丁丁

給Android設備安裝證書

大多數網絡的驗證方法，都需要安裝來自證書管理機構（CA）的證書，驗證服務器使用該證書實現服務器驗證功能。與Windows中的服務器驗證一樣，它有助于防止中間人攻擊。在較新版的Android中安裝證書很簡單，證書下載后會自動打開導入證書的屏幕，并為憑據使用選擇Wi-Fi。如果你手機上的鎖屏安全機制未啟用，可能會提示啟用該機制（圖1、圖2）。

如果使用舊版本的Android，可能得手動開始導入過程。首先，將證書下載或傳送到設備上。然后，進入到安全設置，并選擇從SD卡安裝。如果你之前沒有設置好密碼，它會提示你設置存儲憑據的密碼。

證書的刪除也很簡單，只要進入到安全設置選擇清除即可，還可以一并刪除鎖屏PIN/密碼。不過，這會刪除之前添加的所有證書。如果你想刪除用戶證書，選擇安全設置中的受信任的憑據，選擇用戶選項卡即可查看并刪除單個證書。

配置802.1X設置

初次在Android中連接到受保護的無線網絡會看到驗證設置頁面。通常使用PEAP或TTLS方法時會看到一些必要設置。首先是Phase 2驗證，這個設置指定了外部驗證方法，比如MS-CHAPv2是最流行的驗證方法，一般選擇None即可。身份驗證是輸入用戶名的地方，應該包括域名一并輸入，比如qqvavra2（圖3）。

802.1X的基本外部驗證方法

關于匿名身份，默認情況下沒必要使用真實用戶名作為外部身份，這可以防止真實用戶名外泄。不過，你可能要加入正確的域，這取決于你的驗證服務器。最后輸入密碼，如果之前的證書安裝正確，現在就可以順利連接內部網絡了。連接后也可以編輯這些設置，只要長按網絡名稱，選擇修改網絡配置即可（圖4）。

將證書安裝到iOS設備上

就iOS設備而言，沒必要手動安裝證書管理機構的證書就能夠充分利用服務器驗證。這種驗證有助于防止中間人攻擊，并且在iOS設備上實現了自動化，會提示你接收驗證服務器所使用的新證書。這個默認的驗證類型很容易被用戶忽視，所以通過創(chuàng)建配置描述文件定義受信任的證書名稱是不錯的處理方式。

我們需要連接的服務器如果需要用戶證書，網絡會通過電子郵件將證書發(fā)到iOS設備上。證書會是帶.p12、.pfx或.crt等擴展名的小文件，選擇iOS設備上的證書文件會提示你安裝該文件。點擊更多細節(jié)可以查看證書細節(jié)，點擊安裝即可導入證書（圖5、圖6）。

證書安裝完畢后就可以準備連接了，首次用iOS設備連接到企業(yè)保護的無線網絡時系統(tǒng)會提示你驗證設置。與Android不同，iOS只要輸入用戶名和密碼即可，但輸入后需要接受驗證服務器的證書管理機構證書，首次連接時證書屬于未驗證。

iOS高級802.1X設置

在iOS設備上無法配置高級802.1X設置，比如允許的具體EAP類型、受信任的證書名稱以及啟用受保護的訪問憑據（PAC）。另外還無法定義外部身份，比如Windows中的常用的身份隱私和Android中的匿名身份。在這里可以使用iPhone配置實用工具（iPCU）創(chuàng)建網絡配置描述文件，比如無線、VPN賬戶及電子郵件方面的基本設置（圖7）。

使用iPCU創(chuàng)建配置描述文件，根據要求自定義文件設置，其中就包括配置高級802.1X設置的功能。轉到策略 > {策略名稱} > 高級，打開iPCU 配置窗口。單擊文件（.mobileconfig），然后單擊上傳，此時將顯示初始配置設置。查看設置無誤后單擊保存并發(fā)布，此時設置將發(fā)布至iOS設備。在iPCU設置中還可以在網絡上創(chuàng)建單獨的SSID，讓強制網絡門戶指向該配置文件，那樣用戶們就能迅速、輕松地下載配置文件，這其中就包括用戶證書和證書管理機構證書（圖8）。