iMC EIA 802.1X认证+LDAP认证

典型配置举例

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

资料版本：5W114-20241218

产品版本：EIA 7.3 (E0629)

 

目  录

1 介绍

2 使用指南

2.1 使用场合

2.2 配置前提

3 配置举例

3.1 组网需求

3.2 配置步骤

3.2.1 LDAP服务器配置

3.2.2 配置EIA服务器

3.2.3 配置接入设备

3.3 配置验证

4 附录

4.1 安装主域控

4.2 配置证书服务

 

1  介绍

在已使用LDAP服务器对用户进行管理的网络中，引入EIA认证系统，实现EIA与LDAP服务器联动认证。进入EIA认证系统，EIA无需创建接入用户，直接从LDAP服务器同步用户信息。EIA收到用户的认证请求后，将用户名和密码的校验转给LDAP服务器处理。EIA根据LDAP服务器的验证结果允许或拒绝用户接入网络，并使用各种控制策略对接入网络的用户进行接入控制。LDAP用户信息在LDAP服务器和EIA中各保存一份，LDAP服务器负责维护用户的各种信息，EIA定时从LDAP服务器中将用户信息同步到EIA中。

·     LDAP：LDAP是轻量级目录访问协议（Lightweight Directory Access Protocol）的简称，它用来访问用于认证的目录服务器（LDAP服务器），目录服务器通过目录树的结构提供了用户认证的相关信息。现在业界流行的LDAP服务器包括iPlanet（Netscape）、Open LDAP、NDS（Novell）及Active Directory（Microsoft）等。

·     EIA：EIA终端智能接入(End-user Intelligent Access)，是一款网络接入策略管理解决方案。实现企业有线、无线和VPN网络的一体化接入管理。可以按照用户角色、设备类型、接入时间、接入地点等条件自由定义不同的接入场景，对网络访问权限做精细化控制。满足企业多种接入形式、多种终端类型、多种用户角色的统一运维管理需求，确保终端安全策略在整个网络无缝地执行。

2  使用指南

2.1  使用场合

网络中已经存在统一管理用户的LDAP服务器，向此类比较成熟的网络中引入EIA认证系统，实现EIA与LDAP服务器联动认证。

2.2  配置前提

接入设备支持802.1X协议，网络中存在基于Windows AD的LDAP服务器，安装Windows AD可参考4  附录。

3  配置举例

3.1  组网需求

某公司计划在原有LDAP认证基础上引入EIA系统，用户接入网络时向EIA服务器发送认证请求，用户密码由LDAP服务器校验，并将校验结果返回给EIA，EIA根据LDAP服务器的验证结果允许或拒绝用户接入网络。

具体的组网如图1所示。EIA服务器IP地址为10.114.119.45，LDAP服务器IP地址为10.114.119.41，接入设备IP地址为192.168.30.100。PC安装了Windows操作系统，并且已安装iNode PC客户端。

注：本案例中各部分使用的版本如下：

·     EIA版本为iMC EIA 7.3 (E0629)

·     接入设备为H3C S5500-28C-PWR-EI Comware Software, Version 5.20, Release 2220P02

·     iNode版本为iNode PC 7.3 (E0585)

图1 组网图

 

3.2  配置步骤

3.2.1  LDAP服务器配置

(1)     在h3c.com下新建test组织，在test组织下新建test01用户，该用户的Base DN为ou=test,dc=h3c,dc=com。

图2 用户数据目录

 

(2)     查看administrator管理员所在的文件夹为Users，所以管理员DN为cn=administrator,cn=users,dc=h3c,dc=com,管理员密码为administrator的密码iMC123。

图3 管理员

 

(3)     确认LDAP服务器上认证监听端口，缺省值“389”

3.2.2  配置EIA服务器

配置EIA服务器时，需要配置以下功能：

·     增加接入设备

·     增加接入策略

·     增加接入服务

·     增加LDAP服务器

·     增加LDAP同步策略

·     同步用户数据

1. 增加接入设备

增加接入设备是为了建立EIA服务器和接入设备之间的联动关系。

增加接入设备的方法如下：

(1)     选择“用户”页签。

(2)     单击导航树中的“接入策略管理 > 接入设备管理 > 接入设备配置”菜单项，进入接入设备配置页面，如图4所示。

图4 接入设备列表

 

