利用windowsserverNPS实现8021X认证Word下载.docx

1、弹出一个对话框，选择“下一步”如图所示这里提示相关操作系统的兼容性，点击“下一步”如图所示：因为我们装的是第一台完整的域控制器，所以选择“在新林中新建域”，点击“下一步”如图所示：这里在目录林根级域的文本框中输入新的林根级完整的域名系统名称，我们这里输入本网站域名“ip-”的林的名称（本人使用的是的林的名称，所以后面配置NPS看到的是的域），点击“下一步”如图所示：这里显示正在检查整个网络中是否已经使用该林的名称： 检查完毕后，出现NETBIOS，点击下一步，如图所示：这里出现“设置林功能级别”对话框，林功能有 Windows 2000、Windows server 2003 、Windows

2、 server 2008 三个级别，默认林功能级别为 Windows 2003，这里我们选择Windows server 2003 （并不是选择越高越好）， 点击“下一步”如图所示：这里出现“设置域功能级别”对话框，域功能有 Windows 2000、Windows server 2003 、Windows server 2008 三个级别，默认域功能级别为 Windows 2003，这里我们选择Windows server 2003 ， 点击“下一步”如图所示：开始检查计算机上的DNS配置检查完毕后出现“其他域控制器选项”如下图所示：选择“DNS 服务器”（有些系统没有出现这步，无影响 ），

3、点击下一步如图所示：这里选择“是，该计算机将使用动态分配的IP地址” 点击后如图所示：弹出这个对话框，建议安装DNS，这样这个向导将自动创建DNS区域委派。无论DNS服务器服务是否与活动集成，都必须将其它安装在部署的活动目录林根域的第一个域控制器上，点“是”如图所示：这里出现，数据库、日志文件和SYSVOL的安装位置，这时可以修改其它安装的目录，点击“下一步”如图所示：弹出目录还原模式的管理员密码，这个密码将是会在删除域或当您的域出现问题需要还原的时候需要用到的，点“下一步”如图所示：这里显示这前所有的操作，检查无误后点“下一步”如图所示：这里正在配置相关信息等待完成,如图所示：到这里配置就完

4、成了，点击“完成”，如图所示：这里点击立即重新启动，等到服务器重启后，登录名就会出现“域名/administrator”，如本人创建的林是，登录出现WIN8AD/Administrator：2、Windows server 2008安装配置CACA（证书颁发机构）为了保证网络上信息的传输安全，除了在通信中采用更强的加密算法等措施外，必须建立一种信任及信任验证机制，即通信各方必须有一个可以被验证的标识，这就需要使用数字证书，证书的主体可以是用户、计算机、服务等。证书可以用于多方面，例如Web用户身份验证、web服务器身份验证、安全电子邮件等。安装证书确保望上传递信息的机密性、完整性、以及通信双方

5、身份的真实性，从而保障网络应用的安全性。CA分为两大类，企业CA和独立CA；企业CA的主要特征如下：企业CA安装时需要AD（活动目录服务支持），即计算机在活动目录中才可以。当安装企业根时，对于域中的所用计算机，它都将会自动添加到受信任的根证书颁发机构的证书存储区域；必须是域管理员或对AD有写权限的管理员，才能安装企业根CA；独立CA主要以下特征:CA安装时不需要AD（活动目录服务）。一般情况下，发送到独立CA的所有证书申请都被设置为挂起状态，需要管理员手动颁发。这完全出于安全性的考虑，因为证书申请者的凭证还没有被独立CA验证； 在简单介绍完CA的分类后，我们现在AD（活动目录）环境下安装证书服

6、务，即安装企业证书，具体步骤如下：登录Windows server 2008，开始-管理工具-服务器管理器-角色打开添加角色向导。选择“添加角色”出现如下图所示，点击“下一步”：在弹出的对话框中选择“Active Directory 证书服务”（如果有关联组件没有安装，会提示需要安装关联组件，选择“是”即可），点击下一步如图所示：在选择角色服务中选择证书颁发机构和证书颁发机构Web注册；在指定安装类型中选择”企业”，点击下一步；在“指定CA类型”中选择“根CA”， 点击下一步；在设置私钥窗口中选择“新建私钥”， 点击下一步；在配置加密窗口，使用默认的加密服务程序、哈希算法和密钥长度，点击“下一

7、步”；接下来需要配置CA的名称（没有截图，借用2003的一张截图，类似）因为在同一台Server上，所以在CA的公用名称里默认名称是与域名计算名相关的公用名称，我们改为简单点的，输入“ROOT CA”，可分辨名称后缀包含CN=ROOT CA, DC=WIN8AD, DC=COM三项，是自动生成的，没有自动生成就自己加一下。单击“下一步”到确认安装;安装完成后，从管理工具中可以看到“证书颁发机构”，打开证书颁发机构管理器，管理证书的颁发；也可以从服务器管理器的列表中看到： CA装完之后，就会给AD域服务器颁发证书，也会给本机颁发计算机证书，如果没有可以自己去申请，在运行里输入mmc-文件-添加/

