在通过radius验证Cisco Aironet AP以防止AD时，是否需要PKI？

Question

我们是一个小办公室，有一个思科航空1250接入点设置为WPA。既然我们已经部署了Active，我希望开始通过radius而不是PSK对我的用户进行身份验证。

为此，我在我的SBS 2011服务器上安装了NPS。WiFi的客户端是一些公司的笔记本电脑，一些个人的iPhones，iPads，安卓手机等，也就是各种设备的混合，并不是所有的设备都加入了这个领域。

看来，所有涉及Aironet支持的radius的身份验证方法都需要某种PKI基础设施。我成功地将我们的Cisco ASA 5505配置为使用相同的radius服务器对IPSEC VPN客户端进行身份验证，但不知道如何设置Aironet。我真的需要在所有这些设备上安装我的NPS服务器证书吗，就像我见过一些人建议的那样？

Answer 1

思科接入点可以使用两种常见形式的802.1X每个用户的身份验证。802.1xEAP需要NPS服务器、客户端计算机和客户端用户的证书。这通常是通过使用智能卡来完成的，因此用户的证书会遵循它们。

另一种也是更常见的使用802.1X进行每个用户身份验证的方法是802.1XPEAP，它在NPS服务器上使用一个证书，以便客户端可以在用户登录时验证服务器和用户的Windows用户名和密码来进行客户端身份验证。此外，当没有用户登录时，Windows域计算机帐户用于无线身份验证，因此，重要的是要记住，如果在NPS规则中使用组，则包括除所有用户之外还拥有所有计算机的组。

请注意，访问点没有获得证书。客户端被称为“请求者”，服务器需要对其进行身份验证。NPS服务器是“身份验证服务器”，客户端需要对其进行身份验证。但是，接入点被称为“身份验证者”，是请求者和身份验证服务器之间的中间人，因此客户端不需要对其进行身份验证。NPS服务器凭借RADIUS共享机密对接入点进行“身份验证”。

最后，这不需要是一个公开信任的SSL证书。您可以在域上设置企业CA，域中的所有计算机都将信任它。

希望这能有所帮助！

-Eric