如图
设备侧配置
#
dot1x
dot1x authentication-method eap
#
dhcp server ip-pool 1111
gateway-list 2.2.x.x
network 2.2.x.x mask 255.255.255.0
#
vlan 1111
#
interface Vlan-interface1111
ip address 2.2.x.x 255.255.255.0
#
wlan service-template dot1x
ssid dot1x
vlan 1111
akm mode dot1x
client-security authentication-mode dot1x
dot1x domain lb
#
radius scheme lb
primary authentication 192.168.10.x
key authentication cipher $c$3$oqvHpfHQge0eZohrnW8UvDSyBW5kxa84
user-name-format without-domain
nas-ip 192.168.14.x
#
domain lb
authentication lan-access radius-scheme lb
authorization lan-access none
accounting lan-access none
IMC侧配置
imc配置和普通1x认证类型,注意的是eap类型需要选择为eap-tls
在CA服务器申请根证书、服务器端证书和客户端证书
登录ca服务器,点击提交申请,输入用户名等信息
证书安装成功后,通过浏览器internet选项-内容-证书,将证书导出。然后在IMC侧接入策略管理-业务参数配置-证书配置处,将刚申请的服务器身份验证证书和根证书导入
之后再在Inode导入客户端证书
导入inode客户端证书,注意该客户端证书在ca服务器上申请时选择的是“客户端身份验证”,且“颁发给”的用户需要为imc上配置的1x认证的用户名
在CA服务器上下载根证书。注意:终端CA根证书要和imc上的根证书一致才行
电脑上安装根证书
导入受信任的根证书颁发机构
此时进入inode进行1x认证,可以看到是不需要填密码的,点击链接后认证成功。
电
其实802.1x结合证书认证并不难,主要是在申请和安装证书时需要细心,此外还需要额外注意的是,申请CA证书时:
1.国家/地区为cn
2.申请服务器端和客户端证书时,需要选择不同的证书类型,一个是服务器身份验证证书,另一个是客户端身份验证证书,不能选错;
3.申请客户端验证证书时,需要注意用户名必须为1x认证的用户名
该案例暂时没有网友评论
✖
案例意见反馈
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作