私はキャンパス内に新しい FreeRADIUS サーバーをセットアップしており、v1 から v3 に移行しています (元のサーバーがセットアップされたときはここにいませんでした)。問題なく動作しているようですが、Windows 7 を使用する場合に証明書部分がどのように機能するのかわかりません。
ドメイン用のワイルドカード SSL 証明書があります。RADIUS サーバーで同じ証明書を使用すれば、各クライアントに CA 証明書をインポートする必要がなくなりますか?
もしそうなら、どうすればいいでしょうか?
助けてくれてありがとう。
答え1
いいえ。各サプリカント マシンに CA 証明書が存在し、各サプリカントによって信頼されている必要があります。
事前にインストールされた CA によって署名された証明書を提示した場合でも、ほとんどのサプリカントでは、証明書を受け入れる前にユーザーがその CA を明示的に信頼することを要求します。
私が知る限り、802.1X、802.11i、および EAP 標準では、サプリカントに提示される証明書の CN とネットワークの SSID の関係が指定されているため、CN は任意の値にすることができます。ただし、一部の Windows サプリカントはワイルドカード証明書を受け入れないことに注意してください (どうやら、私は個人的にこれを確認したことはありません)。
同じ証明書が同じクラスタ内の複数の RADIUS サーバによって提示される場合がありますが、フロントエンド ロード バランサを使用する場合は、EAP 会話のすべてのパケットがバックエンド サーバに送信されることを確認する必要があります。多くのユーザーが匿名の外部 ID を構成する可能性があるため、RADIUS パケットの Calling-Station-ID 属性を使用してこれを実行するのが最適です。
セキュリティを強化するために、事前にインストールされたパブリック ルート CA を使用している場合は、証明書の CN が事前設定された値と一致することを確認するようにサプリカントを構成することをお勧めします。これにより、同じパブリック ルート CA によって署名された他の証明書を使用したスプーフィング攻撃を防ぐことができます。
ただし、サプリカントが誤って構成される可能性があるため、パブリック ルート CA を避け、独自の CA を作成し、これをインポート可能なネットワーク プロファイルでネットワークのユーザーに配布し、このプロファイルで CN 検証を有効にすることがベスト プラクティスです。
さまざまなプラットフォーム/サプリカント向けにこれらのプロファイルを生成できるツールは複数あります。eduroamの導入を計画している場合は、以下を確認してください。エデュロアム CAT。
また、Cloudpath の xpressconnectこれは、プロファイルをインストールするだけでなく、一時的な NAC エージェントとして機能し、パッチ レベルとドライバー バージョンを確認する、溶解可能なインストーラーです。