部署CA证书服务器
802.1X证书认证需要提前部署CA证书服务器。
Windows CA服务器必须要部署为企业CA。
按视频部署完成后建议按如下步骤检查:
- 在浏览器打开https://Server-IP/certsrv,Server-IP为证书服务器IP地址。
使用AD域帐号administrator和密码登录后如果显示如下界面表示CA服务器工作正常。否则删除后重新添加CA组件。
- 在“证书颁发机构”中右击根证书,在属性中查看CDP和AIA扩展字段。
- CDP扩展字段:LDAP和HTTP必须选中“包含在颁发的证书的CDP扩展中”。
- AIA扩展字段:OCSP URL必须选中图示两个扩展字段。
- 在浏览器打开https://Server-IP/certsrv/mscep_admin,Server-IP为证书服务器IP地址。
使用AD域帐号administrator和密码登录后如果显示如下界面表示SCEP和HTTPS设置正确。
如http方式可以正常显示,https无法显示,检查是否绑定了https并正确选择了根证书。“SSL证书”必须选择与计算机全名一致的证书。
如果http方式也无法显示,检查网络设备注册服务是否安装。
- SCEP模板必须包含“客户端身份验证”字段,否则可能导致终端用户认证失败。如未包含请按视频设置。
- 注册表中需要设置SCEP模板名称,并取消挑战码。
在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\MSCEP路径中按图示设置表项的值为SCEP模板名称。
注册表修改后需要重启操作系统才能生效。
EnforcePassword的值设置为0。
- 检查SCEP模板和OCSP模板权限是否如图所示。否则参照视频设置。
- 检查SCEP模板和OCSP模板是否已颁发。如果SCEP模板和OCSP模板不在列表,参照视频颁发模板。
- 选择 ,检查吊销配置是否工作状态。否则删除并根据视频重新创建。
- 吊销配置的属性与Agile Controller-Campus检验随机数和响应签名对应关系如下: