مصدر المحتوى الإضافي الآمن ل Windows v3.2 مع مصادقة جهاز EAP-TLS

المقدمة

يصف هذا المستند كيفية تكوين بروتوكول المصادقة المتوسع - أمان طبقة النقل (EAP-TLS) باستخدام نظام التحكم في الوصول الآمن (ACS) من Cisco لنظام Windows الإصدار 3.2.

ملاحظة: لا يتم دعم مصادقة الجهاز بواسطة Novell Certificate Authority (CA). يمكن ل ACS إستخدام EAP-TLS لدعم مصادقة الجهاز إلى Microsoft Windows Active Directory. قد يقوم عميل المستخدم النهائي بتحديد بروتوكول مصادقة المستخدم بنفس البروتوكول المستخدم لمصادقة الجهاز. أي أن إستخدام EAP-TLS لمصادقة الآلة قد يتطلب إستخدام EAP-TLS لمصادقة المستخدم. لمزيد من المعلومات حول مصادقة الجهاز، ارجع إلى قسم مصادقة الجهاز في دليل المستخدم لخادم التحكم في الوصول الآمن من Cisco 4.1.

ملاحظة: عند إعداد ACS لمصادقة الأجهزة عبر EAP-TLS وإعداد ACS لمصادقة الجهاز، يجب تكوين العميل لإجراء مصادقة الجهاز فقط. لمزيد من المعلومات، ارجع إلى كيفية تمكين مصادقة جهاز الكمبيوتر فقط لشبكة قائمة على 802.1X في Windows Vista و Windows Server 2008 و Windows XP Service Pack 3.

المتطلبات الأساسية

المتطلبات

لا توجد متطلبات أساسية خاصة لهذا المستند.

المكونات المستخدمة

تستند المعلومات الواردة في هذا المستند إلى إصدارات البرامج والمكونات المادية أدناه.

• Cisco Secure ACS ل Windows الإصدار 3.2

• خدمات شهادات Microsoft (مثبتة كمرجع للشهادات الجذر للمؤسسة [CA])

  ملاحظة: للحصول على مزيد من المعلومات، يرجى الرجوع إلى الدليل المتدرج لإنشاء هيئة تصديق.

• خدمة DNS مع Windows 2000 Server مع حزمة الخدمة 3 وHotfix 323172

  ملاحظة: إذا واجهت مشاكل في خادم CA، فقم بتثبيت الإصلاح العاجل 323172. يتطلب عميل Windows 2000 SP3 الإصلاح العاجل 313664 لتمكين مصادقة IEEE 802.1x.

• سلسلة نقاط الوصول اللاسلكية 12.01T من Cisco Aironet 1200

• الطراز ThinkPad T30 من IBM الذي يعمل بنظام التشغيل Windows XP Professional مع حزمة الخدمة Service Pack 1

تم إنشاء المعلومات المُقدمة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كنت تعمل في شبكة مباشرة، فتأكد من فهمك للتأثير المحتمل لأي أمر قبل استخدامه.

النظرية الأساسية

يقوم كل من EAP-TLS وبروتوكول المصادقة المتوسع المحمي (PEAP) بإنشاء نفق طبقة مأخذ التوصيل الآمنة (SSL) واستخدامه. يستخدم EAP-TLS المصادقة المتبادلة حيث يحتوي كل من خادم ACS (المصادقة والتفويض والمحاسبة [AAA]) والعملاء على شهادات ويثبتون هوياتهم لبعضهم البعض. إلا أن PEAP لا يستخدم إلا المصادقة من جانب الخادم، والخادم فقط لديه شهادة ويثبت هويته للعميل.

الاصطلاحات

للحصول على مزيد من المعلومات حول اصطلاحات المستندات، راجع اصطلاحات تلميحات Cisco التقنية.

الرسم التخطيطي للشبكة

يستخدم هذا المستند إعداد الشبكة الموضح في الرسم التخطيطي أدناه.

تكوين مصدر المحتوى الإضافي الآمن من Cisco ل Windows v3.2

اتبع الخطوات التالية لتكوين ACS 3.2.

1. احصل على شهادة لخادم ACS.

2. قم بتكوين ACS لاستخدام شهادة من التخزين.

3. حدد مراجع الشهادات الإضافية التي يجب أن يثق بها ACS.

4. أعد تشغيل الخدمة وشكلت إعدادات PEAP على ACS.

5. حدد نقطة الوصول وتكوينها كعميل AAA.

6. قم بتكوين قواعد بيانات المستخدم الخارجي.

7. قم بإعادة تشغيل الخدمة.

الحصول على شهادة لخادم ACS

اتبع الخطوات التالية للحصول على الشهادة.

1. على خادم ACS، افتح مستعرض ويب، وأدخل http://CA-IP-address/certsrv للوصول إلى خادم CA.

2. قم بتسجيل الدخول إلى المجال كمسؤول.

   

3. حدد طلب شهادة، ثم انقر التالي.

   

4. حدد طلب متقدم، ثم انقر التالي.

   

5. حدد إرسال طلب شهادة إلى المرجع المصدق هذا باستخدام نموذج، ثم انقر على التالي.

   

6. تكوين خيارات الشهادة:

   1. حدد خادم ويب كقالب الشهادة، وأدخل اسم خادم ACS.

      

   2. أدخل 1024 في حقل "حجم المفتاح"، وحدد مفاتيح العلامة كقابلة للتصدير ثم أستخدم خانات الاختيار لمخزن الجهاز المحلي.

   3. قم بتكوين خيارات أخرى حسب الحاجة، ثم انقر فوق إرسال.

      

      ملاحظة: إذا ظهرت شاشة انتهاك البرمجة النصية المحتملة، انقر نعم للمتابعة.

      

7. انقر على تثبيت هذه الشهادة.

   

   ملاحظة: إذا ظهرت شاشة انتهاك البرمجة النصية المحتملة، انقر نعم للمتابعة.

   

8. في حالة نجاح التثبيت، تظهر رسالة "الشهادة المثبتة".

   

تكوين ACS لاستخدام شهادة من التخزين

أتمت هذا steps in order to شكلت ACS أن يستعمل الشهادة في تخزين.

1. افتح مستعرض ويب، وأدخل http://ACS-ip-address:2002/للوصول إلى خادم ACS.

2. انقر على تكوين النظام، ثم انقر على إعداد شهادة ACS.

3. انقر على تثبيت شهادة ACS.

4. انقر على زر إستخدام شهادة من راديو التخزين.

5. في حقل شهادة CN، أدخل اسم الشهادة التي قمت بتعيينها في الخطوة 5 أ من الحصول على شهادة من قسم خادم ACS بهذا المستند.

6. انقر على إرسال.

   

   وبمجرد اكتمال التكوين، تظهر رسالة تأكيد تشير إلى تغيير تكوين خادم ACS.

   ملاحظة: لا تحتاج إلى إعادة تشغيل ACS في هذا الوقت.

   

تحديد مراجع الشهادات الإضافية التي يجب أن يثق بها ACS

يثق ACS تلقائيا في المرجع المصدق الذي أصدر شهادته الخاصة. إذا تم إصدار شهادات العميل من قبل CAs إضافية، فيجب عليك إكمال الخطوات التالية:

1. انقر على تكوين النظام، ثم انقر على إعداد شهادة ACS.

2. انقر على إعداد مرجع شهادة ACS لإضافة CAs إلى قائمة الشهادات الموثوق بها.

3. في الحقل الخاص بملف شهادة CA، أدخل موقع الشهادة، ثم انقر على إرسال.

   

4. انقر على تحرير قائمة الشهادات الموثوق بها.

5. تحقق من كافة الشهادات المصدقة التي يجب على ACS الوثوق بها، وقم بإلغاء تحديد كافة الشهادات المصدقة التي يجب على ACS عدم الثقة بها.

6. انقر على إرسال.

   

أعد تشغيل الخدمة وشكلت إعدادات EAP-TLS على ACS

أكمل الخطوات التالية لإعادة تشغيل الخدمة وتشكيل إعدادات EAP-TLS:

1. انقر فوق تكوين النظام، ثم انقر فوق التحكم في الخدمة.

2. انقر فوق إعادة التشغيل لإعادة تشغيل الخدمة.

