简介　　　　本文描述如何创建一个用于身份验证、授权和记帐的基础结构，以便使用 Windows 无线客户端来建立到组织的安全无线连接。 这是使用如下技术的组织的典型配置：　　　　运行 Windows 的无线客户端计算机。　　　　Windows XP 和 Windows Server 2003 具有对 Wi-Fi (IEEE 802.11b) 无线访问和使用可扩展身份验证协议 (EAP) 的 IEEE 802.1X 身份验证的内置支持。 当安装了 Windows 2000 Service Pack 4 (SP4) 或 Windows 2000 Service Pack 3 (SP3) 和 Microsoft 802.1X Authentication Client 后，Windows 2000 支持 IEEE 802.1X 身份验证 （推荐安装 Windows 2000 SP4 ）。　　　　至少两个 Internet 验证服务 (IAS) 服务器。　　　　至少使用两个 IAS 服务器（一个主要的，一个辅助助的）来为基于远程身份验证拨入用户服务 （RADIUS) 的身份验证提供容错。 如果仅配置一个 RADIUS 服务器，则在该服务器不可用时，无线访问客户端将无法连接。 通过使用两个 IAS 服务器，同时为主要和辅助 IAS 服务器配置所有无线访问点 (AP)（RADIUS 客户端），RADIUS 客户端就能够在主 RADIUS 服务器不可用时检测到这个情况，并自动故障转移 (fail over) 到辅助助 IAS 服务器。　　　　您可以使用 Windows Server 2003 或 Windows 2000 Server IAS。 运行 Windows 2000 的 IAS 服务器必须安装 SP4 或 带 Microsoft 802.1X Authentication Client 的 SP3（推荐安装 Windows 2000 SP4）。 IAS 没有包括在 Windows Server 2003 Web Edition 中。　　　　Active Directory 服务域。　　　　Active Directory 域包含每个 IAS 服务器验证凭据和评价授权所必需的用户帐户、计算机帐户和拨入属性。 虽然不是必需的，但是为了同时优化 IAS 身份验证和授权响应时间以及最小化网络流量，IAS 应该安装在 Active Directory 域控制器上。 您可以使用 Windows Server 2003 或 Windows 2000 Server 域控制器。 Windows 2000 域控制器必须安装 SP3 或 SP4。　　　　安装在 IAS 服务器上的计算机证书　　　　无论使用哪种无线身份验证方法，都必须在 IAS 服务器上安装计算机证书。　　　　对于 EAP-TLS 身份验证，则需要一个证书基础结构。　　　　当在无线客户端上与计算机和用户证书一起使用“可扩展身份验证协议传输级别安全性”(EAP-TLS) 身份验证协议时，则需要一个证书基础结构（也称为公钥基础结构，PKI）来颁发证书。　　　　对于带“Microsoft 咨询握手身份验证协议第2版”(MS-CHAP v2) 身份验证的受保护的 EAP (PEAP)，每个无线客户端上需要根证书颁发机构 (CA)。　　　　PEAP-MS-CHAP v2 是用于无线连接的基于密码的安全身份验证方法。 取决于 IAS 服务器计算机证书的颁发者，您可能还必须在每个无线客户端上安装根 CA 证书。　　　　无线远程访问策略。　　　　远程访问策略是为无线连接配置的，以便雇员能够访问组织的 intranet。　　　　多个无线 AP。　　　　多个第三方无线 AP 在企业的不同建筑物中提供无线访问。 这些无线 AP 必须支持 IEEE 802.1X、RADIUS和有线对等保密 (WEP)。　　　　图 1 显示了一个典型的企业无线配置。　　

　　　　有关安全无线身份验证的技术、组件和过程的背景信息，请参见文章“Windows XP Wireless Deployment Technology and Component Overview”，地址为： 　　　　Intranet 无线部署步骤　　　　对于此配置，请完成以下步骤：　　　　1.配置证书基础结构。　　　　2.配置用于帐户和组的 Active Directory。　　　　3.在一台计算机上配置主要 IAS 服务器。　　　　4.在另一台计算机上配置辅助 IAS 服务器。　　　　5.部署和配置无线 AP。　　　　6.配置“无线网络 (IEEE 802.11) 策略组策略”设置。　　　　7.在无线客户端计算机上安装计算机证书 (EAP-TLS)。　　　　8.在无线客户端计算机上安装用户证书(EAP-TLS)。　　　　9.为 EAP-TLS 配置无线客户端计算机。　　　　10.为 PEAP-MS-CHAP v2 配置无线客户端计算机。　　　　步骤 1：配置证书基础结构　　　　

