对于整个测试配置可以参考ClearPass Lab Guide Advanced第八部分内容。基本满足Windows和无须https Onboard的终端配置。对于需要https的例如iOS、部分版本Android,需要注意以下几点:
1、开启https
2、对于iOS,创建CSR时,必须填写SAN信息,格式是IP:x.x.x.x。否则iOS无法正常安装推送的配置文件。
3、注意CN信息。通用名称必须与您在连接到安全站点时访问的 Web 地址相同。CN将用于安全SSL连接的服务器名称。Lab中没有设置对应域名,所以以IP替代,正常环境中需要填写的域名能解析对应ClearPass IP。如果不对应,终端可能报错如下:hostname in certificate didn’t match
iOS流程(单SSID onboard):

iOS注意添加CA证书后,需要手动点击信任,然后再下载安装配置描述文件。
Android流程(单SSID onboard):
国内安卓无法跳转Google Paly下载QuickConnect APK,所以最好上传到CPPM公共文件夹,包括下文的CA文件,也可以上传在这方便安装。

首先需要给手机安装CA证书,不同设备可能路径不一,具体自行搜索。

CA证书来自Onboard,需要导出crt格式(我的测试终端CA证书只能安装crt格式,如果你的终端不可以,可以试试其他格式)。

流程演示:

安卓注意Onboard流程完成后,需要手动 断开或忘记 网络,视频中的测试,如果只是断开重连,还会弹onboard页面,需要点击忘记SSID,然后再连接会自动通过TLS认证。