步骤 7：在无线客户端计算机上安装用于 EAP-TLS 的计算机证书　　　　对于使用 EAP-TLS 的计算机身份验证，您必须在无线客户端计算机上安装一个计算机证书。　　　　为了在运行 Windows Server 2003、Windows XP 或 Windows 2000 的无线客户端计算机上安装计算机证书，请使用一个 Ethernet 端口连接到公司 intranet，然后执行以下操作：　　　　如果为域配置了计算机证书自动注册，属于该域成员的每台计算机都会在计算机“组策略”被刷新时请求一个计算机证书。 为了强制运行 Windows Server 2003 或 Windows XP 的计算机刷新一次计算机“组策略”，可重新启动计算机，或在命令提示符下键入 gpupdate /target:computer。 为了强制运行 Windows 2000 的计算机刷新一次计算机“组策略”，可重新启动计算机，或在命令提示符下键入 secedit /refreshpolicy machine_policy。　　　　如果没有给域配置计算机证书自动注册，您可以使用“证书”管理单元来申请一个“计算机”证书，或者可以执行一个 CAPICOM 脚本来安装计算机证书。　　　　企业组织的信息技术 （IT） 部门可以在将计算机（通常是便携式计算机）交付给用户之前安装计算机证书。　　　　有关 CAPICOM 的信息，请在以下站点上搜索“CAPICOM”： 　　　　步骤 8：在无线客户端计算机上安装用于 EAP-TLS 的用户证书　　　　对于使用 EAP-TLS 的用户身份验证，您必须使用本地安装的用户证书或智能卡。本地安装的用户证书必须通过以下方式来获得：自动注册、Web 注册、使用“证书”管理单元来申请证书、导入证书文件，或者运行一个 CAPICOM 程序或脚本。　　　　最容易的用户证书安装方法假定网络连接总是存在，比如使用一个 Ethernet 端口。 当用户连接到 inranet 时，他们能够通过自动注册或者使用 Web 注册或证书管理器来提交一个用户证书申请，从而获得一个用户证书。 有关申请用户证书的更多信息，请参见本节中的“通过 Web 提交用户证书申请”和“申请证书”过程。　　　　或者，用户可以运行网络管理员提供的 CAPICOM 程序或脚本。 CAPICOM 程序或脚本的执行可以通过用户登录脚本来自动化。　　　　如果已经配置了用户证书自动注册，那么无线用户必须更新“用户配置组策略”来获得用户证书。　　　　如果没有使用用户证书自动注册，可使用以下过程之一来获得用户证书。　　　　通过 Web 提交用户证书申请　　　　1.打开 Internet Explorer。　　　　2.在 Internet Explorer 中，连接到 ，其中 servername 是您想要访问的 CA 所在的 Windows 2000 Web 服务器的名称。　　　　3.单击申请一个证书，然后单击下一步。　　　　4.在选择证书类型网页上，在用户证书申请下面，选择您想要申请的证书类型，然后单击下一步。　　　　5.从识别信息网页上执行以下操作之一：　　　　如果您看到消息“已经收集到所有需要的信息。 现在可以提交您的申请”，请单击提交。　　　　输入您的证书申请的识别信息，然后单击提交。　　　　6.如果您看到已颁发的证书网页，请单击安装此证书。　　　　7.关闭 Internet Explorer。　　　　申请一个证书　　　　1.打开一个包含证书-当前用户的 MMC 控制台。　　　　2.在控制台树中，右键单击个人，指向所有任务，然后单击申请新证书来启动“证书申请向导”。　　　　3.在“证书申请向导”中，请选择以下信息：　　　　想要申请的证书类型。　　　　如果已经选中高级复选框：　　　　您正在使用的加密服务提供程序 (CSP)。　　　　与该证书关联的公钥的密钥长度（以位为单位）。　　　　不要启用强私钥保护。　　　　如果有多个 CA 可用，则选择将颁发证书的 CA 的名称。　　　　4.为新证书键入一个好记的名称。　　　　5.在“证书申请向导”成功完成之后，单击确定。　　　　基于软盘的安装　　　　另一种安装用户证书的方法是将用户证书导出到软盘上，然后再将它从软盘导入到无线客户端计算机上。 对于基于软盘的注册，请执行以下操作：　　　　1.通过基于 Web 的注册从 CA 获得无线客户端的用户帐户的用户证书。 有关更多信息，请参见前面描述的“通过 Web 提交用户证书申请”过程。　　　　2.将无线客户端的用户帐户的用户证书导出到一个 .pfx 文件。 有关更多信息，请参见本节中的“导出证书”过程。 在“证书管理器导出向导”中，导出私钥并选中如果导入成功，则删除该私钥。 将此文件保存到软盘，并将其交付给无线客户端计算机的用户。　　　　3.在无线客户端计算机上导入用户证书。 有关更多信息，请参见本节中的“导入证书”过程。　　　　导出证书　　　　1.打开包含证书 – 当前用户的 MMC 控制台。　　　　2.打开个人，然后打开证书。　　　　3.在详细信息窗格中，右键单击您想要导出的证书，指向所有任务，然后单击导出。　　　　4.在“证书导出向导”中，单击是，导出私钥。 （仅当私钥被标记为可导出的，并且您拥有私钥访问权限，这个选项才会出现。） 单击下一步。　　　　5.选择个人信息交换 – PKCS (.PFX)作为导出文件格式，然后单击下一步。　　　　6.