证书入网是飞连提供的一种基于 802.1x 认证协议的高级网络准入方式。它通过为员工设备下发唯一的数字证书，替代传统的账号密码认证，实现安全、无感的自动化网络接入。

• 增强安全性：使用设备证书作为唯一身份凭证，杜绝了因密码泄露、暴力破解或凭证共享带来的安全风险。
• 提升用户体验：完成首次配置后，员工设备可在进入企业 Wi-Fi 或有线网络覆盖范围时自动完成认证并接入，全程无需手动输入任何凭据。
• 自动化管理：飞连支持多种证书来源，并提供不同层级的自动化管理能力，大幅降低了证书管理的复杂度。

本文档将详细介绍如何配置证书入网功能。

要成功启用证书入网，您需完成以下三步配置。

1. 第一步：准备证书颁发机构（CA）；
2. 第二步：在飞连后台启用并配置证书入网；
3. 第三步：为证书入网的用户分配网络权限。

当前，飞连支持两种证书来源：

• 火山引擎私有 CA：飞连与火山引擎私有 CA 深度集成，实现证书的自动签发、分发、续期和吊销。
• 基于标准协议对接（SCEP协议）：适用场景为企业已经拥有自建的、支持 SCEP（Simple Certificate Enrollment Protocol）的 CA，并希望将其作为证书来源。

您可以根据企业实际情况选择适合的证书来源。

方式一：使用火山引擎私有 CA

1. 登录火山引擎账号，开通私有 CA 服务。
2. 创建 CA 层次结构。请至少创建一个私有根 CA 和一个私有子 CA。详情参看创建私有 CA 层次结构。
3. 在火山引擎 IAM 中，创建 API 访问密钥，并妥善保管生成的 Access Key ID 和 Secret Access Key。
4. 在私有 CA 服务中，记录下您计划用于颁发客户端证书的 CA 的 ID（通常为子 CA），以及用于 RADIUS 服务器认证的 CA 的 ID（通常为根 CA）。

方式二：基于 SCEP 协议对接

在开始飞连侧配置前，请确保您已从您的 CA 管理员处获取以下信息：

1. 确认您的现有 CA 系统支持 SCEP（Simple Certificate Enrollment Protocol）协议。
2. SCEP URL：获取您的 CA 对外提供 SCEP 服务的 URL。
3. 质询密码（Challenge Password）：用于 SCEP 请求的一次性或静态密码。
4. 证书状态查询方式及地址：您的 CA 是通过 OCSP 还是 CRL 来提供证书状态查询，并获取对应的服务地址。
5. 签发 CA 名称 (Issuing CA Name)：将为您设备签发证书的 CA 的准确名称。
6. RADIUS 可信 CA 证书 ID：用于建立 RADIUS 信任链的根 CA 或上级 CA 的标识符。

此步骤用于将飞连与您准备好的 CA 进行对接，并定义证书入网的生效范围。

前提条件

1. 已在管理后台网络准入 ＞ 员工入网中，通过 802.1x 协议开通员工入网功能。
2. 已在管理后台网络准入 ＞ 使用配置 ＞ RADIUS 服务器中，添加并配置 RADIUS 服务。

操作指引

1. 登录管理后台。
2. 在左侧导航栏，选择网络准入 ＞ 员工入网 ＞ 通用配置。
3. 展开 802.1x 认证协议模块，单击右上角编辑。
   
4. 在证书入网区域，开启开关以启用证书认证功能，并完成以下设置。
   

   1. 对接证书颁发机构（CA）。
      点击证书配置下的设置按钮，在弹出的证书配置窗口中，根据您在第一步中的选择，完成对应配置。

      • 使用火山引擎私有 CA

        配置项	说明
        证书来源	选择火山引擎私有 CA。
        API 地址	请填入火山引擎私有 CA 的 API 接入地址。飞连将通过此地址向 CA 发起证书签发请求。
        AccessKey ID	API 调用的身份凭证。 请填入您在第一步中，从火山引擎 IAM 获取的 Access Key ID。
        AccessKey Secret	与 AccessKey ID 配对的签名密钥，用于校验请求的合法性与完整性。 请填入您在第一步中，从火山引擎 IAM 获取的 Secret Access Key。
        客户证书颁发者 CA 证书 ID	请填入您在火山引擎私有 CA 中，专门用于为员工设备签发证书的 CA 的 ID。飞连所有的证书申请请求将发往此 CA。
        Radius 可信 CA 证书 ID	定义飞连 RADIUS 服务的信任锚点。当设备持证书请求入网时，RADIUS 服务器会校验该证书的签发链是否能追溯至此可信 CA，以验证其真实性。
        客户端证书有效期	设置飞连为员工设备签发的客户端证书的有效时长，单位为年。 飞连支持证书自动续期，将在证书到期前自动为符合条件的设备续签。
        计费方式	选择您在火山引擎私有 CA 中使用的计费模式。 即时计费：按实际签发的证书数量实时计费，对应火山引擎私有 CA 中的按量计费模式。 配额计费：使用您预购的证书配额包进行抵扣，对应火山引擎私有 CA 中的资源包计费模式。 请确保此处的选择与您在火山引擎的实际购买情况一致。

