WAPI是中国无线局域网强制性标准中的安全机制。与WIFI的单向加密认证不同,WAPI 双向 均认证,从而保证传输的安全性。WAPI安全系统采用公钥密码技术,鉴权服务器 AS 负责证书的颁发、验证与吊销等,无线客户端与无线接入点AP上都安装有 AS颁发的公钥证书,作为自己的数字身份凭证。当无线客户端登录至无线接入点AP时,在访问网络之前必须通过鉴别服务器AS对双方进行身份验证。根据 验证的结果,持有合法证书的移动终端才能接入持有合法证书的无线接入点AP。
WAPI无线局域网鉴别基础结构(WAI)不仅具有更加安全的鉴别机制、更加灵活的密钥管理技术,而且实现了整个基础网络的集中用户管理。从而满足更多用户和更复杂的安全性要求。
1)第一步:修改AS服务器的网络管理地址,截图如下:
2)第二步:创建分组,截图如下:
3)第三步:添加AP设备,截图如下:
4)第四步:申请AP凭证并下载,截图如下:
5)第五步:将AP凭证放到相应分组,截图如下:
6)第六步:在初始化设置中下载根证书,截图如下:
7)第七步:重启AS服务器以生效配置。
8)第八步:添加STA设备(注意认证时,使用设备MAC,不要使用随机MAC,如果访问AS服务器下载证书,则需要填写MAC地址,若使用APP下载,则不需要填写,建议使用网页下载)截图如下:
9)第九步:申请STA凭证,截图如下:
10)第十步:审核STA凭证并下载,截图如下:
11)第十一步:将STA凭证放入相应分组,截图如下:
2.2.1NAC3.9.0 H1版本控制器导入补丁包
1)第一步:系统更新——控制器升级,上传相应补丁包,截图如下:
2)第二步:点击开始升级,等待设备升级完成,升级完后控制器不需重启,截图如下:
2.2.2证书导入
1)第一步:找到研发申请对应型号控制器的WAPI的认证补丁包并导入。
2)第二步:导入对应的证书,AP的证书对应控制器的AE证书,根证书对应控制器的AS证书,截图如下:
2.2.3添加AS服务器
1)第一步:新建一个AS服务器,截图如下:
2)第二步:IP地址为AS服务器地址,端口默认3810,截图如下:
2.2.4 无线网络配置
1)第一步:创建SSID,选择认证方式,截图如下:
2)第二步:账号认证不用更改,保持默认,截图如下:
3)第二步:VLAN设置按业务需求自行更改。
1)第一步:将下载的终端证书以及根证书下载到手机存储的根目录下。
2)第二步:在终端WLAN-更多WLAN设置-安装证书 选择对应的证书进行安装即可。
1)WAPI认证服务器中如果IP地址进行变更,苹果手机以及安卓手机的app 需要由 WAPI认证服务器厂商做相应的调整。
2)目前有个别手机终端不支持WAPI认证,需要与WAPI认证服务器厂商确认。
3)认证之前用户终端是需要事先安装证书,并提交个人用户信息供网络管理员审核。如果证书安装失败或是网络管理员不进行审核,都是无法正常通过认证的。
4)前期认证需要配置两个SSID,后期等单位所有员工认证上去之后,可以把其中用于辅助WAPI认证的SSID关闭掉 。
5)用户连接上WiFi,必须要保证用户认证前能够成功的与WAPI服务器进行数据交互,即认证前的流量可达WAPI服务器。
6)“业务管理”-“AP凭证申请”处导出的证书对应导入到我司控制器的 AE证书中,“初始化设置”中的根证书对应了我司控制器上面的ASU证书。