(3)     在接入设备列表中，单击<增加>按钮，进入增加接入设备页面，如图5所示。

图5 增加接入设备页面

 

(4)     接入配置参数

¡     认证端口：EIA监听RADIUS认证报文的端口。此处的配置必须与接入设备命令行配置的认证端口保持一致。EIA和接入设备一般都会采用默认端口1812。

¡     计费端口：EIA监听RADIUS计费报文的端口。此处的配置必须与接入设备命令行配置的计费端口保持一致。EIA和接入设备一般都会采用默认端口1813。

 

¡     共享密钥/确认共享密钥：输入两次相同的共享密钥。接入设备与EIA配合进行认证时，使用该密钥互相验证对方的合法性。此处的配置必须与接入设备命令行配置的共享密钥保持一致。如果[用户>接入策略管理>业务参数配置>业务参数配置]系统参数中的“密钥显示方式”设置为明文时，只需输入一次共享密钥即可，本例配置为“fine”。

¡     其他参数：保持默认。

(5)     配置接入设备

配置接入设备有两种方法：

¡     在设备列表中单击<选择>按钮，弹出选择设备窗口，根据IP地址从iMC平台中选择设备。单击<确定>按钮，增加设备成功，返回增加接入设备页面。

¡     在设备列表中单击<手工增加>按钮，弹出手工增加接入设备窗口，如图6所示。在起始IP地址处输入接入设备的IP地址。单击<确定>按钮，增加设备成功，返回增加接入设备页面。

图6 手工输入接入设备的IP地址

 

无论采用哪种方式接入设备的IP地址都必须满足以下要求：

¡     如果在接入设备上配置radius scheme时配置了nas ip命令，则EIA中接入设备的IP地址必须与nas ip的配置保持一致。

¡     如果未配置nas ip命令，则EIA中接入设备的IP地址必须是设备连接EIA服务器的接口IP地址（或接口所在VLAN的虚接口IP地址）。

参数设置完成后的效果图如图7所示。

图7 接入设备参数配置

 

(6)     单击<确定>按钮，增加接入设备完毕，进入结果显示页面。单击“返回接入设备列表”链接，返回接入设备列表，在列表中查看新增的接入设备，如图8所示。

图8 查看新增的接入设备

 

2. 增加接入策略

配置一个简单的接入策略。

增加接入策略的方法如下：

(1)     选择“用户”页签。

(2)     单击导航树中的“接入策略管理 > 接入策略管理”菜单项，进入接入策略管理页面，如图9所示。

图9 接入策略列表

 

(3)     在接入策略列表中，单击<增加>按钮，进入增加接入策略页面。输入接入策略名，本例为“CA策略”，其他参数均保持为空即可，如图10所示。

图10 增加接入策略页面

 

(4)     单击<确定>按钮，接入策略增加完毕。返回接入策略列表，在列表中查看新增的接入策略，如图11所示。

图11 查看增加的接入策略

 

3. 增加接入服务

接入服务是对用户进行认证授权的各种策略的集合。

增加接入服务的方法如下：

(1)     选择“用户”页签。

(2)     单击导航树中的“接入策略管理 > 接入服务管理”菜单项，进入接入服务管理页面，如图12所示。

图12 接入服务列表

 

(3)     在接入服务列表中，单击<增加>按钮，进入增加接入服务页面。

配置接入服务参数如下：

¡     服务名：输入服务名称，在EIA中必须唯一。本例为“CA服务”。

¡     服务后缀：服务后缀、认证连接的用户名、设备的Domain和设备Radius scheme中的命令这四个要素密切相关，具体的搭配关系请参见表1。本例为“cert”。

¡     缺省接入策略：选择之前新增的接入策略。在下拉框中选择“CA策略”。

¡     其他参数：保持缺省值。

参数设置完成后的效果图如图13所示。

表1 EIA中服务后缀的选择

认证连接用户名	设备用于认证的Domain	设备Radius scheme中的命令	EIA中服务的后缀
X@Y	Y	user-name-format with-domain	Y
		user-name-format without-domain	无后缀
X	[Default Domain] 设备上指定的缺省域	user-name-format with-domain	[Default Domain]
		user-name-format without-domain	无后缀

 

图13 增加接入服务页面

 

(4)     单击<确定>按钮，接入服务增加完毕。返回接入服务列表，在列表中查看新增的接入服务，如图14所示。

图14 查看增加的接入服务

 

