使用Windows的安全802.11網絡企業部署一

　　簡介　　　　本文描述如何創建一個用於身份驗證、授權和記帳的基礎結構，以便使用 Windows 無線客戶端來建立到組織的安全無線連接。 這是使用如下技術的組織的典型配置：　　　　運行 Windows 的無線客戶端計算機。　　　　Windows XP 和 Windows Server 2003 具有對 Wi-Fi (IEEE 802.11b) 無線訪問和使用可擴展身份驗證協議 (EAP) 的 IEEE 802.1X 身份驗證的內置支持。 當安裝了 Windows 2000 Service Pack 4 (SP4) 或 Windows 2000 Service Pack 3 (SP3) 和 Microsoft 802.1X Authentication Client 後，Windows 2000 支持 IEEE 802.1X 身份驗證 （推薦安裝 Windows 2000 SP4 ）。　　　　至少兩個 Internet 驗證服務 (IAS) 服務器。　　　　至少使用兩個 IAS 服務器（一個主要的，一個輔助助的）來為基於遠程身份驗證撥入用戶服務 （RADIUS) 的身份驗證提供容錯。 如果僅配置一個 RADIUS 服務器，則在該服務器不可用時，無線訪問客戶端將無法連接。 通過使用兩個 IAS 服務器，同時為主要和輔助 IAS 服務器配置所有無線訪問點 (AP)（RADIUS 客戶端），RADIUS 客戶端就能夠在主 RADIUS 服務器不可用時檢測到這個情況，並自動故障轉移 (fail over) 到輔助助 IAS 服務器。　　　　您可以使用 Windows Server 2003 或 Windows 2000 Server IAS。 運行 Windows 2000 的 IAS 服務器必須安裝 SP4 或 帶 Microsoft 802.1X Authentication Client 的 SP3（推薦安裝 Windows 2000 SP4）。 IAS 沒有包括在 Windows Server 2003 Web Edition 中。　　　　Active Directory 服務域。　　　　Active Directory 域包含每個 IAS 服務器驗證憑據和評價授權所必需的用戶帳戶、計算機帳戶和撥入屬性。 雖然不是必需的，但是為了同時優化 IAS 身份驗證和授權響應時間以及最小化網絡流量，IAS 應該安裝在 Active Directory 域控制器上。 您可以使用 Windows Server 2003 或 Windows 2000 Server 域控制器。 Windows 2000 域控制器必須安裝 SP3 或 SP4。　　　　安裝在 IAS 服務器上的計算機證書　　　　無論使用哪種無線身份驗證方法，都必須在 IAS 服務器上安裝計算機證書。　　　　對於 EAP-TLS 身份驗證，則需要一個證書基礎結構。　　　　當在無線客戶端上與計算機和用戶證書一起使用“可擴展身份驗證協議傳輸級別安全性”(EAP-TLS) 身份驗證協議時，則需要一個證書基礎結構（也稱為公鑰基礎結構，PKI）來頒發證書。　　　　對於帶“Microsoft 咨詢握手身份驗證協議第2版”(MS-CHAP v2) 身份驗證的受保護的 EAP (PEAP)，每個無線客戶端上需要根證書頒發機構 (CA)。　　　　PEAP-MS-CHAP v2 是用於無線連接的基於密碼的安全身份驗證方法。 取決於 IAS 服務器計算機證書的頒發者，您可能還必須在每個無線客戶端上安裝根 CA 證書。　　　　無線遠程訪問策略。　　　　遠程訪問策略是為無線連接配置的，以便雇員能夠訪問組織的 intranet。　　　　多個無線 AP。　　　　多個第三方無線 AP 在企業的不同建築物中提供無線訪問。 這些無線 AP 必須支持 IEEE 802.1X、RADIUS和有線對等保密 (WEP)。　　　　圖 1 顯示了一個典型的企業無線配置。　　

