Estoy configurando un nuevo servidor FreeRADIUS aquí en el campus, saltando de v1 a v3 (no estaba aquí cuando se configuró el original). Las cosas parecen estar funcionando bien, pero no entiendo cómo funciona la parte de los certificados cuando uso Windows 7.
Tenemos un certificado SSL comodín para nuestro dominio. ¿Puedo usar ese mismo certificado con nuestro servidor RADIUS para evitar la necesidad de importar nuestro certificado CA a cada cliente?
Si es así, ¿cómo haría para hacerlo?
Gracias por su ayuda.
Respuesta1
No. Aún necesita que el certificado de CA esté presente en cada máquina solicitante y que cada solicitante confíe en él.
Incluso si presenta un certificado firmado por una CA preinstalada, la mayoría de los solicitantes requieren que el usuario confíe explícitamente en esa CA antes de aceptar el certificado.
802.1X, 802.11i y ningún estándar EAP que yo sepa, especifica una relación entre el CN del certificado presentado al solicitante y el SSID de la red, por lo que el CN puede ser cualquier cosa que desee, con la salvedad de que Algunos solicitantes de Windows no aceptan certificados comodín (aparentemente, nunca lo he verificado personalmente).
El mismo certificado puede ser presentado por varios servidores RADIUS en el mismo clúster, aunque si usa un equilibrador de carga frontal, debe garantizar que todos los paquetes en la conversación EAP vayan al servidor backend. Debido a la posibilidad de que muchos usuarios configuren una identidad externa anónima, es mejor hacerlo utilizando el atributo Calling-Station-ID en el paquete RADIUS.
Para mayor seguridad, si está utilizando una CA raíz pública preinstalada, es mejor configurar el solicitante para verificar que el CN en el certificado coincida con un valor preestablecido. Esto evita ataques de suplantación de identidad utilizando otros certificados firmados por la misma CA raíz pública.
Sin embargo, debido a la posibilidad de que los solicitantes estén mal configurados, es una buena práctica evitar las CA raíz públicas, implementar su propia CA, distribuirla a los usuarios de la red en un perfil de red importable y, en este perfil, habilitar la verificación CN.
Existen múltiples herramientas que pueden generar estos perfiles para diferentes plataformas/solicitantes. Si está planeando implementar eduroam, es posible que desee consultarEduroam CAT.
También hayConexión xpress de Cloudpathque es un instalador soluble, que además de instalar los perfiles, puede actuar como agente NAC temporal, verificando niveles de parches y versiones de controladores.