评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
部署CA证书服务器
802.1X证书认证需要提前部署CA证书服务器。
Windows CA服务器必须要部署为企业CA。
按视频部署完成后建议按如下步骤检查:
- 在浏览器打开https://Server-IP/certsrv,Server-IP为证书服务器IP地址。
使用AD域帐号administrator和密码登录后如果显示如下界面表示CA服务器工作正常。否则删除后重新添加CA组件。
- 在“证书颁发机构”中右击根证书,在属性中查看CDP和AIA扩展字段。
- CDP扩展字段:LDAP和HTTP必须选中“包含在颁发的证书的CDP扩展中”。
- AIA扩展字段:OCSP URL必须选中图示两个扩展字段。
- 在浏览器打开https://Server-IP/certsrv/mscep_admin,Server-IP为证书服务器IP地址。
使用AD域帐号administrator和密码登录后如果显示如下界面表示SCEP和HTTPS设置正确。
如http方式可以正常显示,https无法显示,检查是否绑定了https并正确选择了根证书。“SSL证书”必须选择与计算机全名一致的证书。
如果http方式也无法显示,检查网络设备注册服务是否安装。
- SCEP模板必须包含“客户端身份验证”字段,否则可能导致终端用户认证失败。如未包含请按视频设置。
- 注册表中需要设置SCEP模板名称,并取消挑战码。
在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\MSCEP路径中按图示设置表项的值为SCEP模板名称。
注册表修改后需要重启操作系统才能生效。
EnforcePassword的值设置为0。
- 检查SCEP模板和OCSP模板权限是否如图所示。否则参照视频设置。
- 检查SCEP模板和OCSP模板是否已颁发。如果SCEP模板和OCSP模板不在列表,参照视频颁发模板。
- 选择,检查吊销配置是否工作状态。否则删除并根据视频重新创建。
- 吊销配置的属性与Agile Controller-Campus检验随机数和响应签名对应关系如下:
