部署CA证书服务器

802.1X证书认证需要提前部署CA证书服务器。

Windows CA服务器必须要部署为企业CA。

按视频部署完成后建议按如下步骤检查：

1. 在浏览器打开https://Server-IP/certsrv，Server-IP为证书服务器IP地址。

   使用AD域帐号administrator和密码登录后如果显示如下界面表示CA服务器工作正常。否则删除后重新添加CA组件。

2. 在“证书颁发机构”中右击根证书，在属性中查看CDP和AIA扩展字段。
   • CDP扩展字段：LDAP和HTTP必须选中“包含在颁发的证书的CDP扩展中”。
   • AIA扩展字段：OCSP URL必须选中图示两个扩展字段。

3. 在浏览器打开https://Server-IP/certsrv/mscep_admin，Server-IP为证书服务器IP地址。

   使用AD域帐号administrator和密码登录后如果显示如下界面表示SCEP和HTTPS设置正确。

   如http方式可以正常显示，https无法显示，检查是否绑定了https并正确选择了根证书。“SSL证书”必须选择与计算机全名一致的证书。

   如果http方式也无法显示，检查网络设备注册服务是否安装。

4. SCEP模板必须包含“客户端身份验证”字段，否则可能导致终端用户认证失败。如未包含请按视频设置。

5. 注册表中需要设置SCEP模板名称，并取消挑战码。

   在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\MSCEP路径中按图示设置表项的值为SCEP模板名称。

   注册表修改后需要重启操作系统才能生效。

   EnforcePassword的值设置为0。

6. 检查SCEP模板和OCSP模板权限是否如图所示。否则参照视频设置。

7. 检查SCEP模板和OCSP模板是否已颁发。如果SCEP模板和OCSP模板不在列表，参照视频颁发模板。

8. 选择“开始 > 管理工具 > 联机响应程序管理”，检查吊销配置是否工作状态。否则删除并根据视频重新创建。

9. 吊销配置的属性与Agile Controller-Campus检验随机数和响应签名对应关系如下：