WAPI是中国无线局域网强制性标准中的安全机制。与WIFI的单向加密认证不同,WAPI 双向 均认证,从而保证传输的安全性。WAPI安全系统采用公钥密码技术,鉴权服务器 AS 负责证书的颁发、验证与吊销等,无线客户端与无线接入点AP上都安装有 AS颁发的公钥证书,作为自己的数字身份凭证。当无线客户端登录至无线接入点AP时,在访问网络之前必须通过鉴别服务器AS对双方进行身份验证。根据 验证的结果,持有合法证书的移动终端才能接入持有合法证书的无线接入点AP。
WAPI无线局域网鉴别基础结构(WAI)不仅具有更加安全的鉴别机制、更加灵活的密钥管理技术,而且实现了整个基础网络的集中用户管理。从而满足更多用户和更复杂的安全性要求。
NAC3.13
1、配置AS服务器
2、控制器导入补丁包
3、控制器添加证书
4、控制器上添加AS服务器
5、配置无线网络
6、终端配置WIPI认证
配置WIPI功能不会影响其它功能。
1、WAPI认证服务器中如果IP地址进行变更,苹果手机以及安卓手机的app 需要由 WAPI认证服务器厂商做相应的调整。
2、目前有个别手机终端不支持WAPI认证,需要与WAPI认证服务器厂商确认。
3、认证之前用户终端是需要事先安装证书,并提交个人用户信息供网络管理员审核。如果证书安装失败或是网络管理员不进行审核,都是无法正常通过认证的。
4、前期认证需要配置两个SSID,后期等单位所有员工认证上去之后,可以把其中用于辅助WAPI认证的SSID关闭掉 。
5、用户连接上WiFi,必须要保证用户认证前能够成功的与WAPI服务器进行数据交互,即认证前的流量可达WAPI服务器。
6、“业务管理”-“AP凭证申请”处导出的证书对应导入到我司控制器的 AE证书中,“初始化设置”中的根证书对应了我司控制器上面的AS证书。
1、修改AS服务器的网络管理地址,如下:
2、创建分组,如下:
3、添加AP设备,如下:
4、申请AP凭证并下载,如下:
5、将AP凭证放到相应分组,如下:
6、在初始化设置中下载根证书,如下:
7、重启AS服务器以生效配置。
8、添加STA设备(注意认证时,使用设备MAC,不要使用随机MAC,如果访问AS服务器下载证书,则需要填写MAC地址,若使用APP下载,则不需要填写,建议使用网页下载)截图如下:
9、申请STA凭证,如下:
10、审核STA凭证并下载,如下:
11、将STA凭证放入相应分组,如下:
3.2.1 NAC3.13.0版本控制器导入补丁包
1、【系统管理】—【系统更新】—【控制器升级】-补丁包升级,上传相应补丁包,该补丁级包升级不需要重启控制,截图如下:
2、 点击开始升级,等待设备升级完成,出现“升级完成”提示,即完成补丁包升级.
3.2.2 证书导入
1、导入AS证书,【认证配置】—【证书管理】—【新增】-WAPI-AS证书,点击选择添加AS证书,上传AS证书并点击提交:
2、导入AE证书,【认证配置】—【证书管理】—【新增】-WAPI-AE证书,点击选择添加AE证书,上传AE证书并点击提交:
3.2.3添加AS服务器
1、【认证配置】—【认证授权】—【外部服务器】,新建一个AS服务器。
2、填写AS服务器相关信息,IP地址为AS服务器地址,端口默认3810,如下:
3.2.4创建无线网络
1、基本配置,【接入点管理】—【无线网络】—新增高级无线网络,点击基本配置,填入SSID名称以及选择对应的AP接入点,其他选项如无特殊要求,保持默认即可,如下:
2、认证类型,点击认证类型,选择WAPI(企业),如下:
3、账号认证,选择对应的AS\AE证书以及创建的AS服务器,截图如下:
4、VLAN设置以及权限设置等其他设置,按业务需求自行更改即可。
1、将下载的终端证书以及根证书下载到手机存储的根目录下。
2、在终端WLAN-更多WLAN设置-安装证书 选择对应的证书进行安装即可。
用户认证成功后可以在AS服务上和控制器上在线用户中查看用户信息
补丁包的需要找当地办事处技服或通过400电话申请获取,申请时请提前准备好项目姓名、控制器SN/网关ID等信息。