EAP-TLS 协议使用双向证书认证,要求服务器及客户端都使用证书,向对方证明身份,并使用非对称加密方式,在无线客户端及认证服务器间安全地协商数据加密密钥,保证无线数据传输的机密性及完整性。
由于使用了基于证书的身份验证方法,避免了基于密码认证方法所存在的由于密码泄漏,密码强度低等原因导致的密码被猜测或暴力破解的风险。因此 EAP-TLS 提供了目前无线认证中,最安全的认证方法。缺点是所有客户端都需要安装个人证书,部署比较复杂。
NAC_3.13.0
1、初始化控制器CA证书
2、配置无线网络
3、配置无线网络自动配置
4、新增本地用户
新增无线网络不会影响现有业务
无
1、点击【认证配置】-【证书管理】-【证书管理】,内置CA操作初始化,其中【颁发给】是必填字段,其他内容选填
2、在当前页面点击【新增】-【服务器证书】-【由内置CA颁发证书】,同样【颁发给】是必填字段,其他内容选填
1、点击【接入点管理】-【无线网络】-【无线网络】新增高级无线网络并设置SSID、接入点和转发方式
2、配置【认证类型】为WPA/WPA2(企业)
3、配置【账号认证】,终端认证选择证书认证EAP-TLS,选择刚新增的服务器证书
4、配置【VLAN设置】
5、配置【权限设定】为默认角色
6、提交即可完成配置
手动去配置企业级的认证是比较繁琐的,不仅新建wifi连接还需要导入服务器证书,所以建议是使用我们的无线网络自动配置工具。需要注意的是自动配置工具支持的是windows设备,macOS设备想要实现802.1x的EAP-TLS认证还需要自己编写配置描述文件。据苹果技术支持介绍,有Apple Remote Desktop 可能可以生成这种配置描述文件,且该软件需要收费。所以环境中如果有macOS系统的设备,推荐不要使用证书认证方式。使用新建下发自动配置工具的无线网络。
1、点击【无线网络自动配置】,启用无线网络配置设置自动配置的无线网络SSID
2、点击下方新增,配置需要自动下发配置的无线网络,按照下方内容配置完成
点击【认证配置】-【用户管理】-【本地用户】新增测试账号
1、需要先连接配置工具的无线网络,点击下载用户证书,使用控制器本地创建的用户进行配置工具下载
2、运行配置工具,点击详情查看配置内容,点击开始配置完成配置,提示配置成功即可。
3、配置完成之后可以自动连接该SSID
4.2苹果手机连接示例
1、先连接配置工具的无线网络 
2、输入在本地用户创建的用户名和密码,下载完成证书后前往手机安装证书,即可连接网络。
4.3系统在线情况
