ucenter证书认证

应该是需要自己去申请，用不了UC的：

EAP-TLS证书认证方式，即客户端与服务器通信前需要相互验证对方证书的合法性，在对EIA服务器和iNode客户端进行配置之前，必须先到证书颁发机构申请证书

不同的证书认证场景可以采用不同的证书认证类型，服务器和客户端需要安装的证书也不尽相同。具体请参见表1所示。

表1 证书类型

一、组网与原理
U-Center（iMC）：内置 CA + UAM（RADIUS/802.1X 认证）
认证协议：EAP-TLS（双向证书认证，无密码）
证书流向：
U-Center CA → 签发 根证书
U-Center CA → 签发 UAM 服务器证书
U-Center CA → 签发 用户 / 终端证书
客户端装：根证书 + 用户证书
UAM 装：根证书 + 服务器证书
二、U-Center 内置 CA 配置（开启并创建根 CA）
登录 U-Center → 系统 → 证书管理 → CA 服务
勾选启用 CA 服务，填写根 CA 信息：
证书名称：UCENTER-ROOT-CA
密钥算法：RSA，密钥长度 2048
有效期：3650 天
国家 / 省份 / 城市 / 组织：按企业填写
提交后，根 CA 自动生成，并可 ** 导出根证书（.cer/.pem）** 备用。


三、申请并安装 UAM 服务器证书（给 RADIUS 用）
1. 申请服务器证书
U-Center → 系统 → 证书管理 → 证书申请
类型：服务器证书
证书名称：UAM-SERVER
公用名 (CN)：填 UAM 服务器 IP 或域名（iNode 验证用）
颁发者：选刚才创建的UCENTER-ROOT-CA
提交 → 签发 → 导出服务器证书（含私钥，.pfx/.p12）。


2. 导入证书到 UAM
U-Center → 用户 → UAM → 认证配置 → 证书配置
导入：
根证书：选之前导出的UCENTER-ROOT-CA.cer
服务器证书：选UAM-SERVER.pfx，输入私钥密码
启用EAP-TLS 服务器证书验证。
四、申请用户 / 客户端证书（给终端用）
1. 批量 / 单个申请
U-Center → 用户 → UAM → 用户管理
选中用户 → 证书 → 申请证书
类型：用户证书
CN：自动填充为用户名 / 邮箱（EAP-TLS 匹配用）
颁发者：UCENTER-ROOT-CA
签发后，导出用户证书（.pfx），分发给用户。
2. 客户端必须装两个证书
根证书：UCENTER-ROOT-CA.cer（安装到 “受信任的根证书颁发机构”）
用户证书：用户名.pfx（安装到 “个人” 存储，带私钥）
五、UAM 启用 EAP-TLS 认证策略
U-Center → 用户 → UAM → 服务管理
新建 / 编辑 802.1X 服务：
认证方式：高级认证 → 证书认证
EAP 类型：EAP-TLS
客户端证书：选由 UCENTER-ROOT-CA 签发
勾选验证服务器证书链
保存并绑定到接入设备（交换机 / AC）。


六、接入设备（交换机 / AC）配置要点
1. 全局启用 802.1X
cli
dot1x
dot1x authentication method eap
2. 接口开启 802.1X（有线）
cli
interface GigabitEthernet 1/0/1
dot1x authentication method eap
dot1x
3. 无线（WX2560X）
SSID 绑定 802.1X
认证方式：WPA2-EAP → EAP-TLS
RADIUS 指向 U-Center（IP + 密钥）
七、iNode 客户端配置（EAP-TLS）
安装根证书 + 用户证书（双击导入，默认路径即可）
打开 iNode → 新建 802.1X 连接：
用户名：随便填（EAP-TLS 不校验密码），建议填用户名@cert
认证协议：EAP-TLS
客户端证书：选择已安装的用户证书
服务器证书验证：勾选，信任UCENTER-ROOT-CA
连接即可，无密码，纯证书认证。


八、常见坑与排查
iNode 提示 “无法验证服务器证书”
检查 UAM 服务器证书 CN 是否为iNode 能解析的 IP / 域名
客户端必须装根证书
认证被拒绝：证书不匹配
用户证书 CN 必须和UAM 用户名一致
证书必须由U-Center 内置 CA 签发
UAM 日志：EAP-TLS 握手失败
检查 UAM 是否导入根证书 + 服务器证书
时间同步：U-Center、设备、客户端时间必须一致