4. 增加LDAP服务器

在EIA中配置LDAP服务器，将Windows AD纳入EIA的管理，让EIA可以从LDAP服务器读取各种数据。

增加LDAP服务器的方法如下：

(1)     选择“用户”页签。

(2)     单击导航树中的“接入策略管理 > LDAP业务管理 > 服务器配置”菜单项，进入服务器配置页面，如图15所示。

图15 LDAP服务器配置列表

 

(3)     在服务器配置列表中，单击<增加>按钮，进入增加LDAP服务器页面。

(4)     配置基本参数

¡     服务器名称：输入服务器名称，在EIA中唯一。本例为“Windows AD”。

¡     服务器IP地址：输入LDAP服务器的IP地址，该参数和Base DN的组合必须唯一。本例为“10.114.119.41”。

¡     服务器类型：LDAP服务器是Windows AD，推荐选择微软活动目录，所以本例保持缺省值“微软活动目录”。

¡     管理员DN：输入LDAP服务器的管理员（用户可以自行创建管理员用户），必须输入能定位到管理员的绝对路径。本例为3.2.1  (2)中的管理员DN“cn=administrator,cn=users,dc=h3c,dc=com”。

¡     管理员密码：输入LDAP服务器管理员的密码，本例为3.2.1  (2)中administrator的密码，系统利用管理员DN和密码与LDAP服务器建立连接。

¡     Base DN：输入LDAP服务器中保存用户数据的目录路径，必须使用LDAP服务器上的绝对路径。本例为3.2.1  (1)中的Base DN“ou=test,dc=h3c,dc=com”。

¡     实时认证：当服务器类型为“微软活动目录”，实时认证只能设置为“是”。

¡     端口：输入3.2.1  (3)LDAP服务器监听端口，本例为缺省值“389”。

-     用户分组：取值为“按OU同步”、“按OU属性同步”和“手工指定”。本例选择“手工指定”。

-     当选择“按OU同步”时，BaseDN下的OU会被同步为iMC中的用户分组。当使用该LDAP服务器的LDAP同步策略同步用户时，不同OU下的用户会同步到和OU对应的用户分组下。在提交配置后，这些用户分组会立即被系统自动同步一次。

-     当选择“按OU属性同步”时，功能与”按OU同步”相似，区别是选择按OU属性同步后，以所选择的OU属性值作为用户分组的名称。需要注意的是，按OU属性同步时，推荐选择一个变量作为属性，以区分不同的用户分组。

-     当选择“手工指定”时，可以为选择此LDAP服务器的LDAP同步策略设置一个用户分组，同步LDAP用户时，同步策略下的所有用户都被同步到该用户分组下

¡     服务同步方式：当“服务器类型”设置为通用LDAP服务器时，该参数只能设置为手工指定；当“服务器类型”设置为微软活动目录时，该参数可以设置为手工指定或基于AD组。手工指定表示为LDAP服务器配置同步策略时，可以为绑定用户指定服务；基于AD组表示为LDAP服务器配置同步策略时，只能为LDAP组指定服务，根据绑定用户所属的LDAP组自动为用户分配服务。本例选择“手工指定”。

¡     其他参数：保持缺省值。

(5)     配置备份服务器信息，保持缺省值。参数设置完成后的效果图如图16所示。

图16 LDAP服务器设置

 

(6)     单击<确定>按钮，LDAP服务器配置增加完毕。返回服务器配置列表，在列表中查看新增的服务器配置，如图17所示。

图17 查看新增的服务器配置

 

(7)     点击对应的“检测”链接，测试iMC与LDAP服务器的连通性。测结果会显示在页面的上方，如图18所示。

图18 检测结果

 

5. 增加LDAP同步策略

配置EIA与Windows AD之间进行数据同步的策略，让EIA根据策略定时或手工从LDAP服务器中同步用户等关键数据，以便EIA和LDAP服务器配合完成对接入用户的认证。

增加同步策略的方法如下：

(1)     选择“用户”页签。

(2)     单击导航树中的“接入策略管理 > LDAP业务管理 > 同步策略配置”菜单项，进入同步策略配置页面，如图19所示。

图19 同步策略列表

 

