无线网络安全指南：自动部署根证书

对于系统管理员和企业CIO来说，企业无线局域网的安全问题一直是他们关注的重心。在4月份中，我们会连续关注企业无线局域网安全，今天我们将向大家介绍如何利用Windows活动目录向全体用户的证书信任列表（CTL）中添加根证书。

在一个数字证书可以使用前，该证书的签名授权（在本文中为自签名）必须要安装在用户电脑的证书信任列表（CTL）中。本文中所介绍的自动部署根证书的工具集成在Windows XP SP1中，这个工具同时支持Cisco客户端以及Windows Wireless Zero Configuration (WZC)客户端。如果你的企业采用的是Windows活动目录环境，那么采用活动目录向全体用户的CTL中安装根证书将是一件非常容易的事情。如果你的企业没有采用活动目录环境，那么你应该直接参考本系列文章的手动部署根证书部分。

要完成该工作，我们首先要以管理员身份启动“Active Directory Users and Groups”中的组策略编辑器。也许你需要将根证书颁发给整个域中的全部成员，但可能你只希望将根证书颁发给某个特定组织单元中的用户。在本文中，我们仅讲述针对全体活动目录用户颁发根证书并进行无线PEAP验证配置。

右键点击域名，然后选择 "Properties" 如图R所示。

图R 属性

点击"Group Policy"标签，然后点击"New"，建立一个叫做 "PKI Policy"的新策略，然后点击"Edit"按钮。如图S所示。

图S PKI 策略

展开 "Computer Configuration" 如图T所示。 然后右键点击"Trusted Root ..." 再点击 "Import"。

图T 组策略对象编辑器

导入自签名的证书，如图U所示，然后点击"Next".

图U 证书导入向导

假设你将根证书拷贝到了本机的C:\ 目录下，那么就输入如图V所示的内容，然后点击 "Next"。

图V 导入文件

在下一个窗口点击"Finish"按钮，然后关闭所有相关窗口。完成这些工作后，你的整个活动目录都会信任这个你用SelfSSL工具创建的自签名证书。这种自签名的根证书在部署上与任何由PKI证书授权服务器生成的证书没有任何区别。

（责任编辑:陈毅东）