Я настраиваю новый сервер FreeRADIUS здесь, на территории кампуса, перехожу с v1 на v3 (меня не было, когда настраивался оригинальный сервер). Кажется, все работает нормально, но я не понимаю, как работает часть сертификатов при использовании Windows 7.
У нас есть wildcard SSL-сертификат для нашего домена. Могу ли я использовать тот же сертификат с нашим сервером RADIUS, чтобы избежать необходимости импортировать наш CA-сертификат в каждый клиент?
Если да, то как мне это сделать?
Спасибо за помощь.
решение1
Нет. Вам по-прежнему необходимо, чтобы сертификат CA присутствовал на каждом компьютере-запросчике и чтобы каждый запрашивающий доверял ему.
Даже если вы предоставите сертификат, подписанный предустановленным центром сертификации, большинство запрашивающих устройств требуют, чтобы пользователь явно доверял этому центру сертификации, прежде чем принять сертификат.
Стандарты 802.1X, 802.11i и ни один из известных мне стандартов EAP не определяют связь между CN сертификата, представленного запрашивающей стороне, и SSID сети, поэтому CN может быть любым, с оговоркой, что некоторые запрашивающие стороны Windows не принимают подстановочные сертификаты (судя по всему, я никогда не проверял это лично).
Один и тот же сертификат может быть представлен несколькими серверами RADIUS в одном кластере, хотя если вы используете front-end балансировщик нагрузки, он должен гарантировать, что все пакеты в разговоре EAP пойдут на back-сервер. Из-за возможности того, что многие пользователи настроят анонимную внешнюю идентификацию, это лучше всего сделать с помощью атрибута Calling-Station-ID в пакете RADIUS.
Для дополнительной безопасности, если вы используете предустановленный, публичный, корневой CA, лучше всего настроить запрашивающее устройство для проверки соответствия CN в сертификате предустановленному значению. Это предотвращает атаки спуфинга с использованием других сертификатов, подписанных тем же публичным корневым CA.
Однако из-за возможности неправильной настройки запрашивающих устройств лучше избегать публичных корневых центров сертификации, создать собственный центр сертификации, распространить его среди пользователей сети в импортируемом сетевом профиле и включить в этом профиле проверку CN.
Существует несколько инструментов, которые могут генерировать эти профили для разных платформ/запросчиков. Если вы планируете развертывание eduroam, вы можете проверитьЭдуроам CAT.
Есть такжеCloudpath's xpressconnectкоторый представляет собой растворимый установщик, который в дополнение к установке профилей может действовать как временный агент NAC, проверяя уровни исправлений и версии драйверов.