丁丁

给Android设备安装证书

大多数网络的验证方法，都需要安装来自证书管理机构（CA）的证书，验证服务器使用该证书实现服务器验证功能。与Windows中的服务器验证一样，它有助于防止中间人攻击。在较新版的Android中安装证书很简单，证书下载后会自动打开导入证书的屏幕，并为凭据使用选择Wi-Fi。如果你手机上的锁屏安全机制未启用，可能会提示启用该机制（图1、图2）。

如果使用旧版本的Android，可能得手动开始导入过程。首先，将证书下载或传送到设备上。然后，进入到安全设置，并选择从SD卡安装。如果你之前没有设置好密码，它会提示你设置存储凭据的密码。

证书的删除也很简单，只要进入到安全设置选择清除即可，还可以一并删除锁屏PIN/密码。不过，这会删除之前添加的所有证书。如果你想删除用户证书，选择安全设置中的受信任的凭据，选择用户选项卡即可查看并删除单个证书。

配置802.1X设置

初次在Android中连接到受保护的无线网络会看到验证设置页面。通常使用PEAP或TTLS方法时会看到一些必要设置。首先是Phase 2验证，这个设置指定了外部验证方法，比如MS-CHAPv2是最流行的验证方法，一般选择None即可。身份验证是输入用户名的地方，应该包括域名一并输入，比如qqvavra2（图3）。

802.1X的基本外部验证方法

关于匿名身份，默认情况下没必要使用真实用户名作为外部身份，这可以防止真实用户名外泄。不过，你可能要加入正确的域，这取决于你的验证服务器。最后输入密码，如果之前的证书安装正确，现在就可以顺利连接内部网络了。连接后也可以编辑这些设置，只要长按网络名称，选择修改网络配置即可（图4）。

将证书安装到iOS设备上

就iOS设备而言，没必要手动安装证书管理机构的证书就能够充分利用服务器验证。这种验证有助于防止中间人攻击，并且在iOS设备上实现了自动化，会提示你接收验证服务器所使用的新证书。这个默认的验证类型很容易被用户忽视，所以通过创建配置描述文件定义受信任的证书名称是不错的处理方式。

我们需要连接的服务器如果需要用户证书，网络会通过电子邮件将证书发到iOS设备上。证书会是带.p12、.pfx或.crt等扩展名的小文件，选择iOS设备上的证书文件会提示你安装该文件。点击更多细节可以查看证书细节，点击安装即可导入证书（图5、图6）。

证书安装完毕后就可以准备连接了，首次用iOS设备连接到企业保护的无线网络时系统会提示你验证设置。与Android不同，iOS只要输入用户名和密码即可，但输入后需要接受验证服务器的证书管理机构证书，首次连接时证书属于未验证。

iOS高级802.1X设置

在iOS设备上无法配置高级802.1X设置，比如允许的具体EAP类型、受信任的证书名称以及启用受保护的访问凭据（PAC）。另外还无法定义外部身份，比如Windows中的常用的身份隐私和Android中的匿名身份。在这里可以使用iPhone配置实用工具（iPCU）创建网络配置描述文件，比如无线、VPN账户及电子邮件方面的基本设置（图7）。

使用iPCU创建配置描述文件，根据要求自定义文件设置，其中就包括配置高级802.1X设置的功能。转到策略 > {策略名称} > 高级，打开iPCU 配置窗口。单击文件（.mobileconfig），然后单击上传，此时将显示初始配置设置。查看设置无误后单击保存并发布，此时设置将发布至iOS设备。在iPCU设置中还可以在网络上创建单独的SSID，让强制网络门户指向该配置文件，那样用户们就能迅速、轻松地下载配置文件，这其中就包括用户证书和证书管理机构证书（图8）。