      • 基于 SCEP 协议对接

        配置项	说明
        证书来源	选择基于标准协议对接（SCEP 协议）。
        SCEP 地址	填入您企业 SCEP 服务器的 URL 地址。
        密码（ChallengePassword）	填入与 SCEP 服务器通信所需的质询密码。
        证书查询方法/地址	选择您企业 CA 支持的证书状态查询方式，OCSP 或 CRL，并填入对应的查询地址。
        签发证书 CA Name	填入为您设备签发证书的 CA 的准确名称。
        Radius 可信 CA 证书 ID	填入用于 RADIUS 认证信任链的根 CA 或上级 CA 的标识符。支持点击添加，配置多个可信 CA。

   2. 配置证书入网生效范围。
      点击设置生效范围按钮，在账号生效范围弹框内，以部门或角色维度选择生效范围，定义哪些员工有资格使用证书入网功能。

   3. 设置主/备账号形式，定义飞连客户端证书的身份标识和界面上的用户信息展示逻辑。
      此设置决定了飞连为员工设备签发的客户端证书中，主题“通用名称”（Common Name）字段的值。该字段是证书持有者的唯一身份标识，RADIUS 服务器在进行 802.1x 认证时，会使用此 Common Name 来识别用户身份，并在客户端展示。

      • 主账号形式：首选员工信息字段。
      • 备账号形式：当员工的首选信息字段为空时，系统将按照您勾选的备用字段优先级（备账号 1 → 备账号 2）来生成证书 Common Name 并在客户端展示。
5. 配置完成后，单击页面右上角保存。

此步骤用于定义通过证书成功入网的用户，应该被分配到哪个网络，拥有何种访问权限。

1. 导航至网络准入 ＞ 员工入网 ＞ 权限配置。
2. 在页面顶部选择 802.1x 协议认证，并在右侧单击添加策略。
   
3. 在添加 802.1x 权限组页面，依次完成以下配置。

   • 基本信息

     • 权限组名称：为该权限策略设置一个可识别的名称。
     • 绝对优先级：设置策略的优先级（0-100）。当一个用户同时匹配多个策略时，将应用优先级数值最高的策略。如果存在两条优先级数值相同的策略，则优先执行策略修改时间最新的一条。

   • 权限组策略
     用于定义认证成功后，飞连向网络设备下发的具体权限指令。您可以根据网络设备的配置，选择一种或多种方式。

     配置项	说明
     网络权限-基于网络	勾选此项，将用户分配到特定的 VLAN 中。 Tunnel-Pvt-Group-ID：填入已在您的网络设备上创建并配置好的单个目标 VLAN ID，例如 100。 VLAN Pool：填入已在您的网络设备上创建并配置好的 VLAN 池名称，例如 Dev_1。单击输入框下方的添加按钮，可添加多个 VLAN 池。当用户认证时，飞连会根据您为每个 VLAN 设置的容量权重比，动态地从中选择一个 VLAN ID 下发给网络设备。例如，如果 VLAN 1 的容量为 100，VLAN 2 的容量为 50，那么 VLAN 1 被选中的概率大约是 VLAN 2 的两倍。
     网络权限-基于角色	勾选此项，以应用您在网络设备上预设的、基于角色的访问策略。 在 Filter-ID 值输入框中，填入预设的用户组名称（例如 Dev1）或访问控制列表 ID（如 101）。
     网络权限-基于自定义	勾选此项，以使用特定厂商的私有 RADIUS 属性，来实现更复杂的、非标准的权限控制。至多可添加 10 个属性。 选择或创建属性 在属性名称的下拉框中，从飞连内置的多种常用厂商属性中选择。 如果列表中没有您需要的属性，请点击列表底部的自定义属性，创建新属性。 自定义属性参数 厂商 ID：请填入您网络设备厂商的标准 SMI 网络管理私有企业代码。 厂商内部属性 ID：请填入该自定义属性在厂商协议中的内部 ID。 属性名称：为此属性设置一个在飞连后台可识别的名称。 属性类型：定义该属性值的类型，飞连将按此规则进行校验。 加密类型：根据您的 RADIUS 服务器要求，选择属性值是否需要加密以及加密方式。 填写属性值 在属性值输入框中，填入您希望下发给网络设备的具体值。 您可以通过点击 ＋ 添加自定义，为同一个权限策略下发多个自定义属性。