3. طقطقت in order to شكلت EAP-TLS عملية إعداد، نظام تشكيل، وبعد ذلك طقطقت شامل صحة هوية setup.

4. تحقق من السماح ب EAP-TLS، ثم تحقق من واحدة أو أكثر من مقارنات الشهادة.

5. انقر على إرسال.

   

تحديد نقطة الوصول وتكوينها كعميل AAA

أكمل الخطوات التالية لتكوين نقطة الوصول (AP) كعميل AAA:

1. طقطقة شبكة تشكيل.

2. تحت عملاء AAA، انقر فوق إضافة إدخال.

   

3. أدخل اسم مضيف نقطة الوصول في حقل اسم مضيف عميل AAA وعنوان IP في حقل عنوان IP لعميل AAA.

4. أدخل مفتاح سر مشترك ل ACS ونقطة الوصول في حقل المفتاح.

5. أخترت RADIUS (cisco Aironet) كطريقة المصادقة، وطقطقة يسلم.

   

تكوين قواعد بيانات المستخدمين الخارجيين

أتمت هذا steps in order to شكلت المستعمل خارجي قاعدة معطيات.

1. انقر فوق قواعد بيانات المستخدم الخارجي، ثم انقر فوق تكوين قاعدة البيانات.

2. انقر فوق قاعدة بيانات Windows.

   ملاحظة: إذا لم تكن قاعدة بيانات Windows معرفة بالفعل، انقر فوق إنشاء تكوين جديد، ثم انقر فوق إرسال.

3. طقطقة يشكل.

4. تحت تكوين قائمة المجالات، قم بنقل مجال SEC-SYD من المجالات المتاحة إلى قائمة المجالات.

   

5. في منطقة إعدادات Windows EAP، انقر على خانة الاختيار السماح بمصادقة جهاز EAP-TLS لتمكين مصادقة الجهاز.

   ملاحظة: لا تقم بتغيير بادئة اسم مصادقة الجهاز. تستخدم Microsoft حاليا "/host" (القيمة الافتراضية) للتمييز بين مصادقة المستخدم ومصادقة الجهاز.

6. إختياريا، يمكنك التحقق من خانة الاختيار EAP-TLS Strip Domain Name لتمكين تجريد المجال.

7. انقر على إرسال.

   

8. انقر فوق قواعد بيانات المستخدم الخارجي، ثم انقر فوق نهج مستخدم غير معروف.

9. انقر على زر التحقق من راديو قواعد بيانات المستخدم الخارجي التالي.

10. نقل قاعدة بيانات Windows من قائمة قواعد البيانات الخارجية إلى قائمة قواعد البيانات المحددة.

11. انقر على إرسال.

    

إعادة تشغيل الخدمة

عندما تنتهي من تكوين ACS، أكمل الخطوات التالية لإعادة تشغيل الخدمة:

1. انقر فوق تكوين النظام، ثم انقر فوق التحكم في الخدمة.

2. انقر على إعادة التشغيل.

تكوين التسجيل التلقائي لجهاز شهادة MS

أكمل الخطوات التالية لتكوين المجال لتسجيل شهادة الجهاز التلقائي:

1. انتقل إلى لوحة التحكم > أدوات إدارية > فتح مستخدمي Active Directory وأجهزة الكمبيوتر.

2. انقر بزر الماوس الأيمن فوق المجال sec-syd، واختر خصائص.

3. انقر فوق علامة التبويب نهج المجموعة.

4. انقر فوق نهج المجال الافتراضي، ثم انقر فوق تحرير.

5. انتقل إلى إعدادات الكمبيوتر > إعدادات Windows > إعدادات التأمين > سياسات المفتاح العام > إعدادات طلب الترخيص الآلي.

   

6. في شريط القائمة، انتقل إلى عملية > جديد > طلب الترخيص الآلي، وانقر التالي.

7. أخترت حاسوب، وطقطقة بعد ذلك.

8. تحقق من هيئة الشهادات، "TAC CA الخاص بنا،" في هذا المثال.

9. طقطقت بعد ذلك، وبعد ذلك طقطقت إنجاز.

تكوين نقطة وصول Cisco

أتمت هذا steps in order to شكلت ال ap أن يستعمل ال ACS كخادم مصادقة:

1. افتح مستعرض ويب، وأدخل http://AP-IP-address/certsrv للوصول إلى AP.

