S5500 802.1x EAP-TLS证书认证

先根据案例《windows server2008证书服务器配置方法》下载根证书、服务器证书和客户端证书，如附件为已经生成好的证书文件。

证书文件私钥导出密码为123456

一． IMC侧配置

1. 导入根证书和服务器证书

首先需要将服务器侧用到的根证书和服务器证书导入iMC，点击【用户-接入策略管理-业务参数配置-证书配置】，如下图所示：

点击【根证书配置-导入EAP根证书】，如下图所示：

选择之前下载好的根证书文件root.cer，点击下一步，如下图所示：

CRL配置部分保持默认下一步，如下图所示：

返回证书配置页面，点击【服务器证书配置-导入EAP服务器证书】，如下图所示：

勾选“服务器证书和私钥在同一文件”，选择之前下载好的服务器证书文件server.pfx，如下图所示：

下一步后输入服务器证书私钥密码，如下图所示：

2.       添加接入设备

3.       配置接入用户，接入策略及接入服务

创建接入策略policy01，选择认证类型为“EAP证书认证-EAP-TLS认证”，如下图所示：

配置接入服务server_01，引用接入策略为policy01，如下图所示：

创建接入用户user02，绑定接入服务server_01，如下图所示：

二． 设备侧配置

dis curr

#

 version 5.20, Release 2110P04

#

 sysname H3C

#

domain default enable dot1x

#

 telnet server enable

#

 dot1x

 dot1x authentication-method eap

#

radius scheme dot1x

 server-type extended

 primary authentication 10.1.1.1

 primary accounting 10.1.1.1

 key authentication cipher $c$3$3xpx9n3Cne5q0JN+Wkqes/qMAQlNngs=

 key accounting cipher $c$3$W73dK4uw4Hvg0df/PE0BGCHIgnD1/i4=

 user-name-format without-domain

#

domain dot1x

 authentication lan-access radius-scheme dot1x

 authorization lan-access radius-scheme dot1x

 accounting lan-access radius-scheme dot1x

 access-limit disable

 state active

 idle-cut disable

 self-service-url disable

#

interface Ethernet1/0/3

 port link-mode bridge

 dot1x

#

三． 客户端配置

1. 安装根证书

双击根证书文件root.cer来将根证书添加到可信任的颁发机构中，如下图所示：

点击【安装证书】，如下图所示：

点击下一步将证书存储到“受信任的根证书颁发机构”中，如下图所示：

点击确定后进行确认，如下图所示：

点击【是】即可完成根证书的添加。

2.       安装客户端证书

双击客户端证书user02.pfx来将客户端证书导入到系统中，如下图所示：

在导入页面，输入私钥密码，如下图所示：

下一步将证书存储到“个人”。如下图所示：

确定后即可完成客户端证书的导入。

3.       打开iNode客户端，创建一个802.1X连接并输入用户名和密码，点击【属性】，如下图所示：

勾选【高级-启用证书认证】，选择认证类型为“EAP-TLS”，并选择客户端证书为user02，如下图所示：

确定后回到inode界面点击【连接】即可完成认证过程。

4.       如果没有inode，也可以使用windows自带的证书认证，配置方法为点击网卡“属性”选择“身份验证”，勾选“启用IEEE 802.1X身份验证”，具体配置如下图所示：

完成后连接网络后，桌面右下角会弹出认证提示，左键单击。选择客户端证书。如下图所示：

确定后即可完成认证。

1. BAS设备上必须配置dot1x认证模式为eap；

2. 客户端证书名必须和认证时输入的用户名完全一致；