　　　圖 1 企業無線配置

　　　　有關安全無線身份驗證的技術、組件和過程的背景信息，請參見文章“Windows XP Wireless Deployment Technology and Component Overview”，地址為： 　　　　Intranet 無線部署步驟　　　　對於此配置，請完成以下步驟：　　　　1.配置證書基礎結構。　　　　2.配置用於帳戶和組的 Active Directory。　　　　3.在一台計算機上配置主要 IAS 服務器。　　　　4.在另一台計算機上配置輔助 IAS 服務器。　　　　5.部署和配置無線 AP。　　　　6.配置“無線網絡 (IEEE 802.11) 策略組策略”設置。　　　　7.在無線客戶端計算機上安裝計算機證書 (EAP-TLS)。　　　　8.在無線客戶端計算機上安裝用戶證書(EAP-TLS)。　　　　9.為 EAP-TLS 配置無線客戶端計算機。　　　　10.為 PEAP-MS-CHAP v2 配置無線客戶端計算機。　　　　步驟 1：配置證書基礎結構　　　　

表 1 總結了不同類型的身份驗證所需要的證書。　　　 點擊查看大圖

　　表 1 身份驗證類型和證書　　　　不管對無線連接使用哪種身份驗證方法（EAP-TLS 或 PEAP-MS-CHAP v2），您都必須在 IAS 服務器上安裝計算機證書。　　　　對於 PEAP-MS-CHAP v2，您不必部署證書基礎結構來為每台無線客戶端計算機頒發計算機和用戶證書。 相反，您可以通過商業證書頒發機構為企業中的每個 IAS 服務器獲得單獨的證書，並將它們安裝在 IAS 服務器上。 有關更多信息，請參見本文中的“步驟 3：配置主 IAS 服務器”和“步驟 4：配置輔助助 IAS 服務器”。 Windows 無線客戶端包括許多知名和受信任的商業 CA 的根 CA 證書。 如果從已經為其安裝了根 CA 證書的商業 CA 獲得計算機證書，Windows 無線客戶端上就不需要安裝附加的證書。 如果從還沒有為其安裝根 CA 證書的商業 CA 獲得計算機證書，您必須在每個 Windows 無線客戶端上安裝 IAS 服務器上安裝的計算機證書的頒發者的根 CA 證書。 有關更多信息，請參見本文中的“步驟 10：為 PEAP-MS-CHAP v2 配置無線客戶端計算機”。　　　　對於使用 EAP-TLS 的計算機身份驗證，您必須在無線客戶端計算機上安裝計算機證書（也稱為機器證書）。 安裝在無線客戶端計算機上的計算機證書用於對無線客戶端計算機進行身份驗證，以便該計算機能夠在用戶登錄之前，獲得到企業 intranet 的網絡連接和計算機配置“組策略”更新。 對於使用 EAP-TLS 的用戶身份驗證，在建立網絡連接和用戶登錄之後，您必須在無線客戶端計算機上使用用戶證書。 　　　　計算機證書安裝在 IAS 服務器上，以便在 EAP-TLS 身份驗證期間，IAS 服務器有一個證書來發送到無線客戶端以進行相互身份驗證，而不管該無線客戶端計算機是使用計算機證書還是用戶證書來進行身份驗證。 無線客戶端和 IAS 服務器在 EAP-TLS 身份驗證期間提交的計算機證書和用戶證書必須符合本文“使用第三方 CA”中規定的要求。　　　　在 Windows Server 2003、Windows XP 和 Windows 2000 中，您可以從“證書”管理單元中證書屬性的證書路徑選項卡查看證書鏈。您可以在 Trusted Root Certification Authorities\Certificates 文件夾中查看已安裝的根 CA 證書，在 Intermediate Certification Authorities\Certificates 文件夾中查看中級 CA 證書。　　　　在典型的企業部署中，證書基礎結構是使用一個包含根 CA/中級 CA/頒發 CA 的三層結構中的單個根 CA 來配置的。 