在密码页面上，在密码和确认密码中键入密码来保护证书中的私钥，然后单击下一步。　　　　7.在要导出的文件页面上，键入证书文件名或单击浏览来指定证书文件的名称和位置。 单击下一步。　　　　8.在正在完成证书导出向导页面上，单击完成。　　　　导入证书　　　　1.打开包含证书 – 当前用户的 MMC 控制台。　　　　2.打开个人，然后打开证书。　　　　3.在详细信息窗格中，右键单击您想要导入的证书，指向所有任务，然后单击导入。 　　　　4.键入包含将要导入的证书的文件名。 （也可以单击浏览并导航到该文件。)　　　　5.如果这是一个 PKCS #12 文件，请执行以下操作：　　　　键入用于加密私钥的密码。　　　　（可选）如果希望能够使用强私钥保护，请选中启用强私钥保护复选框。　　　　（可选）如果希望在以后备份或传输密钥，请选中将密钥标记为可导出的复选框。　　　　6.执行以下操作之一：　　　　如果应该基于证书类型自动将证书放到某个证书存储区，请选择根据证书类型，自动选择证书存储区。　　　　如果想要指定证书的存储位置，请选择将所有的证书放入下列存储区，然后单击浏览，选择要使用的证书存储区。　　　　步骤 9：配置用于 EAP-TLS 的无线客户端　　　　如果已经为无线网络配置了“无线网络 (IEEE 802.11) 策略组策略”设置并指定使用 EAP-TLS 身份验证（智能卡或其他证书 EAP 类型），那么运行 Windows XP SP1、Windows XP SP2 或 Windows Server 2003 的无线客户端就不需要其他配置。　　　　为了在运行 Windows XP SP1、Windows XP SP2 或 Windows Server 2003 的无线客户端上配置 EAP-TLS 身份验证，请执行以下操作：　　　　1.在“网络连接”文件夹中获得无线连接的属性。 单击无线网络选项卡，然后单击首选网络列表中的无线网络名称，再单击属性。　　　　2.单击身份验证选项卡，选择启用使用 IEEE 802.1X 的网络访问控制和智能卡或其他证书 EAP 类型。 这个选项是默认启用的。　　　　3.单击属性。 在智能卡或其他证书 EAP 类型的属性中，选择在此计算机上使用证书来使用基于注册表的用户证书，或选择使用我的智能卡来使用基于智能卡的用户证书。　　　　如果想要验证 IAS 服务器的计算机证书，请选择验证服务器证书（默认是启用的）。 如果想要指定必须执行验证的身份验证服务器的名称，请选择连接到这些服务器并键入名称。　　　　4.单击确定，以将更改保存到智能卡或其他证书 EAP 类型。　　　　为了在不带 Service Pack 的 Windows XP 无线客户端上配置 EAP-TLS 身份验证，请执行以下操作：　　　　1.在“网络连接”文件夹中获得无线连接的属性。 单击身份验证选项卡，然后选择启用使用 IEEE 802.1X 的网络访问控制和智能卡或其他证书 EAP 类型。 这个选项是默认启用的。　　　　2.单击属性。 在智能卡和其他证书 EAP 类型的属性中，选择在此计算机上使用证书。　　　　如果想要验证 IAS 服务器的计算机证书，请选择验证服务器证书（默认是启用的）。　　　　如果想要确保服务器的 DNS 名称以特定的字符串结尾，请选择服务器名称结尾为如下时，才连接 ，并键入该字符串。 对于使用多个 IAS 服务器的典型部署，请键入所有 IAS 服务器共有的 DNS 名称部分。 例如，如果有两个分别名为 AS1.example.microsoft.com 和 IAS2.example.microsoft.com 的 IAS 服务器，则键入字符串“example.microsoft.com”。 请确保键入正确的字符串，否则，身份验证将会失败。　　　　3.单击确定来将更改保存到智能卡或其他证书 EAP 类型。　　　　为了在运行 Windows 2000 SP4 的无线客户端上配置 EAP-TLS 身份验证，请执行以下操作：　　　　1.在“网络连接”文件夹中获得无线连接的属性。 单击身份验证选项卡，然后选择启用使用 IEEE 802.1X 的网络访问控制和智能卡或其他证书 EAP 类型。 这个选项是默认启用的。　　　　2.单击属性。 在智能卡或其他证书 EAP 类型的属性中，选择在此计算机上使用证书来使用基于注册表的用户证书，或者选择使用我的智能卡来使用基于智能卡的证书。　　　　如果想要验证 IAS 服务器的计算机证书，请选择验证服务器证书（默认是启用的）。 如果想要指定必须执行验证的身份验证服务器的名称，请选择连接到这些服务器 ，并键入名称。　　　　3.单击确定来将更改保存到智能卡或其他证书 EAP 类型。　　　　步骤 10：配置用于 PEAP-MS-CHAP v2 的无线客户端计算机　　　　如果已经为无线网络配置了“无线网络 (IEEE 802.11)策略组策略”设置并指定使用 PEAP-MS-CHAP v2 身份验证（带受保护的密码 (EAP-MSCHAP v2) 方法的“受保护的 EAP (PEAP) 类型），那么运行 Windows XP SP1、Windows XP SP2 或 Windows Server 2003 的无线客户端不需要其他配置。　　　　为了在运行 Windows XP SP1、Windows XP SP2 或 Windows Server 2003 的无线客户端上