Estou configurando um novo servidor FreeRADIUS aqui no campus, saltando da v1 para a v3 (não estava aqui quando o original foi configurado). As coisas parecem estar funcionando bem, mas não entendo como funciona a parte dos certificados ao usar o Windows 7.
Temos um certificado SSL curinga para nosso domínio. Posso usar o mesmo certificado com nosso servidor RADIUS para dispensar a necessidade de importar nosso certificado CA para cada cliente?
Se sim, como eu faria isso?
Obrigado pela ajuda.
Responder1
Não. Você ainda precisa que o certificado CA esteja presente em cada máquina suplicante e seja confiável para cada suplicante.
Mesmo que você apresente um certificado assinado por uma CA pré-instalada, a maioria dos suplicantes exige que o usuário confie explicitamente nessa CA antes de aceitar o certificado.
802.1X, 802.11i e nenhum padrão EAP que eu conheça, especifique um relacionamento entre o CN do certificado apresentado ao suplicante e o SSID da rede, para que o CN possa ser o que você quiser, com a ressalva de que alguns suplicantes do Windows não aceitam certificados curinga (aparentemente, nunca verifiquei isso pessoalmente).
O mesmo certificado pode ser apresentado por vários servidores RADIUS no mesmo cluster, mas se você usar um balanceador de carga front-end, ele deverá garantir que todos os pacotes na conversa EAP vão para o servidor backend. Devido à possibilidade de muitos usuários configurarem uma identidade externa anônima, isso é melhor feito usando o atributo Calling-Station-ID no pacote RADIUS.
Para maior segurança, se você estiver usando uma CA raiz pública pré-instalada, é melhor configurar o suplicante para verificar se o CN no certificado corresponde a um valor predefinido. Isso evita ataques de falsificação usando outros certificados assinados pela mesma CA raiz pública.
Porém, devido à possibilidade de suplicantes mal configurados, é uma prática recomendada evitar CAs raiz públicas, criar sua própria CA, distribuí-la aos usuários da rede em um perfil de rede importável e, nesse perfil, habilitar a verificação de CN.
Existem múltiplas ferramentas que podem gerar esses perfis para diferentes plataformas/suplicantes. Se você está planejando implantar o eduroam, você pode querer dar uma olhadaEduroam CAT.
Há tambémxpressconnect do Cloudpathque é um instalador dissolvível, que além de instalar os perfis, pode atuar como um agente NAC temporário, verificando níveis de patch e versões de driver.