2. على شريط الأدوات، انقر فوق إعداد.

3. تحت الخدمات، انقر فوق الأمان، ثم انقر فوق خادم المصادقة.

   ملاحظة: إذا قمت بتكوين حسابات على نقطة الوصول، فيجب تسجيل الدخول.

4. دخلت ال يصدق تشكيل عملية إعداد:

   • أختر 802.1x-2001 لإصدار بروتوكول 802.1x (لمصادقة EAP).

   • أدخل عنوان IP الخاص بخادم ACS في حقل اسم الخادم/IP.

   • أختر RADIUS كنوع الخادم.

   • دخلت 1645 أو 1812 في الميناء مجال.

   • أدخل المفتاح السري المشترك الذي حددته في تحديد نقطة الوصول وتكوينها كعميل AAA.

   • حدد الخيار لمصادقة EAP لتحديد كيفية إستخدام الخادم.

5. عندما تنتهي، انقر فوق موافق.

   

6. انقر على تشفير البيانات اللاسلكية (WEP).

7. أدخل إعدادات تشفير البيانات الداخلي.

   • أختر تشفير كامل من إستخدام تشفير البيانات بواسطة المحطات هي القائمة المنسدلة لتعيين مستوى تشفير البيانات.

   • لقبول نوع المصادقة، حدد خانة الاختيار فتح لتعيين نوع المصادقة المقبول، وحدد Network-EAP لتمكين LEAP.

   • لطلب EAP، حدد خانة الاختيار فتح لطلب EAP.

   • أدخل مفتاح تشفير في حقل مفتاح الإدراج، واختر 128 بت من القائمة المنسدلة حجم المفتاح.

8. عندما تنتهي، انقر فوق موافق.

   

9. انتقل إلى الشبكة > مجموعات الخدمات > حدد IDX SSID للتأكد من إستخدام معرف مجموعة الخدمة (SSID) الصحيح.

10. وانقر فوق OK.

    

تكوين العميل اللاسلكي

أتمت هذا steps in order to شكلت ACS 3.2:

1. انضم إلى المجال.

2. الحصول على شهادة للمستخدم.

3. قم بتكوين الشبكة اللاسلكية.

الانضمام إلى المجال

أكمل هذه الخطوات لإضافة العميل اللاسلكي إلى المجال.

ملاحظة: لإكمال هذه الخطوات، يجب أن يكون للعميل اللاسلكي اتصال ب CA، إما من خلال توصيل سلكي أو من خلال التوصيل اللاسلكي مع تعطيل أمان 802.1x.

1. قم بتسجيل الدخول إلى Windows XP كمسؤول محلي.

2. انتقل إلى لوحة التحكم > الأداء والصيانة > النظام.

3. انقر فوق علامة التبويب اسم الكمبيوتر، ثم انقر فوق تغيير.

4. أدخل اسم المضيف في الحقل اسم الكمبيوتر.

5. أختر مجال، ثم أدخل اسم المجال (sec-syd في هذا المثال).

6. وانقر فوق OK.

   

7. عند ظهور مربع حوار تسجيل الدخول، قم بتسجيل الدخول باستخدام حساب لديه إذن كاف للانضمام إلى المجال.

8. عند انضمام الكمبيوتر إلى المجال بنجاح، قم بإعادة تشغيل الكمبيوتر.

   يصبح الجهاز عضوا بالمجال. منذ تكوين التسجيل التلقائي للجهاز، يحتوي الجهاز على شهادة ل CA مثبتة بالإضافة إلى شهادة لمصادقة الجهاز.

الحصول على شهادة للمستخدم

أكمل هذه الخطوات للحصول على شهادة للمستخدم.

1. قم بتسجيل الدخول إلى Windows XP والمجال (SEC-SYD) على العميل اللاسلكي (الكمبيوتر المحمول) كحساب يتطلب شهادة.

2. افتح مستعرض ويب، وأدخل http://ca-ip-address/certsrv للوصول إلى خادم CA.

3. قم بتسجيل الدخول إلى خادم CA تحت نفس الحساب.

