Ich richte hier auf dem Campus einen neuen FreeRADIUS-Server ein und springe von v1 auf v3 (ich war nicht hier, als das Original eingerichtet wurde). Alles scheint gut zu funktionieren, aber ich verstehe nicht, wie der Zertifikatsteil unter Windows 7 funktioniert.
Wir haben ein Wildcard-SSL-Zertifikat für unsere Domäne. Kann ich dasselbe Zertifikat mit unserem RADIUS-Server verwenden, sodass ich unser CA-Zertifikat nicht in jeden Client importieren muss?
Wenn ja, wie würde ich dabei vorgehen?
Ich danke Ihnen für Ihre Hilfe.
Antwort1
Nein. Das CA-Zertifikat muss weiterhin auf jedem Supplicant-Computer vorhanden sein und von jedem Supplicant als vertrauenswürdig eingestuft werden.
Selbst wenn Sie ein von einer vorinstallierten Zertifizierungsstelle signiertes Zertifikat vorlegen, verlangen die meisten Supplicants, dass der Benutzer dieser Zertifizierungsstelle ausdrücklich vertraut, bevor er das Zertifikat akzeptiert.
802.1X, 802.11i und kein mir bekannter EAP-Standard geben eine Beziehung zwischen dem CN des dem Supplicant vorgelegten Zertifikats und der SSID des Netzwerks an, sodass der CN alles sein kann, was Sie wollen, mit der Einschränkung, dass einige Windows-Supplicants keine Wildcard-Zertifikate akzeptieren (offenbar habe ich dies nie persönlich überprüft).
Das gleiche Zertifikat kann von mehreren RADIUS-Servern im gleichen Cluster bereitgestellt werden. Wenn Sie jedoch einen Frontend-Load Balancer verwenden, muss dieser sicherstellen, dass alle Pakete in der EAP-Konversation an den Backend-Server gesendet werden. Da viele Benutzer möglicherweise eine anonyme äußere Identität konfigurieren, lässt sich dies am besten mithilfe des Attributs Calling-Station-ID im RADIUS-Paket erreichen.
Wenn Sie eine vorinstallierte, öffentliche Stammzertifizierungsstelle verwenden, sollten Sie zur Erhöhung der Sicherheit den Supplicant so konfigurieren, dass er überprüft, ob der CN im Zertifikat einem voreingestellten Wert entspricht. Dadurch werden Spoofing-Angriffe mit anderen Zertifikaten verhindert, die von derselben öffentlichen Stammzertifizierungsstelle signiert wurden.
Aufgrund der Möglichkeit falsch konfigurierter Supplicants empfiehlt es sich jedoch, öffentliche Stammzertifizierungsstellen zu vermeiden, eine eigene Zertifizierungsstelle zu erstellen, diese in einem importierbaren Netzwerkprofil an die Benutzer des Netzwerks zu verteilen und in diesem Profil die CN-Verifizierung zu aktivieren.
Es gibt mehrere Tools, die diese Profile für verschiedene Plattformen/Supplicants generieren können. Wenn Sie eduroam einsetzen möchten, sollten Sie sich Folgendes ansehen:Eduroam CAT.
Es gibt auchXpressconnect von CloudpathDabei handelt es sich um ein auflösbares Installationsprogramm, das neben der Installation der Profile auch als temporärer NAC-Agent fungieren und Patch-Levels und Treiberversionen überprüfen kann.