網絡 (IEEE 802.11) 策略組策略”設置並指定使用 EAP-TLS 身份驗證(智能卡或其他證書 EAP 類型),那麼運行 Windows XP SP1、Windows XP SP2 或 Windows Server 2003 的無線客戶端就不需要其他配置。 為了在運行 Windows XP SP1、Windows XP SP2 或 Windows Server 2003 的無線客戶端上配置 EAP-TLS 身份驗證,請執行以下操作: 1.在“網絡連接”文件夾中獲得無線連接的屬性。 單擊無線網絡選項卡,然後單擊首選網絡列表中的無線網絡名稱,再單擊屬性。 2.單擊身份驗證選項卡,選擇啟用使用 IEEE 802.1X 的網絡訪問控制和智能卡或其他證書 EAP 類型。 這個選項是默認啟用的。 3.單擊屬性。 在智能卡或其他證書 EAP 類型的屬性中,選擇在此計算機上使用證書來使用基於注冊表的用戶證書,或選擇使用我的智能卡來使用基於智能卡的用戶證書。 如果想要驗證 IAS 服務器的計算機證書,請選擇驗證服務器證書(默認是啟用的)。 如果想要指定必須執行驗證的身份驗證服務器的名稱,請選擇連接到這些服務器並鍵入名稱。 4.單擊確定,以將更改保存到智能卡或其他證書 EAP 類型。 為了在不帶 Service Pack 的 Windows XP 無線客戶端上配置 EAP-TLS 身份驗證,請執行以下操作: 1.在“網絡連接”文件夾中獲得無線連接的屬性。 單擊身份驗證選項卡,然後選擇啟用使用 IEEE 802.1X 的網絡訪問控制和智能卡或其他證書 EAP 類型。 這個選項是默認啟用的。 2.單擊屬性。 在智能卡和其他證書 EAP 類型的屬性中,選擇在此計算機上使用證書。 如果想要驗證 IAS 服務器的計算機證書,請選擇驗證服務器證書(默認是啟用的)。 如果想要確保服務器的 DNS 名稱以特定的字符串結尾,請選擇服務器名稱結尾為如下時,才連接 ,並鍵入該字符串。 對於使用多個 IAS 服務器的典型部署,請鍵入所有 IAS 服務器共有的 DNS 名稱部分。 例如,如果有兩個分別名為 AS1.example.microsoft.com 和 IAS2.example.microsoft.com 的 IAS 服務器,則鍵入字符串“example.microsoft.com”。 請確保鍵入正確的字符串,否則,身份驗證將會失敗。 3.單擊確定來將更改保存到智能卡或其他證書 EAP 類型。 為了在運行 Windows 2000 SP4 的無線客戶端上配置 EAP-TLS 身份驗證,請執行以下操作: 1.在“網絡連接”文件夾中獲得無線連接的屬性。 單擊身份驗證選項卡,然後選擇啟用使用 IEEE 802.1X 的網絡訪問控制和智能卡或其他證書 EAP 類型。 這個選項是默認啟用的。 2.單擊屬性。 在智能卡或其他證書 EAP 類型的屬性中,選擇在此計算機上使用證書來使用基於注冊表的用戶證書,或者選擇使用我的智能卡來使用基於智能卡的證書。 如果想要驗證 IAS 服務器的計算機證書,請選擇驗證服務器證書(默認是啟用的)。 如果想要指定必須執行驗證的身份驗證服務器的名稱,請選擇連接到這些服務器 ,並鍵入名稱。 3.單擊確定來將更改保存到智能卡或其他證書 EAP 類型。 步驟 10:配置用於 PEAP-MS-CHAP v2 的無線客戶端計算機 如果已經為無線網絡配置了“無線網絡 (IEEE 802.11)策略組策略”設置並指定使用 PEAP-MS-CHAP v2 身份驗證(帶受保護的密碼 (EAP-MSCHAP v2) 方法的“受保護的 EAP (PEAP) 類型),那麼運行 Windows XP SP1、Windows XP SP2 或 Windows Server 2003 的無線客戶端不需要其他配置。 為了在運行 Windows XP SP1、Windows XP SP2 或 Windows Server 2003 的無線客戶端上