   ملاحظة: تخزن الشهادة على العميل اللاسلكي ضمن توصيف المستخدم الحالي، ومن ثم يجب عليك إستخدام نفس الحساب لتسجيل الدخول إلى Windows و CA.

   

4. انقر على زر طلب شهادة انتقاء، ثم انقر التالي.

   

5. انقر فوق زر انتقاء الطلب المتقدم، ثم انقر فوق التالي.

   

6. انقر على إرسال طلب شهادة إلى هذا المرجع المصدق باستخدام زر انتقاء نموذج، ثم انقر على التالي.

   

7. أختر مستخدم من "قالب الشهادة"، وأدخل 1024 في حقل "حجم المفتاح".

8. قم بتكوين خيارات أخرى حسب الحاجة، وانقر إرسال.

   

   ملاحظة: إذا ظهرت شاشة انتهاك البرمجة النصية المحتملة، انقر نعم للمتابعة.

   

9. انقر على تثبيت هذه الشهادة.

   

   ملاحظة: إذا ظهرت شاشة انتهاك البرمجة النصية المحتملة، انقر نعم للمتابعة.

   

   ملاحظة: قد يظهر "مخزن الشهادات الجذر" إذا لم يتم حفظ شهادة CA الخاصة على العميل اللاسلكي بالفعل. انقر على نعم لحفظ الشهادة في التخزين المحلي.

   

   في حالة نجاح التثبيت، تظهر رسالة تأكيد.

   

تكوين الشبكة اللاسلكية

أكمل الخطوات التالية لتعيين خيارات الشبكات اللاسلكية:

1. قم بتسجيل الدخول إلى المجال كمستخدم مجال.

2. انتقل إلى لوحة التحكم > إتصالات الشبكة والإنترنت > إتصالات الشبكة.

3. انقر بزر الماوس الأيمن على توصيل لاسلكي، واختر خصائص.

4. انقر على علامة تبويب الشبكات اللاسلكية.

5. أختر الشبكة اللاسلكية من قائمة الشبكات المتاحة، ثم انقر على تكوين.

   

6. في علامة تبويب المصادقة، حدد خانة الاختيار تمكين مصادقة IEEE 802.1x لهذه الشبكة.

7. أختر البطاقة الذكية أو أي شهادة أخرى من القائمة المنسدلة لنوع EAP، ثم انقر على خصائص.

   ملاحظة: لتمكين مصادقة الجهاز، حدد خانة الاختيار مصادقة ككمبيوتر عند توفر معلومات الكمبيوتر.

   

8. انقر على زر إستخدام شهادة على راديو الكمبيوتر هذا، ثم حدد خانة الاختيار إستخدام تحديد الشهادة البسيط.

9. حدد المربع التحقق من صحة شهادة الخادم، وانقر فوق موافق.

   ملاحظة: عندما ينضم العميل إلى المجال، يتم تثبيت شهادة CA تلقائيا كمرجع مصدق جذر موثوق به. يثق العميل ضمنيا تلقائيا في المرجع المصدق الذي قام بتوقيع شهادة العميل. يمكن الثقة في مراجع تصديق إضافية عن طريق فحصها في قائمة مراجع التصديق الجذر الموثوق بها.

   

10. في علامة تبويب الاقتران في نافذة خصائص الشبكة، تحقق من تشفير البيانات (تمكين WEP) ويتم توفير المفتاح لي تلقائيا خانات الاختيار.

11. طقطقت ok، وبعد ذلك طقطقت ok ثانية in order to أغلقت الشبكة تشكيل نافذة.

    

التحقق من الصحة

يوفر هذا القسم معلومات يمكنك إستخدامها للتأكد من أن التكوين لديك يعمل بشكل صحيح.

• أكمل الخطوات التالية للتحقق من مصادقة العميل اللاسلكي:

  1. في الجهاز العميل اللاسلكي، انتقل إلى لوحة التحكم > إتصالات الشبكة والإنترنت > إتصالات الشبكة.

  2. في شريط القائمة، انتقل إلى عرض > تجانبات.

  يجب أن يعرض التوصيل اللاسلكي الرسالة "نجحت المصادقة".

