Назад | Перейти на главную страницу

802.1X Курица или яйцо?

Я читаю о 802.1X и WPA-2 Enterprise и о том, как их настроить. Я кратко прочитал о различных EAP и понял, что EAP-TLS - лучший метод аутентификации из-за использования сертификатов клиента и сервера.

Однако я невероятно смущен тем, как новое устройство предназначено для получения сертификата клиента, не находясь в сети, из которой ему необходимо получить сертификат?

Я установил сервер RADIUS на сервере Windows, однако я понимаю, что устройства, не присоединенные к домену, не могут его использовать? Но, конечно же, вы не можете присоединить новый домен к сети, если вы не можете подключиться к сети!

Действительно запутался, хотя я, конечно, мог что-то неправильно понять.

Вы правильно понимаете: если для вашего единственного способа подключения к сети требуется сертификат, вы не сможете подключиться, если у вас его нет. Ваши устройства смогут подключиться к беспроводной сети только после установки надлежащего сертификата клиента.

Точное решение зависит от устройства и ОС:

  • Если у вас также есть проводная сеть, вы можете подключить к ней компьютеры и использовать ее для получения сертификата; если вы используете Windows, это можно автоматизировать, присоединив их к своему домену и настроив автоматическую регистрацию на сертификат клиента с помощью групповых политик.
  • Вы можете настроить другую беспроводную сеть с другим методом аутентификации (без использования клиентских сертификатов), который будет использоваться только для регистрации сертификатов и / или присоединения к домену.
  • На компьютерах вы также можете установить сертификат без подключения к сети (например, скопировав его с помощью USB-накопителя).
  • Для телефонов / планшетов вы можете использовать одно из множества доступных решений для управления мобильными устройствами (MDM) для автоматического предоставления сертификатов; если у вас их нет, см. второй пункт.