(3)     在同步策略配置列表中，单击<增加>按钮，进入增加LDAP同步策略页面。

(4)     配置同步策略的基本信息：

¡     同步策略名称：输入LDAP同步策略的名称，在EIA中必须唯一。本例为“LDAP同步策略”。

¡     服务器名称：在下拉框中选择“Windows AD”。

¡     子Base DN：输入LDAP服务器中保存用户数据的子目录路径。同步策略同步该目录下的用户数据。子Base DN用LDAP服务器上的绝对路径来表示，且必须是Base DN或其子集。本例为“ou=test,dc=h3c,dc=com”。

¡     同步的用户类型：本例以选择“接入用户”的方式进行介绍。

-     增加同步策略时，只有选择接入用户，新增的同步策略才属于接入用户类型的LDAP同步策。

-     增加同步策略时，只有选择设备管理用户，新增的同步策略才属于设备管理用户类型的LDAP同步策略。

¡     同步选项：选择同步选项，本例选择“用户同步”、“新增用户及其接入账号”、“为已存在的用户新增接入账号”和“过滤计算机账号”。

-     自动同步：每天按照系统参数中“LDAP同步/备份任务”设置的时间进行同步。

-     按需同步：iMC EIA系统中不存在、而LDAP服务器中存在的用户进行接入认证时，EIA自动将认证请求转给LDAP服务器进行校验。如果用户通过认证，系统将自动将此用户从LDAP服务器同步到iMC中。需要注意的是，如果iMC中用户相关的License已达授权数量的上限，则无法进行同步，同时强制用户下线。LDAP按需同步功能只能同步采用PAP和EAP-MD5方式认证的用户，不能同步采用CHAP和任何证书认证的用户。PEAP/MS-CHAPv2认证方式支持LDAP按需同步用户特性需要具备的条件是：LDAP按需同步用户申请的服务，需要配置缺省接入策略，而不能配置为“禁止接入”， 而且这个缺省接入策略需要配置为PEAP/MS-CHAPv2认证方式。当一个按需同步用户首次发起EAP认证时（此时还拿不到用户的密码信息），EIA会检查这个LDAP临时用户是否符合上述条件， 符合则把这个用户同步为正式用户，无论随后的认证能否通过。

-     启用第三方认证：勾选该选项时，该同步策略同步过来的LDAP用户认证时会做第三方认证，当不勾选时，做LDAP认证。

-     新增用户及其接入帐号：如果在LDAP服务器中存在某个用户，而在iMC平台中不存在该用户，则同步时会在iMC平台中新增该用户，并在EIA组件中新增对应的接入用户。

-     为已存在用户新增接入帐号：如果在LDAP服务器和iMC平台中都存在某个用户，而在EIA组件中不存在该用户对应的接入用户，则同步时会在EIA组件中新增对应的接入用户。

-     仅同步当前节点下的用户：如果选中该项，则只同步子BaseDN下的用户，不同步子BaseDN下属OU的用户；如果不选中，则同步子BaseDN及其下属OU中的所有用户。

-     过滤计算机帐号：如果去勾选该项，则计算机帐号会被同步为接入用户。

-     发送密码通知短信：通过短信发送密码通知。

-     发送密码通知电子邮件：通过电子邮件发送密码通知

¡     其他参数：保持缺省值。

参数设置完成后的效果图如图20所示。

图20 LDAP同步策略

 

(5)     单击<下一步>按钮，进入接入用户参数配置页面。

 

(6)     配置接入用户的各个参数与LDAP服务上各个属性的对应关系。

¡     配置接入信息：

-     密码：本例在下拉框中选择不从LDAP服务器同步，自行输入密码“iMC123”。当LDAP用户解除与LDAP服务器的绑定关系时，作为接入用户使用该密码可以通过EIA认证。

 

-     其他参数：保持缺省值。

¡     配置接入服务：如果同步策略对应的LDAP服务器的服务同步方式为基于AD组，则使用该同步策略同步的用户所申请的服务由用户所属LDAP组、同步策略中LDAP组和服务的对应关系、LDAP服务器上LDAP组的结构共同决定。选择服务的原则如下：选择以用户为根，在用户所属的直接组和间接组所组成的树状结构中，层数上离用户最近且优先级最高的服务；如果同步策略对应的LDAP服务器的服务同步方式为手工指定，可以为绑定用户指定服务，本例指定“CA服务”的服务。

¡     基本信息和接入设备绑定信息参数：保持缺省值。

参数设置完成后的效果图如图21所示。

图21 同步策略参数

 

