この質問がすべてを物語っています。サーバーとクライアントが秘密を共有する必要のない、一般的なプロトコルを介して WiFi サーバーから WiFi クライアントへの安全な接続を確立することは可能ですか?
もしそうなら、それはどのように機能するのでしょうか?? :-)
答え1
これは一見するとそれほど馬鹿げた質問ではないようです。
- アクセス ポイントは、RADIUS サーバーへの認証をバックオフするように構成されています。
- RADIUS サーバーには、クライアントに証明書を発行する独自の証明機関があります。発行された証明書は取り消すことができます。
- クライアントが接続すると、アクセス ポイント経由で RADIUS サーバーに証明書が提示され、RADIUS サーバーが認証が成功するかどうかを決定します。証明書はサーバーによって署名されている必要があり、証明書失効リストに含まれていてはなりません。
- クライアントが正常に認証されると、RADIUS サーバーは接続の暗号化に使用される暗号化キーをアクセス ポイントに送り返します。
この構成 (英数字スープ: WPA2/802.1x 経由の EAP-TLS) は、クライアントがサーバーと単純な秘密を共有しないことを意味します。