저는 여기 캠퍼스에 새로운 FreeRADIUS 서버를 설정하고 있습니다. v1에서 v3으로 점프합니다(원본이 설정될 때 저는 여기에 없었습니다). 문제가 없는 것 같지만 Windows 7을 사용할 때 인증서 부분이 어떻게 작동하는지 이해가 되지 않습니다.
우리 도메인에는 와일드카드 SSL 인증서가 있습니다. CA 인증서를 각 클라이언트로 가져올 필요 없이 RADIUS 서버에서 동일한 인증서를 사용할 수 있습니까?
그렇다면 어떻게 해야 할까요?
도움을 주셔서 감사합니다.
답변1
아니요. 각 신청자 컴퓨터에 CA 인증서가 있어야 하며 각 신청자가 신뢰해야 합니다.
사전 설치된 CA에서 서명한 인증서를 제시하더라도 대부분의 신청자는 사용자가 인증서를 수락하기 전에 해당 CA를 명시적으로 신뢰하도록 요구합니다.
802.1X, 802.11i 및 내가 아는 EAP 표준이 없으면 신청자에게 제시된 인증서의 CN과 네트워크의 SSID 간의 관계를 지정하므로 CN은 원하는 대로 될 수 있습니다. 일부 Windows 신청자는 와일드카드 인증서를 허용하지 않습니다(분명히 저는 이것을 개인적으로 확인한 적이 없습니다).
동일한 인증서는 동일한 클러스터의 여러 RADIUS 서버에서 제공될 수 있지만 프런트 엔드 로드 밸런서를 사용하는 경우 EAP 대화의 모든 패킷이 백엔드 서버로 이동하는지 확인해야 합니다. 많은 사용자가 익명의 외부 ID를 구성할 가능성이 있으므로 RADIUS 패킷의 Calling-Station-ID 특성을 사용하는 것이 가장 좋습니다.
보안을 강화하기 위해 사전 설치된 공용 루트 CA를 사용하는 경우 인증서의 CN이 미리 설정된 값과 일치하는지 확인하도록 신청자를 구성하는 것이 가장 좋습니다. 이는 동일한 공용 루트 CA가 서명한 다른 인증서를 사용하는 스푸핑 공격을 방지합니다.
그러나 신청자가 잘못 구성될 가능성이 있기 때문에 공용 루트 CA를 피하고 자체 CA를 롤업하고 이를 가져올 수 있는 네트워크 프로필에서 네트워크 사용자에게 배포하고 이 프로필에서 CN 확인을 활성화하는 것이 가장 좋습니다.
다양한 플랫폼/신청자에 대해 이러한 프로필을 생성할 수 있는 여러 도구가 있습니다. eduroam 배포를 계획하고 있다면 확인해 보세요.에듀로암CAT.
또한 있습니다Cloudpath의 xpressconnect이는 프로필을 설치하는 것 외에도 패치 수준과 드라이버 버전을 확인하는 임시 NAC 에이전트 역할을 할 수 있는 용해 가능한 설치 프로그램입니다.