頒發 CA 配置用於頒發計算機證書和用戶證書。 當在無線客戶端上安裝計算機證書或用戶證書時，同時也會安裝頒發 CA 證書、中級 CA 證書和根 CA 證書。 當在 IAS 服務器計算機上安裝計算機證書時，同時也會安裝頒發 CA 證書、中級 CA 證書和根 CA 證書。 IAS 服務器證書的頒發 CA 可以不同於無線客戶端證書的頒發 CA。 在這樣的情況下，無線客戶端和 IAS 服務器計算機都有所有必需的證書，用以執行 EAP-TLS 身份驗證的證書驗證。　　　　最佳實踐 如果使用 EAP-TLS 身份驗證，請同時將用戶證書和計算機證書用於用戶身份驗證和計算機身份驗證。　　　　如果使用 EAP-TLS 身份驗證，則不要同時使用 PEAP-TLS。 同時允許同類網絡連接的受保護和未受保護的身份驗證流量，將會使得受保護的身份驗證流量易於受到欺騙攻擊。　　　　如果已經有一個用於 EAP-TLS 身份驗證的證書基礎結構，並且正在將 RADIUS 用於撥號或虛擬專用網 (VPN) 遠程訪問連接，您可以跳過一些證書基礎結構步驟。 您可以將相同的證書基礎結構用於無線連接。 然而，您必須確保安裝計算機證書來進行計算機身份驗證。 對於不帶 Service Pack 的 Windows XP 計算機，您必須在該計算機上存儲用戶證書以進行用戶身份驗證（而不是使用智能卡）。 對於運行 Windows Server 2003、Windows XP SP1、Windows XP SP2 或 Windows 2000 的計算機，您可以使用存儲在計算機上的用戶證書或智能卡來進行用戶身份驗證。　　　　步驟 1a：安裝證書基礎結構　　　　在安裝證書基礎結構時，請遵循以下最佳實踐：　　　　在部署 CA 之前規劃公鑰基礎結構 (PKI)。　　　　根 CA 應該處於離線狀態，它的簽名密鑰應使用硬件安全模塊 (HSM) 進行保護，並保管在保險庫中以最小化潛在的密鑰洩漏風險。　　　　企業組織不應當直接從根 CA 向用戶或計算機頒發證書，而是應該部署以下內容：　　　　一個離線的根 CA　　　　離線的中級 CA　　　　離線的頒發 CA（使用 Windows Server 2003 或 Windows 2000 證書服務作為企業 CA）　　　　這種 CA 層次結構提供了靈活性，杜絕了惡意用戶危害根 CA 私鑰的企圖。 離線的根和中級 CA 不必是 Windows Server 2003 或 Windows 2000 CA。 頒發 CA 可以是某個第三方中級 CA 的從屬 CA。　　　　備份 CA 數據庫、CA 證書和 CA 密鑰對於防止關鍵數據丟失是非常必要的。 應該根據相同時間段內頒發的證書數量定期（每天、每周、每月）對 CA 進行備份。 頒發的證書越多，對 CA 的備份就應該越頻繁。　　　　您應該仔細閱讀 Windows 中關於安全權限和訪問控制的概念，因為企業 CA 根據證書申請者的安全權限來頒發證書。　　　　此外，如果想要利用計算機證書自動注冊，請使用 Windows 2000 或 Windows Server 2003 證書服務，並在頒發者 CA 級創建企業 CA。 如果想要利用用戶證書自動注冊，請使用 Windows Server 2003, Enterprise Edition 或 Windows Server 2003, Datacenter Edition 證書服務，並在頒發者 CA 級創建企業 CA。　　　　有關更多信息，請參見 Windows 2000 Server“幫助”標題為“清單：為 intranet 部署證書頒發機構和 PKI”，或 Windows Server 2003“幫助和支持中心”中標題為“清單：創建帶離線的根證書頒發機構的證書層次結構”的主題。　　　　有關 PKI 和 Windows 2000 證書服務的附加信息，