本文介绍控制器如何配置安全性级别较高的认证方式-双向证书认证。
2.1.1初始化CA证书
1)第一步:在【认证配置】-【证书管理】页面,首次NAC的证书服务需要先初始化CA证书,其中【颁发给】是必填字段,其他选填。
2)第二步:在【认证配置】-【证书管理】页面,新增服务器证书,选择【由内置CA颁发】,同样【颁发给】是必填字段。
2.1.2配置WPA企业级的认证方式
1)第一步:在【接入点管理】-【无线网络】页面,新建WPA企业级的认证方式无线网络。
2)第二步:选择证书认证(EAP-TLS)的终端认证,选择刚才新增的服务器证书
2.1.3客户端配置
手动去配置企业级的认证是比较繁琐的,不仅新建wifi连接还需要导入服务器证书,所以建议是使用我们的无线网络自动配置工具。需要注意的是自动配置工具支持的是windows设备,macOS设备想要实现802.1x的EAP-TLS认证还需要自己编写配置描述文件。据苹果技术支持介绍,有Apple Remote Desktop 可能可以生成这种配置描述文件,且该软件需要收费。所以环境中如果有macOS系统的设备,推荐不要使用证书认证方式。使用新建下发自动配置工具的无线网络。
1)第一步:在【接入点管理】-【无线网络】-【无线网络自动配置】页面配置成功之后在无线网络中会出现一个开放式+web的SSID。
2)第二步:指定需要自动下发配置的无线网络
1)第一步:在【认证配置】-【用户管理】-【本地用户】页面,新增本地用户,用于认证和下载配置工具
2)第二步:以Win10为例,需要先连接配置工具的无线网络,点击下载用户证书,使用控制器本地创建的用户进行配置工具下载。
3)第三步:运行配置工具,点击详情查看配置内容,点击开始配置完成配置,提示配置成功即可。
1)第一步:配置完成后可以自动连接该SSID。
2)第二步:系统在线情况
1)以苹果手机为例,先连接配置工具的无线网络 
2)输入在本地用户创建的用户名和密码,下载完成证书后前往手机安装证书,即可连接网络。 