　　表 1 身份验证类型和证书　　　　不管对无线连接使用哪种身份验证方法（EAP-TLS 或 PEAP-MS-CHAP v2），您都必须在 IAS 服务器上安装计算机证书。　　　　对于 PEAP-MS-CHAP v2，您不必部署证书基础结构来为每台无线客户端计算机颁发计算机和用户证书。 相反，您可以通过商业证书颁发机构为企业中的每个 IAS 服务器获得单独的证书，并将它们安装在 IAS 服务器上。 有关更多信息，请参见本文中的“步骤 3：配置主 IAS 服务器”和“步骤 4：配置辅助助 IAS 服务器”。 Windows 无线客户端包括许多知名和受信任的商业 CA 的根 CA 证书。 如果从已经为其安装了根 CA 证书的商业 CA 获得计算机证书，Windows 无线客户端上就不需要安装附加的证书。 如果从还没有为其安装根 CA 证书的商业 CA 获得计算机证书，您必须在每个 Windows 无线客户端上安装 IAS 服务器上安装的计算机证书的颁发者的根 CA 证书。 有关更多信息，请参见本文中的“步骤 10：为 PEAP-MS-CHAP v2 配置无线客户端计算机”。　　　　对于使用 EAP-TLS 的计算机身份验证，您必须在无线客户端计算机上安装计算机证书（也称为机器证书）。 安装在无线客户端计算机上的计算机证书用于对无线客户端计算机进行身份验证，以便该计算机能够在用户登录之前，获得到企业 intranet 的网络连接和计算机配置“组策略”更新。 对于使用 EAP-TLS 的用户身份验证，在建立网络连接和用户登录之后，您必须在无线客户端计算机上使用用户证书。 　　　　计算机证书安装在 IAS 服务器上，以便在 EAP-TLS 身份验证期间，IAS 服务器有一个证书来发送到无线客户端以进行相互身份验证，而不管该无线客户端计算机是使用计算机证书还是用户证书来进行身份验证。 无线客户端和 IAS 服务器在 EAP-TLS 身份验证期间提交的计算机证书和用户证书必须符合本文“使用第三方 CA”中规定的要求。　　　　在 Windows Server 2003、Windows XP 和 Windows 2000 中，您可以从“证书”管理单元中证书属性的证书路径选项卡查看证书链。您可以在 Trusted Root Certification Authorities\Certificates 文件夹中查看已安装的根 CA 证书，在 Intermediate Certification Authorities\Certificates 文件夹中查看中级 CA 证书。　　　　在典型的企业部署中，证书基础结构是使用一个包含根 CA/中级 CA/颁发 CA 的三层结构中的单个根 CA 来配置的。 颁发 CA 配置用于颁发计算机证书和用户证书。 当在无线客户端上安装计算机证书或用户证书时，同时也会安装颁发 CA 证书、中级 CA 证书和根 CA 证书。 当在 IAS 服务器计算机上安装计算机证书时，同时也会安装颁发 CA 证书、中级 CA 证书和根 CA 证书。 IAS 服务器证书的颁发 CA 可以不同于无线客户端证书的颁发 CA。 在这样的情况下，无线客户端和 IAS 服务器计算机都有所有必需的证书，用以执行 EAP-TLS 身份验证的证书验证。　　　　最佳实践 如果使用 EAP-TLS 身份验证，请同时将用户证书和计算机证书用于用户身份验证和计算机身份验证。　　　　如果使用 EAP-TLS 身份验证，则不要同时使用 PEAP-TLS。 同时允许同类网络连接的受保护和未受保护的身份验证流量，将会使得受保护的身份验证流量易于受到欺骗攻击。　　　　如果已经有一个用于 EAP-TLS 身份验证的证书基础结构，并且正在将 RADIUS 用于拨号或虚拟专用网 (VPN) 远程访问连接，您可以跳过一些证书基础结构步骤。 您可以将相同的证书基础结构用于无线连接。 然而，您必须确保安装计算机证书来进行计算机身份验证。 对于不带 Service Pack 的 Windows XP 计算机，您必须在该计算机上存储用户证书以进行用户身份验证（而不是使用智能卡）。 对于运行 Windows Server 2003、Windows XP SP1、Windows XP SP2 或 Windows 2000 的计算机，您可以使用存储在计算机上的用户证书或智能卡来进行用户身份验证。　　　　步骤 1a：安装证书基础结构　　　　在安装证书基础结构时，请遵循以下最佳实践：　　　　在部署 CA 之前规划公钥基础结构 (PKI)。　　　　根 CA 应该处于离线状态，它的签名密钥应使用硬件安全模块 (HSM) 进行保护，并保管在保险库中以最小化潜在的密钥泄漏风险。　　　　企业组织不应当直接从根 CA 向用户或计算机颁发证书，而是应该部署以下内容：　　　　一个离线的根 CA　　　　离线的中级 CA　　　　离线的颁发 CA（使用 Windows Server 2003 或 Windows 2000 证书服务作为企业 CA）　　　　这种 CA 层次结构提供了灵活性，杜绝了恶意用户危害根 CA 私钥的企图。 离线的根和中级 CA 不必是 Windows Server 2003 或 Windows 2000 CA。 颁发 CA 可以是某个第三方中级 CA 的从属 CA。　　　　备份 CA 数据库、CA 证书和 CA 密钥对于防止关键数据丢失是非常必要的。 应该根据相同时间段内颁发的证书数量定期（每天、每周、每月）对 CA 进行备份。 颁发的证书越多，对 CA 的备份就应该越频繁。　　　　您应该仔细阅读 Windows 中关于安全权限和访问控制的概念，因为企业 CA 根据证书申请者的安全权限来颁发证书。　　　　此外，如果想要利用计算机证书自动注册，请使用 Windows 2000 或 Windows Server 2003 证书服务，并在颁发者 CA 级创建企业 CA。 如果想要利用用户证书自动注册，请使用 Windows Server 2003, Enterprise Edition 或 Windows Server 2003, Datacenter Edition 证书服务，并在颁发者 CA 级创建企业 CA。　　　　有关更多信息，请参见 Windows 2000 Server“帮助”标题为“清单：为 intranet 部署证书颁发机构和 PKI”，或 Windows Server 2003“帮助和支持中心”中标题为“清单：创建带离线的根证书颁发机构的证书层次结构”的主题。　　　　有关 PKI 和 Windows 2000 证书服务的附加信息，