• 生效范围
  • 权限类型：指定权限组生效的入网方式，可选员工 Wi-Fi 或员工有线网络，支持多选。
  • 认证方式：必须勾选证书入网。您也可以同时勾选飞连账号，使此条权限策略对两种认证方式都生效。
  • 生效对象：定义此权限策略作用于哪些员工或设备。此范围应与您在阶段二设置的“生效范围”存在交集。
• 高级配置
  设置该权限组适用的 RADIUS 服务器、网络设备以及 SSID，默认适用于全部设备。您也可以选择部分设备，为该权限组设置一个或多个 RADIUS 服务器、网络设备以及 SSID。

证书入网配置完成后，对于生效范围内的用户，飞连客户端将自动完成证书的申请与安装。用户终端在连接企业网络时，将使用该证书进行认证。首次连接时需要用户进行少量交互操作，后续连接可实现自动化。

1. 证书的自动安装

飞连客户端将在后台自动完成证书的申请和安装。部分操作系统可能会要求用户授权，以允许将证书安装到系统信任区（例如 macOS 的“钥匙串”或 Windows 的“证书存储区”）。此时，用户需根据系统提示输入密码以完成安装。

2. 首次连接企业网络

当用户终端首次连接至受 802.1x 协议保护的 Wi-Fi 或有线网络时，操作系统会提示用户确认并选择用于认证的证书。

macOS 系统操作指引

1. 登录飞连客户端。
2. 选择网络 ＞ 员工 Wi-Fi，点击证书方式。
   
3. 点击配置证书，发起认证。
4. 系统可能弹出 “eapolclient 想要访问存储在你的钥匙串中的密钥”提示。用户需输入其 macOS 登录密码，并单击始终允许，即可授权系统后续自动使用该证书进行连接。
   

Windows 系统操作指引

1. 登录飞连客户端。

2. 选择网络 ＞ 员工 Wi-Fi，点击证书方式。
   

3. 点击配置证书，发起认证。

4. 系统可能会弹出“安全警告”对话框，提示即将安装一个新的证书颁发机构（CA） 证。此操作用于建立对网络认证服务器的信任。

   

5. 用户在确认该证书为预期的企业根证书后，应单击是(Y）​以完成安装。

6. 证书配置完成后，系统将自动连接 Wi-Fi。

Linux 系统操作指引

1. 登录飞连客户端。
2. 选择网络 ＞ 员工 Wi-Fi，点击证书方式。
   
3. 点击配置证书，发起认证。
4. 证书配置过程需要系统弹窗确认，用户需点击是(Y）。
5. 等待系统自动完成配置和 Wi-Fi 连接。

iOS 系统操作指引

1. 登录飞连客户端。
2. 选择工具箱 ＞ 员工 Wi-Fi。
   
3. 点击配置证书，发起认证。
4. 系统将弹出授权提示，例如：“‘飞连’想要加入无线局域网‘<Wi-Fi名称>’吗？”用户需单击加入。
   
5. 系统将弹出“证书”对话框，用以确认网络认证服务器的身份。用户需单击信任。
6. 最后，系统可能要求用户输入设备锁屏密码，以授权钥匙串访问并完成连接。

Android 系统操作指引

1. 登录飞连客户端。
2. 选择工具箱 ＞ 员工 Wi-Fi。
   
3. 点击配置证书，发起认证。
4. 系统将弹出“证书安装器”，在“选择证书类型”界面，根据指引选择证书用途，然后单击确定。
   
5. 在“为证书命名”界面，为证书指定一个名称（可接受默认名称），然后单击确定。
   
6. 系统可能要求输入设备锁屏密码以完成安装。
7. 收到“已安装用户证书”提示后，单击连接，以完成 Wi-Fi 连接。

3. 后续连接

完成首次认证交互后，当用户终端再次进入该企业网络覆盖范围时，系统将自动完成连接，无需手动操作。