• للتحقق من مصادقة العملاء اللاسلكيين، انتقل إلى التقارير والنشاط > المصادقات التي تم تمريرها > المصادقات التي تم تمريرها active.csv على واجهة ويب ACS.

استكشاف الأخطاء وإصلاحها

يوفر هذا القسم معلومات يمكنك استخدامها لاستكشاف أخطاء التكوين وإصلاحها.

• تحقق من تثبيت MS Certificate Services كمرجع مصدق رئيسي للمؤسسة على Windows 2000 Advanced Server مع Service Pack 3.

• تحقق من إستخدام Cisco Secure ACS ل Windows الإصدار 3.2 مع Windows 2000 و Service Pack 3.

• في حالة فشل مصادقة الجهاز على العميل اللاسلكي، لا يوجد اتصال شبكة على التوصيل اللاسلكي. لن تتمكن من تسجيل الدخول إلى المجال إلا الحسابات التي تخزن ملفات التعريف الخاصة بها في ذاكرة التخزين المؤقت على العميل اللاسلكي. يجب توصيل الجهاز بشبكة سلكية أو تعيينه للاتصال اللاسلكي بدون تأمين 802.1x.

• إذا فشل التسجيل التلقائي مع المرجع المصدق عند انضمامه إلى المجال، فتحقق من عارض الأحداث للأسباب المحتملة.

• إذا لم يكن لملف تعريف مستخدم العميل اللاسلكي شهادة صالحة، فلا يزال بإمكانك تسجيل الدخول إلى الجهاز والمجال إذا كانت كلمة المرور صحيحة، ولكن لاحظ أن الاتصال اللاسلكي لن يحتوي على اتصال.

• إذا كانت شهادة ACS الموجودة على العميل اللاسلكي غير صالحة (والتي تعتمد على تاريخي "من" و"إلى" الصحيحين للشهادة وإعدادات التاريخ والوقت الخاصة بالعميل وثقة CA)، فسيرفضها العميل وستفشل المصادقة. سيقوم ACS بتسجيل المصادقة الفاشلة في واجهة الويب ضمن التقارير والنشاط > محاولات فاشلة > محاولات فاشلة > محاولات فاشلة XXX.csv مع فشل المصادقة المماثلة ل "EAP-TLS أو مصادقة PEAP فشلت أثناء مصافحة SSL." رسالة الخطأ المتوقعة في ملف CSAuth.log مماثلة لهذه الرسالة:

  AUTH 06/04/2003 14:56:41 E 0345 1644 EAP: buildEAPRequestMsg: 
  other side probably didn't accept our certificate

• إذا كانت شهادة العميل الموجودة على ACS غير صحيحة (والتي تعتمد على تاريخي "من" و"إلى" الصحيحين للشهادة، وإعدادات تاريخ ووقت الخادم، وثقة CA)، فسيرفضها الخادم وستفشل المصادقة. سيقوم ACS بتسجيل المصادقة الفاشلة في واجهة الويب ضمن التقارير والنشاط > محاولات فاشلة > محاولات فاشلة > محاولات فاشلة XXX.csv مع فشل المصادقة المماثلة ل "EAP-TLS أو مصادقة PEAP فشلت أثناء مصافحة SSL." إذا رفض ACS شهادة العميل لأن ACS لا يثق في CA، فإن رسالة الخطأ المتوقعة في ملف CSAuth.log مماثلة لهذه الرسالة:

  AUTH 06/04/2003 15:47:43 E 0345 1696 EAP: ProcessResponse:
  SSL handshake failed, status = 3 (SSL alert fatal:unknown CA certificate)

  إذا رفض ACS شهادة العميل بسبب انتهاء صلاحية الشهادة، فإن رسالة الخطأ المتوقعة في ملف CSAuth.log مماثلة لهذه الرسالة:

  AUTH 06/04/2005 15:02:08 E 0345 1692 EAP: ProcessResponse:
  SSL handshake failed, status = 3 (SSL alert fatal:certificate expired)

• في السجلات الموجودة على واجهة ويب ACS، تحت كل من التقارير والنشاط > المصادقات التي تم تمريرها > المصادقات التي تم تمريرها XXX.csv والتقارير والنشاط > محاولات فاشلة > محاولات فاشلة XXX.csv، يتم عرض مصادقة EAP-TLS في التنسيق <user-id>@<domain>. تظهر مصادقة PEAP بالتنسيق <DOMAIN>\<user-id>.

