H3C SR8800 V300R001 802.1X协议测试环境搭建(WIN2K+CISCO ACS

H3CSR8800V300R001802.1X协议测试环境搭建（WIN2K+CISCOACSv3.2服务器）内部公开2007-05-23H3C机密，未经许可不得扩散第1页,共25页产品名称Productname密级ConfidentialitylevelH3CSR8800内部公开产品版本ProductversionTotal24pages共24页V300R001H3CSR8800V300R001802.1X协议测试环境搭建（WIN2K+CISCOACSv3.2服务器）(仅供内部使用)Forinternaluseonly拟制:杨涛05965日期：2007-05-23审核:日期：审核:日期：批准:日期：华为三康技术有限公司Huawei-3ComTechnologiesCo.,Ltd.版权所有侵权必究AllrightsreservedH3CSR8800V300R001802.1X协议测试环境搭建（WIN2K+CISCOACSv3.2服务器）内部公开2007-05-23H3C机密，未经许可不得扩散第2页,共25页修订记录Revisionrecord日期修订版本修改描述作者2007-5-231.00初稿完成杨涛2007-8-111.01增加1.2节，为ACS增加客户端杨涛H3CSR8800V300R001802.1X协议测试环境搭建（WIN2K+CISCOACSv3.2服务器）内部公开2007-05-23H3C机密，未经许可不得扩散第3页,共25页目录H3CSR8800V300R001802.1X协议测试环境搭建（WIN2K+CISCOACSv3.2服务器）...............11服务器端设置..................................................................................................................................51.1服务器的安装.....................................................................................................................51.2为ACS增加客户端.............................................................................................................51.3添加用户.............................................................................................................................51.4申请证书.............................................................................................................................61.5导出证书并转换格式.........................................................................................................91.5.1服务器证书的导出.....................................................................................................91.5.2导出根证书...............................................................................................................121.5.3服务器证书格式转换...............................................................................................141.6设置服务器证书和根证书...............................................................................................151.7设置EAP认证方法............................................................................................................171.8配置vlan下发....................................................................................................................182windowsXP客户端配置................................................................................................................202.1PEAP验证设置.................................................................................................................202.2EAP-TLS验证设置...........................................................................................................222.3EAP-MD5（CHAP）验证设置.......................................................................................233捕获的报文....................................................................................................................................244参考资料........................................................................................................................................24H3CSR8800V300R001802.1X协议测试环境搭建（WIN2K+CISCOACSv3.2服务器）内部公开2007-05-23H3C机密，未经许可不得扩散第4页,共25页H3CSR8800V300R001802.1X协议测试环境搭建（WIN2K+CISCOACSv3.2服务器）关键词：802.1XEAP-TLSPEAPACS证书摘要：测试802.1X特性中，环境搭建是一件非常复杂的工作，涉及到不同的服务器端软件和客户端软件，特别是某些EAP验证方法，需要证书申请和格式转换工作。我的测试环境包括WIN2003+IAS、WIN2K+CAMS、LINUX+FreeRadius和WIN2K+ACS等服务器端软件，本文介绍WIN2K+ACS环境下进行EAP验证的设置过程，还包括证书的申请、安装、格式转换等操作，以及vlan下发的设置方法。后续会推出其它服务器环境的设置介绍。缩略语：Abbreviations缩略语Fullspelling英文全名Chineseexplanation中文解释EAPExtensibleAuthenticationProtocol可扩展的验证协议EAP-TLSEAPTransportLayerSecurity传输层安全EAP验证PEAPProtectedEAP受保护的EAPH3CSR8800V300R001802.1X协议测试环境搭建（WIN2K+CISCOACSv3.2服务器）内部公开2007-05-23H3C机密，未经许可不得扩散第5页,共25页1服务器端设置1.1服务器的安装安装过程比较简单，不做介绍，注意的一点是不要试图在虚拟机上安装试用版的ACS，cisco专门做了限制。1.2为ACS增加客户端点击网络设置，增加AAAClients，按照如下设置，提交即可。1.3添加用户进入ACSweb管理页面，新增用户china200@2003.com(2003.com是设备上设置的域名，要保持一致)H3CSR8800V300R001802.1X协议测试环境搭建（WIN2K+CISCOACSv3.2服务器）内部公开2007-05-23H3C机密，未经许可不得扩散第6页,共25页按照需要设置一下用户属性，一般设置好密码，用户可以同时登陆的个数，其他用默认即可。1.4申请证书CiscoACSv3.2支持leap（cisco私有协议），peap（包含mschapv2和gtc两种方法），eap-md5，eap-tls，chap和pap验证方法，测试peap和eap-tls时需要设置证书。1.在ACS服务器登陆到证书服务器证书申请页面申请服务器证书H3CSR8800V300R001802.1X协议测试环境搭建（WIN2K+CISCOACSv3.2服务器）内部公开2007-05-23H3C机密，未经许可不得扩散第7页,共25页H3CSR8800V300R001802.1X协议测试环境搭建（WIN2K+CISCOACSv3.2服务器）内部公开2007-05-23H3C机密，未经许可不得扩散第8页,共25页2.申请成功后到证书服务中颁发此申请，然后回到重新登陆上面的证书服务页面，选择检查挂起的证书，进入下一步安装服务器证书，之后到“检索CA证书或证书吊销列表”中安装根证书。H3CSR8800V300R001802.1X协议测试环境搭建（WIN2K+CISCOACSv3.2服务器）内部公开2007-05-23H3C机密，未经许可不得扩散第9页,共25页1.5导出证书并转换格式将服务器证书和根证书一起导出，得到.pem后缀的服务器证书文件和.cer后缀的根证书文件。1.5.1服务器证书的导出点击开始运行，输入mmc，点击文件，添加/删除管理单元H3CSR8800V300R001802.1X协议测试环境搭建（WIN2K+CISCOACSv3.2服务器）内部公开2007-05-23H3C机密，未经许可不得扩散第10页,共25页添加证书管理单元选择要导出的证书，个人证书（包括用户证书和服务器证书）。H3CSR8800V300R001802.1X协议测试环境搭建（WIN2K+CISCOACSv3.2服务器）内部公开2007-05-23H3C机密，未经许可不得扩散第11页,共25页右击要导出的证书选择导出，下一步，选择导出私钥选择格式如下，然后输入私钥密码（此密码是日后证书格式转换需要输入的私钥密码），选择路径后完成。pfx后缀的证书即生成。H3CSR8800V300R001802.1X协议测试环境搭建（WIN2K+CISCOACSv3.2服务器）内部公开2007-05-23H3C机密，未经许可不得扩散第12页,共25页1.5.2导出根证书选择受信任的根证书颁发机构选择der编码二进制H3CSR8800V300R001802.1X协议测试环境搭建（WIN2K+CISCOACSv3.2服务器）内部公开2007-05-23H3C机