WAPI是中国无线局域网强制性标准中的安全机制。与WIFI的单向加密认证不同,WAPI 双向 均认证,从而保证传输的安全性。WAPI安全系统采用公钥密码技术,鉴权服务器 AS 负责证书的颁发、验证与吊销等,无线客户端与无线接入点AP上都安装有 AS颁发的公钥证书,作为自己的数字身份凭证。当无线客户端登录至无线接入点AP时,在访问网络之前必须通过鉴别服务器AS对双方进行身份验证。根据 验证的结果,持有合法证书的移动终端才能接入持有合法证书的无线接入点AP。
WAPI无线局域网鉴别基础结构(WAI)不仅具有更加安全的鉴别机制、更加灵活的密钥管理技术,而且实现了整个基础网络的集中用户管理。从而满足更多用户和更复杂的安全性要求。
1)第一步:修改AS服务器的网络管理地址,截图如下:
2)第二步:创建分组,截图如下:
3)第三步:添加AP设备,截图如下:
4)第四步:申请AP凭证并下载,截图如下:
5)第五步:将AP凭证放到相应分组,截图如下:
6)第六步:在初始化设置中下载根证书,截图如下:
7)第七步:重启AS服务器以生效配置。
8)第八步:添加STA设备(注意认证时,使用设备MAC,不要使用随机MAC,如果访问AS服务器下载证书,则需要填写MAC地址,若使用APP下载,则不需要填写,建议使用网页下载)截图如下:
9)第九步:申请STA凭证,截图如下:
10)第十步:审核STA凭证并下载,截图如下:
11)第十一步:将STA凭证放入相应分组,截图如下:
2.2.1NAC3.10.0版本控制器导入补丁包
1)第一步:系统管理—》系统更新—》控制器升级—》补丁包升级,上传相应补丁包,该补丁级包升级不需要重启控制,截图如下:
注意:补丁包的需要找当地办事处技服或通过400电话申请获取,申请时请提前准备好项目姓名、控制器SN/网关ID等信息
2)第二步:点击开始升级,等待设备升级完成,出现“升级完成”提示,即完成补丁包升级,截图如下:
2.2.2证书导入
1)导入AS证书,认证配置—》证书管理—》新增—》WAPI-AS证书,点击选择添加AS证书,上传AS证书并点击提交:
2)导入AE证书,认证配置—》证书管理—》新增—》WAPI-AE证书,点击选择添加AE证书,上传AE证书并点击提交:
2.2.3添加AS服务器
1)第一步:认证配置—》认证授权—》外部服务器,新建一个AS服务器,截图如下:
2)第二步:填写AS服务器相关信息,IP地址为AS服务器地址,端口默认3810,截图如下:
2.2.4创建无线网络
1)第一步:基本配置,SD-WLAN—》无线网络—》新增高级无线网络,点击基本配置,填入SSID名称以及选择对应的AP接入点,其他选项如无特殊要求,保持默认即可,截图如下:
2)第二步:认证类型,点击认证类型,选择WAPI(企业),截图如下:
3)第三步:账号认证,选择对应的AS\AE证书以及创建的AS服务器,截图如下:
4)第四步:VLAN设置以及权限设置等其他设置,按业务需求自行更改即可。
1)第一步:将下载的终端证书以及根证书下载到手机存储的根目录下。
2)第二步:在终端WLAN-更多WLAN设置-安装证书 选择对应的证书进行安装即可。
1)WAPI认证服务器中如果IP地址进行变更,苹果手机以及安卓手机的app 需要由 WAPI认证服务器厂商做相应的调整。
2)目前有个别手机终端不支持WAPI认证,需要与WAPI认证服务器厂商确认。
3)认证之前用户终端是需要事先安装证书,并提交个人用户信息供网络管理员审核。如果证书安装失败或是网络管理员不进行审核,都是无法正常通过认证的。
4)前期认证需要配置两个SSID,后期等单位所有员工认证上去之后,可以把其中用于辅助WAPI认证的SSID关闭掉 。
5)用户连接上WiFi,必须要保证用户认证前能够成功的与WAPI服务器进行数据交互,即认证前的流量可达WAPI服务器。
6)“业务管理”-“AP凭证申请”处导出的证书对应导入到我司控制器的 AE证书中,“初始化设置”中的根证书对应了我司控制器上面的AS证书。