成功部署802.1X的六个诀窍

● 不要提示用户授权新服务器或者可信证书颁发机构：应该启用以自动拒绝位置RADIUS服务器，而不是提示用户他们具有接受和连接的能力。

在Windows Visat和更高版本中，前两个设置应该在用户第一次登陆时，自动启用和配置。然而，最后一个设置应该手动启用，或者通过组策略或者其他分发方法来启用。在Windows XP中，用户必须手动配置所有设置，或者你也可以使用组策略或者其他分发方法。

对于不同的移动设备，802.1X设置在移动操作系统间有所不同。例如，Android只提供基本的802.1设置，而安装和选择RADIUS服务器的根证书以执行服务器验证功能属于可选功能。iOS允许你制定证书/域名称，还可以忽略其他证书以提高服务器验证的可靠性。

6、保护RADIUS服务器

不要忘了RADIUS服务器的安全性问题，毕竟它是处理验证的主要服务器。考虑专门使用一个单独的服务器来作为RADIUS服务器，确保其防火墙被锁定，并对位于另一台服务器上的RADIUS服务器用的任何数据库连接使用加密链接。

当生成共享秘密时，你需要输入到NAS(网络接入服务器)客户端列表或者RADIUS服务器数据库，使用强大的秘密。由于用户不必知道或者记住它们，可以使用非常长且复杂的秘密。请记住，大多数RADIUS服务器和NAS设备最多支持32个字符。

由于802.1X很容易受到中间人攻击，尤其是用户密码，所以请确保用户密码的安全性。如果你有一个类似Active Directory的目录服务，你可以执行密码政策以确保密码足够复杂和定期更换。

总结

请记住，应该对你网络的有线和无线部分都考虑采用802.1X。在选购服务器之前，确保你没有RADIUS功能，然后再考虑免费的或者低成本的服务器。为了缓解部署工作，可以考虑从第三方证书颁发机构购买服务器的数字证书。考虑使用帮助自动化非域计算机和设备的配置工作的解决方案。最后，但并非不重要的一点，确保你的802.1X服务器和客户端设置得到安全配置。