• يمكنك التحقق من شهادة خادم ACS والثقة من خلال اتباع الخطوات أدناه.

  1. قم بتسجيل الدخول إلى Windows على خادم ACS باستخدام حساب له امتيازات المسؤول.

  2. انتقل إلى ابدأ > تشغيل، واكتب mmc، وانقر فوق موافق لفتح وحدة تحكم الإدارة من Microsoft.

  3. في شريط القائمة، انتقل إلى وحدة التحكم > إضافة/إزالة الأداة الإضافية، وانقر إضافة.

  4. أختر شهادات، وانقر إضافة.

  5. أختر حساب الكمبيوتر، وانقر فوق التالي، ثم أختر الكمبيوتر المحلي (الكمبيوتر الذي تعمل وحدة التحكم هذه عليه).

  6. انقر فوق إنهاء، ثم انقر فوق إغلاق، ثم انقر فوق موافق.

  7. للتحقق من أن خادم ACS يحتوي على شهادة صالحة من جانب الخادم، انتقل إلى جذر وحدة التحكم > الشهادات (كمبيوتر محلي) > شخصي > الشهادات، تحقق من وجود شهادة لخادم ACS (تسمى OurACS في هذا المثال).

  8. فتح الشهادة، والتحقق من هذه العناصر:

     • لا يوجد أي تحذير حول عدم التحقق من الشهادة لكافة الأغراض المقصودة منها.

     • لا يوجد أي تحذير حول عدم الثقة في الشهادة.

     • "هذه الشهادة معدة ل - تضمن هوية الكمبيوتر البعيد."

     • لم تنته صلاحية الشهادة وأصبحت صالحة (تحقق من تاريخي "من" و"إلى" صالحين).

     • "لديك مفتاح خاص يتوافق مع هذه الشهادة."

  9. في علامة التبويب "تفاصيل"، تحقق من أن حقل "الإصدار" يحتوي على القيمة V3 ومن أن حقل "إستخدام المفتاح المحسن" يحتوي على مصادقة الخادم (1.3.6.1.5.5.7.3.1).

  10. للتحقق من أن خادم ACS يثق في خادم CA، انتقل إلى جذر وحدة التحكم > الشهادات (كمبيوتر محلي) > مراجع التصديق الجذر الموثوق بها > الشهادات، تحقق من وجود شهادة لخادم CA (تسمى TAC CA في هذا المثال).

  11. فتح الشهادة، والتحقق من هذه العناصر:

      • لا يوجد أي تحذير حول عدم التحقق من الشهادة لكافة الأغراض المقصودة منها.

      • لا يوجد أي تحذير حول عدم الثقة في الشهادة.

      • الغرض المقصود من الشهادة صحيح.

      • لم تنته صلاحية الشهادة وأصبحت صالحة (تحقق من تاريخي "من" و"إلى" صالحين).

      إذا لم يستخدم كل من ACS والعميل المرجع المصدق الجذر نفسه، فتحقق من تثبيت سلسلة شهادات خوادم CA بأكملها. وينطبق الأمر نفسه إذا كانت الشهادة قد تم الحصول عليها من مرجع مصدق من الشهادة الفرعية.

• يمكنك التحقق من شهادة جهاز العميل اللاسلكي والثقة من خلال اتباع الخطوات أدناه.

  1. قم بتسجيل الدخول إلى Windows على خادم ACS باستخدام حساب له امتيازات المسؤول. افتح Microsoft Management Console من خلال الانتقال إلى Start (البدء) > Run، والطباعة على MMC، والنقر فوق OK.

  2. في شريط القائمة، انتقل إلى وحدة التحكم > إضافة/إزالة الأداة الإضافية، ثم انقر إضافة.

  3. حدد تراخيص وانقر إضافة.

  4. حدد حساب الكمبيوتر، وانقر فوق التالي، ثم حدد الكمبيوتر المحلي (الكمبيوتر الذي تعمل عليه وحدة التحكم هذه).

