vACS+802.1x+AAA+AD+CA详细配置教程（四）

第三部分：CA的安装与配置过程：

1、CA的安装

在添加/删除windows组件中选中证书服务，然后下一步开始安装。安装的过程这里就不详细说了，全部选用缺省的配置，有提示筐出来就选择是就可以了。

安装完成后，在管理工具中打开证书颁发机构。

 

2、ACS申请证书

这里也是很重要的一个环节，因为后面802.1x客户端需要使用PEAP来实现做验证类型。开始我做的时候是使用MD5-质询的，搞了半天不成功。后来才发现文档上说在ACS的验证中如果使用MD5 就不能实现与AD集成，晕倒！！使用PEAP认证的话，需要通过证书服务来完成，所以在ACS上需要申请一个证书。这也是为什么ACS在与域集成的时候，需要CA的原因了。

在ACS服务器的IE浏览器中输入http://172.16.167.172/certsrv进入证书申请页面，这里因为我把ACS和CA装在同一台服务器，所以看起来就像自己给自己颁发证书了呵呵。

然后选择申请一个证书：

选择高级证书申请：

选择创建并向此CA提交一个申请：

然后选择Web服务器的证书模板，在这里我遇到一个问题请哪位高手知道麻烦告诉下我。这个页面中按理说应该是选择服务器证书的，但是我这里不知道为什么不会出现，不懂。。。

使用服务器证书的话，证书服务器上需要执行挂起的证书à颁发，这么一个过程，但是我这里选用Web服务器后，这个证书就可以直接使用了，证书服务器上什么都不用设置，比较郁闷！因为我对CA不熟，所以哪位高人知道其中的原因麻烦告诉下我哈哈！

然后的信息就随便填了

密钥选项中需要注意的地方是需要把标记密钥为可导出和将证书保存在本地计算机储存中这两个选项勾上！

提交，选择是

点安装此证书

选择是

证书安装成功

这时在证书服务器à颁发的证书页面中可以看到刚刚ACS申请的证书

3、ACS上配置证书

回到ACS上，在System Configuration页面中选择ACS Certificate Setup

然后选择InstallACS Certificate

选择Usecertificate from storage，然后输入刚刚申请的证书名TSGNET

最后提交，可以看到已经成功安装的证书及状态。这里需要重起ACS服务使其生效

4、配置PEAP认证

在System Configuration中选择Global Authentication Setup

在PEAP中选择Allow EAP-MSCHAPv2，其他都不选

最下面的MS-CHAP Configuration中选择Allow MS-CHAP Version 2Authentication

 

视频分享：http://www.dwz.cn/lij9D