可以使用此过程配置可扩展身份验证协议–传输层安全 (EAP-TLS) 配置文件,以便使用智能卡或其他证书进行身份验证。

Domain Admins 中的成员身份或同等身份是完成此过程所需的最低要求。

为运行 Windows Vista 的计算机配置 EAP-TLS 无线配置文件的步骤

  1. 打开“新建无线网络 (IEEE 802.11) 策略属性”对话框。

  2. “常规”选项卡的“策略名称”中,为您的策略键入新名称,或保留默认名称。

  3. “描述”中,键入策略的描述。

  4. 选择“用 Windows 来为客户端配置无线网络设置”指定使用 WLAN 自动配置来配置无线网络适配器设置。

  5. “常规”选项卡上,执行下列操作之一:

    • 若要添加和配置新的配置文件,请单击“添加”,然后选择“基础结构”

    • 若要编辑现有的配置文件,请选择要修改的配置文件,然后单击“编辑”

  6. 如果要添加新的配置文件,请在“连接”选项卡的“配置文件名”中,为该配置文件键入一个名称。如果要编辑已经添加的配置文件,请使用现有的配置文件名,或根据需要修改该名称。

  7. “网络名称(SSID)”中,为您的无线 AP 键入服务集标识符 (SSID),然后单击“添加”

    如果您的部署使用多个 SSID,并且每个无线 AP 都使用相同的无线安全设置,请为您希望应用此配置文件的每个无线 AP 重复此步骤来添加 SSID。

    如果您的部署使用多个 SSID,并且每个 SSID 的安全设置不匹配,请为使用相同安全设置的每组 SSID 配置单独的配置文件。例如,如果有一组无线 AP 被配置为使用 WPA2 - 企业和 AES,另一组无线 AP 被配置为使用 WPA - 企业和 TKIP,请分别为每组无线 AP 配置一个配置文件。

  8. 若要指定无线客户端自动连接到在“网络名称(SSID)”中为其指定 SSID 的无线 AP,请选择“当此网络在范围内时自动连接”

  9. 若要指定无线客户端按首选顺序连接到网络,请选择“连接到更适合的网络(如果可用)”

  10. 如果您部署的无线访问点被配置为取消广播信号,请选择“即使网络未进行广播也连接”

    安全 注意

    启用此选项会造成安全风险,因为无线客户端将探测并试图连接至任何无线网络。默认情况下不启用此设置。

  11. 单击“安全”选项卡。在“为此网络选择安全方法”中的“身份验证”中,选择“WPA2 - 企业”(如果它受无线 AP 和无线客户端网络适配器支持)。否则,选择“WPA - 企业”

    注意

    选择 WPA2 可显示在选择 WPA 时不显示的快速漫游的设置。快速漫游的默认设置能够满足大多数无线部署。

  12. “加密”中,选择 AES(如果它受无线 AP 和无线客户端网络适配器支持)。否则,选择 TKIP

    注意

    “身份验证”“加密”的设置必须与在无线 AP 上配置的设置匹配。

  13. “选择网络身份验证方法”中,选择“Microsoft: 智能卡或其他证书”

  14. “身份验证模式”中,根据需要从下列各项中选择:“用户或计算机身份验证”“计算机身份验证”“用户身份验证”“来宾身份验证”。默认情况下,“用户或计算机身份验证”处于选中状态。

  15. “最大身份验证失败次数”中,指定通知用户身份验证失败前允许的尝试最多失败次数。默认情况下,该值设置为“1”。

  16. 若要指定将用户凭据保留在缓存中,请选中“缓存用户信息以便随后连接到该网络”

  17. 单击“高级”,然后配置下列各项:

    1. 若要配置高级 802.1X 设置,请在 IEEE 802.1X 中选择“强制高级 802.1X 设置”,然后根据需要配置以下设置:“最大 Eapol 启动消息数”“保持时间”“启动时间”“验证时间”

      当强制使用高级 802.1X 设置时,默认值能够满足大多数无线部署的需要。

    2. 若要启用单一登录,请选择“为此网络启用单一登录”

    3. 若要指定何时发生“单一登录”,请根据需要选择“用户登录前立即执行”“用户登录后立即执行”

      “单一登录”中的其余默认值可以满足典型无线部署的需要。

    4. 若要指定 802.1X 身份验证必须完成和授权网络访问的最大时间限制(以秒为单位),请根据需要在“连接最大延迟(秒)”中输入一个值。

    5. 若要在单一登录期间允许显示对话框,请选择“允许单一登录期间显示其他对话框”

    6. 若要指定无线计算机在启动时置于一个虚拟局域网 (VLAN) 中,然后在用户登录到计算机之后切换到其他网络,请选择“此网络使用不同的 VLAN 对计算机和用户凭据进行身份验证”

    7. 若要启用快速漫游,请在“快速漫游”中选择“启用成对主密钥(PMK)缓存”“PMK 生存时间(分钟)”“PMK 缓存中的项目数”的默认值一般可以满足快速漫游的需要。

    8. 如果将无线 AP 配置为执行预身份验证,请选择“此网络使用预身份验证”。默认值 3 一般可以满足“最大预先身份验证次数”的需要。

    9. 若要指定加密遵从 FIPS 140-2 验证的模式,请选择“在 FIPS 140-2 验证的模式下执行加密”

  18. 单击“属性”。在“智能卡或其他证书属性”对话框的“连接时”中,选择“使用我的智能卡”,或者同时选择“在此计算机上使用证书”“使用简单证书选择(建议使用)”

  19. 若要求访问客户端验证网络策略服务器 (NPS) 服务器证书,请选择“验证服务器证书”

  20. 若要指定有线访问客户端必须用来进行身份验证和授权的远程身份验证拨入用户服务 (RADIUS) 服务器,在“连接到这些服务器”中,严格按照服务器证书的主题字段中显示的名称键入每台 RADIUS 服务器的名称。使用分号指定多个 RADIUS 服务器名称。

  21. “受信任的根证书颁发机构”中,选择向运行 NPS 的服务器颁发证书的 CA。

  22. 若要指定客户端使用替换名称进行访问尝试,请选择“为此连接使用一个不同的用户名”

  23. 为提高安全性和获得更好的用户体验,请选择“不提示用户验证新服务器或受信任的证书授权机构”

  24. 单击“确定”以关闭“智能卡或其他证书属性”对话框,并返回“新建无线网络策略属性”对话框。

目录