8、删除管理单元-证书（双击）-计算机账户：如下图所示，多了本地计算机证书：确定之后，控制台根节点多了本地计算机证书列表，点击个人-证书（右击）-所有任务-申请新证书，如下图所示：就可以为本机申请一个计算机证书，申请完如下图所示，本地计算机就有两个证书，一个是ROOT CA颁发给ROOT CA的证书，一个是ROOT CA颁发给计算机WINZXB的证书：证书安装到此完成。3、Windows server 2008安装配置NPS组件3.1、安装NPS组件登录Windows server 2008，开始-管理工具-服务器管理器-角色-打开添加角色向导：选择“添加角色”出现如下图所示：选择“网络策略和访问

9、服务”角色，点击下一步：服务简介，点击下一步：选择“网络策略服务器”和“健康注册机构”和“主机凭据授权协议”三项， 点击下一步： 在选择合适的证书机构来作为健康注册机构时，选择刚才安装的CA服务器，通过点击右边的选择按钮就会弹出刚才安装的CA服务器，选择并确定即可。点击下一步：选择使用加密，即第一项，点击下一步：在这之前，需要为服务器申请一个计算机证书，用以SSL加密，在刚才安装CA服务器的时候，我们已经为本机申请了计算机证书，即ROOT CA颁发给WINZXB的证书。因此，在这个选择加密的服务器认证证书时，选择第一项“选择一个已经存在的证书来为SSL加密”，然后点击右边的“导入”，弹出刚才安

10、装的两个证书，一个是ROOT CA颁发给ROOT CA的证书，另一个是ROOT CA颁发给WINZXB的证书，选择后者导入。点击下一步，后续可能需要安装一些关联组件，选择是即可，确认信息无误后一直点击下一步直到安装成功即可。3.2、配置Radius客户端登录Windows server 2008，开始-管理工具-服务器管理器-网络策略和访问服务-配置Radius客户端：弹出Radius客户端列表，如果还没有配置Radius客户端的话，列表为空（下面是已经配置一个客户端SW了），选择“新建”：弹出新建RADIUS客户端选项框，在这里输入RADIUS客户端（即NAS）的名称、地址（IP）、手动共享

11、机密内容，在高级选项里还可以选择是否是NAP（这个貌似关系不大）。点击确定就配置好了。3.3、配置NAP策略登录Windows server 2008，开始-管理工具-服务器管理器-网络策略和访问服务-NPS-配置NAP：网络连接方法选择IEEE 802.1x有线：确定后，会自动生成策略的名称：一般默认即可，点击下一步：在指定NAS时，可以看到我们刚才添加的Radius客户端，也可以在这里添加点击下一步：配置用户组和计算机组，不管，不用添加，点击下一步：配置身份验证办法，默认只勾选第一项，我们把第二项也勾选，后面认证的时候有三种身份验证方式，一是智能卡或其它证书，二是PEAP-智能卡或其它证书

12、，三是PEAP-MSCHAPv2。配置流量控制没管没配置，可以配置相关属性，比如划分认证通过的网络的VLAN ID等，点击下一步：都是默认，没改：算是配置完了。4、802.1x认证过程4.1、PC证书安装首先要先为PC（如WIN7系统）向CA服务器申请证书并安装，在网页浏览器中输入：http:/IP_of_CA/certsrv因为CA服务器也安装在windows 2008上，所以IP_of_CA就是windows 2008的IP地址，点击“申请证书”：根据实际情况选择“用户证书”还是“高级证书”，这里选择“用户证书”即可：“提交”申请：提交完之后，等待CA服务器颁发证书。等待时间与CA服务器的

13、设置有关，如果CA服务器需要手动去响应证书请求，则会PC端会跳出已经提交请求请等待的页面，如果CA服务器设置成自动响应证书请求，则会立即颁发证书给请求者，如下图所示，PC直接收到CA服务器颁发的证书，点击“安装此证书”：证书安装完成。4.2、交换机配置 不同厂商的交换机配置都是大同小异，可以根据自己使用的交换机进行相应的配置，认证radius服务器IP就是windows 2008的IP地址。4.3、本地连接属性配置打开“本地连接属性”，进入“身份验证”，如果没有“身份验证”这一项，打开“服务”，启动“Wired AutoConfig”服务。在“本地连接属性”里打勾“启用IEEE 802.1X身

14、份认证”，网络身份验证方法选择“智能卡或其它证书”或其它方式。进入右边的“设置”，可以选择是否验证服务器证书。确定后网络连接断开，开始进入802.1X身份验证阶段，可以通过wireshark抓包来查看报文交互过程，认证通过则可以上网，认证不通过则不能上网。5、NPS支持IPv6NPS已经支持IPv6，如果认证PC、交换机（NAS）、认证服务器（windows 2008 NPS）具有可通信IPv6地址（内网或全局都可），可以实现使用IPv6地址进行802.1X认证，只要将配置Radius客户端步骤中客户端的IP换成NAS的IPv6地址，交换机（NAS）上的认证服务器地址配置成认证服务器（windows 2008 NPS）的IPv6地址即可。