设置证书身份验证

作为证书管理初始设备流程的一部分，您需要建立证书身份验证策略。在 Avalanche 中创建并部署包含 EAP-TLS 加密的网络策略时，它需要设备与服务器之间的证书身份验证。要启用此通信，您需要对当前运行 SCEP 服务器的计算机进行额外更改。

如果您尚未配置 SCEP 服务器，请参阅配置 SCEP 服务器。

应通过策略 > 网络策略中的以下配置来设置“网络策略服务器”应用程序：

• 启用了用于 WiFi 访问的网络策略

• 为任何所需用户组（例如，AVA\Domain Users）设置的条件

要配置证书身份验证：

1  从“证书颁发机构服务器”应用程序中，右键单击证书颁发机构服务器中的证书模板并单击管理。

2  右键单击 IPSec（离线请求）并单击复制模板。

3  在“常规”选项卡上，输入模板显示名称。

4  在“安全”选项卡上，选择管理员作为管理用户。

5  在“扩展”选项卡上，选择应用程序策略扩展并单击编辑。

6  单击添加。

7  选择客户端身份验证和 IP 安全 IKE 中介。

8  单击确定以将所有变更应用到模板。

9  再次右键单击证书模板并选择新建 > 要颁发的证书模板。

10  选择刚才创建的模板并单击确定。

11  启用注册表编辑器并导航至 MSCEP 文件夹。

12  输入证书模板的名称作为以下注册表项的数据：

• EncryptionTemplate

• GeneralPurposeTemplate

• SignatureTemplate

已配置服务器以对证书进行身份验证。

完成此步骤后，您可以从在“系统设置”中输入 SCEP 凭据入手，开始在 Avalanche 中工作以将此服务与证书服务器集成。有关详细信息，请参阅配置常规系统设置。