WIN7PEAPrejectedtheACSLocal-certificate解决办法课件.docxVIP

WIN7 PEAP rejected the ACS Local-certificate解决办法在我们用Cisco的ACS5.X 做无线的dot1x + AD认证的时候，协议我们基本上会用EAP中的PEAP的认证方式，如图一：图一我们先来熟悉一下EAP-PEAP的认证过程：EAP-PEAP：（1）TLS 握手阶段申请者向认证者发送EAPOL-Start 帧，启动802.1x 认证流程。认证者向申请者发送EAP-Request/Idnetity消息，要求申请者提供自己的身份。申请者发送EAP-Response/Identity消息给认证者，消息中的Identity 域存放用户的网络访问标识符（Network Access Identifier，NAI），一般为用户名@域名的形式。认证者将此EAP 消息通过RADIUS 协议封装后，转发给认证服务器。认证服务器开始PEAP 认证，发送EAP-Request/PEAP/Start 消息给认证者，认证者将其转发给申请者。这时开始TLS 握手过程，建立TLS 隧道。申请者发送 EAP-Response/Clint_Hello消息发送给认证者，Client_Hello握手消息包含TLS 版本号、客户端随机数、会话ID、客户端支持的密码算法套件和压缩算法（为NULL）。认证者将EAP 消息转发给认证服务器。认证服务器从Client_Hello消息中的密码算法套件挑选出自己支持的一组密码算法，连同服务器端随机数、会话ID、压缩算法组成Server_Hello消息。Server_Hello、服务器端证书、Server_Key_Exchange和Server_Hello_Done消息被封装到EAP 消息中发送给认证者，认证者转发这个EAP 消息给申请者。申请者收到后验证服务器的数字证书，并回复给服务器密钥材料Clinet_Key_Exchange、Change_Cipher_ Spec 和Finisisd消息。认证服务器接收到认证者发来的EAP 消息后，验证Finished 消息的正确性，并回复自己的Change_Cipher_Spec和Finished 消息给申请者。申请者收到认证服务器的消息后校验Finished 消息，并发送一个空响应给认证服务器来进行第二阶段认证。此时申请者和认证服务器协商都推导出会话密钥，从而建立了一个加密隧道，为接下来的第二阶段EAP认证提供机密性和完整性服务。（2）隧道阶段利用 TLS 记录层协议，认证服务器初始化一个新的EAP 认证。新的交换过程根据具体EAP 认证方法的要求，完成对申请者身份的认证。值得注意的是，当这一阶段认证方法结束之后，在隧道内认证服务器和申请者会互相发送一个EAP-TLV/ Result-TLV 数据包来揭示认证的结果。最后认证服务器根据第二阶段EAP 方法的认证结果，发送给认证者和申请者的EAP-Success 或EAP-Failure 消息，整个PEAP 认证过程结束。在这个里面有一个很重要的过程就是Server的hello 消息，里面包含了服务器端证书。如果这个证书是客户端所不信任的，就会出现我们所说的问题，如图二：12321 PEAP failed SSL/TLS handshake because the client rejected the ACS local-certificate图二Win7就直接拒绝了ACS自带的自签名证书，导致认证失败。目前测试的结果来看android,iOS, Mac, WIN10都能识别这个ACS的自签名证书，就WIN7不行。造成的原因如下：WIN7 没有加入域域没有中没有证书服务器没有给ACS颁发证书前面2点都很简单，现在我们来简单说一下如何给ACS颁发证书.1、System Administration Configuration Local Server Certificates Local Certificates 中点击Add按钮，如图三：图三2、下一步，需要产生一个证书请求，如图四：图四下一步，输入CN信息和证书key长度和加密的方式，如图五:图五注意：CN必须是hostname + 域，在这里，hostname是acs, 域是不然会出现如下错误：11514 Unexpectedly received empty TLS message; treating as a rejection by the client在System Administration Configuration Local Server Certificates Outstanding Signing Requests中导出证书请求，如图六：图六用notepad或者是?notepad++一