(7)     单击<完成>按钮，同步策略增加完毕。在列表中查看新增的同步策略配置，如图22所示。

图22 查看新增的同步策略配置

 

6. 同步用户数据

手动将Windows AD中的用户同步到EIA中。这些用户将保存为EIA的接入用户。

(1)     选择“用户”页签。

(2)     单击导航树中的“接入策略管理 > LDAP业务管理 > 同步策略配置”菜单项。

(3)     单击对应同步策略的“同步”链接，同步LDAP数据，如图23所示。

图23 同步用户数据

 

(4)     查看同步结果，如图24所示

图24 同步LDAP用户

 

 

(5)     单击导航树的“接入用户管理 > 接入用户”的菜单项，查看同步过来的接入用户。如图25所示。

图25 LDAP用户

 

 

3.2.3  配置接入设备

接入设备用于控制用户的接入。通过认证的用户可以接入网络，未通过认证的用户无法接入网络。

以下使用Windows的CLI窗口telnet到接入设备并进行配置，具体的命令及其说明如下：

1. 创建RADIUS scheme

<H3C>system-view

System View: return to User View with Ctrl+Z.

[H3C]radius scheme zzpermit

New Radius scheme

[H3C-radius-zzpermit]primary authentication 10.114.119.45 1812

[H3C-radius-zzpermit]primary accounting 10.114.119.45 1813

//认证、计费服务器都指向EIA，认证、计费端口与3.2.2  1. 增加接入设备EIA中增加接入设备时的配置保持一致。

[H3C-radius-zzpermit]key authentication simple fine

[H3C-radius-zzpermit]key accounting simple fine

//认证、计费共享密钥与3.2.2  1. 增加接入设备EIA中增加接入设备时的配置保持一致。

[H3C-radius-zzpermit]user-name-format with-domain

//本地采用携带Domain的认证方式。EIA、设备中配置的搭配关系请参见表1。

[H3C-radius-zzpermit]quit

2. 创建Domain

[H3C]domain cert

New Domain added.

//根据表1中的搭配，domain的名称必须与EIA中服务的后缀保持一致。

[H3C-isp-cert]authentication lan-access radius-scheme zzpermit

[H3C-isp-cert]authorization lan-access radius-scheme zzpermit

[H3C-isp-cert]accounting lan-access radius-scheme zzpermit

//认证、授权、计费都采用之前配置的Radius scheme zzpermit。

[H3C-isp-cert]quit

3. 启用802.1X认证功能

[H3C]dot1x

802.1X is enabled globally.

[H3C]dot1x interface Ethernet 1/0/1

802.1X is enabled on port Ethernet1/0/1.

//只有在全局和接口上都启用802.1X认证，802.1X认证才生效。

[H3C]dot1x authentication-method pap

PAP authentication is enabled.

//802.1X的认证方式包括PAP、CHAP和EAP。进行LDAP认证，可以设置为PAP和EAP；目前LDAP认证不支持CHAP。

3.3  配置验证

认证步骤如下：

1. 安装iNode客户端。

安装iNode客户端。

 

2. 使用iNode客户端进行802.1X认证

(1)     打开iNode客户端，单击“802.1X 连接”，输入正确的用户名/密码后，单击<连接>按钮，开始认证。认证成功，验证了本例配置的正确性，如图26和图27所示。

图26 认证窗口

 

图27 认证成功

 

3. 在EIA中查看在线用户

在EIA配置页面中，选择“用户”页签。单击导航树中的“接入用户管理 > 在线用户”菜单项，查看在线用户，如图28所示。

图28 在线用户

 

4  附录

4.1  安装主域控

(1)     单击服务管理器，如图29所示。

图29 服务管理器

 

(2)     进入仪表板界面，如图30所示

图30 依表板

 

(3)     单击“添加角色和功能”步骤，进入添加角色和功能向导页面，如图31所示，单击<下一步>按钮。

图31 添加角色和功能向导

 

(4)     进入选择安装类型页面，如图32所示，选择“基于角色或基于功能的安装”选项，单击<下一步>按钮。

图32 安装类型

 

(5)     进入服务器选择页面，选择“从服务器池中选择服务器”，如图33所示，单击<下一步>按钮。

图33 服务器选择

 

(6)     进入选择服务器角色页面，勾选“Active Directory域服务”选项，如所示。

图34 服务器角色

 