  5. انقر فوق إنهاء، ثم انقر فوق إغلاق، ثم انقر فوق موافق.

  6. تحقق من أن الجهاز لديه شهادة صالحة من جانب العميل. إذا كانت الشهادة غير صالحة، ستفشل مصادقة الجهاز. للتحقق من الترخيص، انتقل إلى جذر وحدة التحكم > الشهادات (كمبيوتر محلي) > شخصي > الشهادات. تحقق من وجود شهادة للجهاز، وسيكون الاسم بالتنسيق <host-name>.<domain>. افتح الشهادة وتحقق من العناصر التالية.

     • لا يوجد أي تحذير حول عدم التحقق من الشهادة لكافة الأغراض المقصودة منها.

     • لا يوجد أي تحذير حول عدم الثقة في الشهادة.

     • "الغرض من هذه الشهادة هو إثبات هويتك إلى كمبيوتر بعيد."

     • لم تنته صلاحية الشهادة وأصبحت صالحة (تحقق من تاريخي "من" و"إلى" صالحين).

     • "لديك مفتاح خاص يتوافق مع هذه الشهادة."

• في علامة التبويب "تفاصيل"، تحقق من أن حقل "الإصدار" يحتوي على القيمة V3 ومن أن حقل "إستخدام المفتاح المحسن" يحتوي على الأقل على مصادقة "عميل القيمة" (1.3.6.1.5.7.3.2)؛ قد يتم سرد أغراض إضافية. تأكد من أن حقل الموضوع يحتوي على القيمة CN = <host-name>.<domain>؛ قد يتم سرد قيم إضافية. تحقق من تطابق اسم المضيف والمجال مع ما تم تحديده في الشهادة.

• للتحقق من أن ملف تعريف العميل يعتمد على خادم CA، انتقل إلى جذر وحدة التحكم > الشهادات (المستخدم الحالي) > مراجع التصديق الجذر الموثوق بها > الشهادات. تحقق من وجود شهادة لخادم CA (تسمى TAC CA الخاص بنا في هذا المثال). افتح الشهادة وتحقق من العناصر التالية.

  • لا يوجد أي تحذير حول عدم التحقق من الشهادة لكافة الأغراض المقصودة منها.

  • لا يوجد أي تحذير حول عدم الثقة في الشهادة.

  • الغرض المقصود من الشهادة صحيح.

  • لم تنته صلاحية الشهادة وأصبحت صالحة (تحقق من تاريخي "من" و"إلى" صالحين).

  إذا لم يستخدم كل من ACS والعميل المرجع المصدق الجذر نفسه، فتحقق من تثبيت سلسلة شهادات خوادم CA بأكملها. وينطبق الأمر نفسه إذا كانت الشهادة قد تم الحصول عليها من مرجع مصدق من الشهادة الفرعية.

• تحقق من إعدادات ACS كما هو موضح في تكوين ACS الآمن من Cisco ل Windows v3.2.

• تحقق من إعدادات CA كما هو موضح في تكوين خدمات شهادة MS.

• تحقق من إعدادات نقطة الوصول (AP) كما هو موضح في تكوين نقطة وصول Cisco.

• تحقق من إعدادات العميل اللاسلكي كما هو موضح في تكوين العميل اللاسلكي.

• تحقق من وجود حساب المستخدم في قاعدة البيانات الداخلية لخادم AAA أو على إحدى قواعد البيانات الخارجية التي تم تكوينها، وتأكد من عدم تعطيل الحساب.

• لا تتوافق الشهادات الصادرة عن المرجع المصدق والمبنية على خوارزمية التجزئة الآمنة 2 (SHA-2) مع ACS الآمن من Cisco نظرا لتطويرها باستخدام Java التي لا تدعم SHA-2 حتى الآن. in order to حللت هذا إصدار، أعدت ال CA وشكلت هو أن يصدر شهادة مع SHA-1.

معلومات ذات صلة

• مصدر المحتوى الإضافي الآمن من Cisco لصفحة دعم Windows
• دليل نشر EAP-TLS لشبكات LAN اللاسلكية
• الحصول على معلومات تصحيح أخطاء الإصدار و AAA ل Cisco Secure ACS ل Windows
• الدعم الفني - Cisco Systems