我正在校園內設置一個新的 FreeRADIUS 伺服器,從 v1 跳到 v3(設置原始伺服器時我並不在這裡)。一切似乎都正常,但我不明白使用 Windows 7 時憑證部分如何運作。
我們的網域有一個通配符 SSL 憑證。我可以在 RADIUS 伺服器上使用相同的憑證來放棄將 CA 憑證匯入到每個用戶端的需要嗎?
如果是這樣,我將如何去做呢?
感謝您的幫助。
答案1
不可以。
即使您提供由預先安裝 CA 簽署的證書,大多數請求者也要求使用者在接受證書之前明確信任該 CA。
據我所知,802.1X、802.11i 和沒有 EAP 標準指定了向請求者提供的憑證的 CN 與網路的 SSID 之間的關係,因此 CN 可以是您想要的任何內容,但需要注意的是一些Windows 請求者不接受通配符憑證(顯然,我從未親自驗證過這一點)。
同一叢集中的多個 RADIUS 伺服器可能會提供相同的證書,但如果您使用前端負載平衡器,則必須確保 EAP 會話中的所有資料包都會傳送到後端伺服器。由於許多使用者可能會配置匿名外部身份,因此最好使用 RADIUS 封包中的 Calling-Station-ID 屬性來完成此操作。
為了提高安全性,如果您使用預先安裝的公用根 CA,最好將請求者設定為驗證憑證中的 CN 與預設值相符。這可以防止使用同一公共根 CA 簽署的其他憑證進行欺騙攻擊。
不過,由於請求者可能配置錯誤,最佳實踐是避免公共根 CA,推出您自己的 CA,在可匯入的網路設定檔中將其分發給網路用戶,並在此設定檔中啟用 CN 驗證。
有多種工具可以為不同平台/請求者產生這些設定檔。如果您打算部署 eduroam,您可能需要查看教育貓。
還有Cloudpath 的 xpressconnect這是一個可分解的安裝程序,除了安裝設定檔之外,還可以充當臨時 NAC 代理,驗證補丁等級和驅動程式版本。