(7)     弹出确认窗口，单击<添加功能>按钮，然后单击<下一步>按钮。

(8)     进入功能页面，如图35所示，直接单击<下一步>按钮。

图35 功能

 

(9)     进入AD DS页面，如图36所示，直接单击<下一步>按钮。

图36 AD DS

 

(10)     进入确认页面，勾选“如过需要，自动重新启动目标服务器”选项，如图37所示。

图37 确认

 

(11)     单击<安装>按钮，进入结果页面，查看安装进度，如图38所示。

图38 功能安装

 

(12)     安装完成后计算机自动重启，重启之后重新打开服务器，选择添加角色和功能页面，重新进入结果页面，安装完成后，选择“将此服务器提升为域控制器”链接，如图39所示。

图39 安装完成

 

(13)     进入部署配置页面，选择“添加新林”选项，填写根域名，如图40所示，本文以“h3c.com”为例。

图40 部署配置

 

(14)     单击<下一步>按钮，进入域控制器选项页面，选择新林和根域的功能级别，并输入目录服务还原模式（DSRM）密码，如图41所示。

图41 域控制器选项

 

(15)     单击<下一步>按钮，进入其他选项页面，如图42所示。

图42 其他选项

 

(16)     直接单击<下一步>按钮，进入路径页面，如图43所示。

图43 路径

 

(17)     单击<下一步>按钮，进入查看选项页面，如图44所示。

图44 查看选项

 

(18)     直接单击<下一步>按钮，进入先决条件检查页面，如图45所示。

图45 先决条件检查

 

(19)     待先决条件检查完之后，单击<安装>按钮，安装完成后，提示重启。如图46所示。

图46 重启

 

(20)     重启完成后，重新登录域服务器。

(21)     打开服务器管理，选择[工具>Active Directory用户和计算机]路径，如图47所示。

图47 打开Active Directory用户和计算机

 

(22)     进入Active Directory用户和计算机页面，如图48所示，可查看用户和组管理。

图48 查看目录

 

(23)     进入[控制面板>系统和安全>系统]路径，如图49所示，可以查看域控安装成功。

图49 查看域

 

4.2  配置证书服务

(1)     打开服务器管理器，进入仪表板界面，如图50所示。

图50 仪表板

 

(2)     选择添加角色和功能，进入选择服务器角色页面，选择Active Directory证书服务，如图51所示，单击<下一步>按钮。

图51 服务器角色

 

(3)     进入添加角色和功能向导页面，单击<添加功能>页面，如图52所示。

图52 添加功能

 

(4)     进入角色服务页面，勾选证书颁发机构选项，如图53所示，单击<下一步>按钮。

图53 角色服务

 

(5)     进入确认页面，勾选“如果需要，自动重新启动目标服务器”选项，如图54所示，单击<安装>按钮。

图54 确认

 

(6)     进入结果页面，查看安装进度，如图55所示。

图55 安装完成

 

(7)     安装完成后计算机自动重启，重启之后重新打开服务器，进入凭证页面，如图56所示，单击<下一步>按钮。

图56 凭据

 

(8)     进入角色服务页面，如图57所示，单击<下一步>按钮。

图57 角色服务

 

(9)     进入指定CA的设置类型页面，如图58所示，单击<下一步>按钮。

图58 设置类型

 

(10)     进入指定CA类型页面，如图59所示，单击<下一步>按钮。

图59 CA类型

 

(11)     进入私钥页面，选择创建新的私钥，如图60所示，单击<下一步>按钮。

图60 私钥

 

(12)     进入指定加密选项，选择SHA1选项，如图61所示，单击<下一步>按钮。

图61 加密

 

(13)     进入指定CA名称页面，保持默认值，如图62所示，单击<下一步>按钮。

图62 CA名称

 

(14)     进入指定有效期页面，设备有效期，如图63所示，单击<下一步>按钮。

图63 有效期

 

(15)     进入证书数据库页面，如图64所示，单击<下一步>按钮。

图64 证书数据库

 

(16)     进入确认页面，如图65所示，单击<配置>按钮。

图65 确认

 

(17)     查看配置进度，如图66所示。

图66 进度

 

(18)     安装完成后提示配置成功，如图67所示。

图67 配置成功

 

(19)     安装完成之后可进入[服务器管理器>工具>证书颁发机构>颁发的证书]页面查看证书，如图68所示。

图68 查看证书