Я настраиваю новый сервер FreeRADIUS здесь, в кампусе, перескакивая с v1 на v3 (меня здесь не было, когда устанавливали оригинал). Кажется, все работает нормально, но я не понимаю, как работает часть сертификатов при использовании Windows 7.
У нас есть сертификат SSL с подстановочными знаками для нашего домена. Могу ли я использовать тот же сертификат с нашим сервером RADIUS, чтобы избавиться от необходимости импортировать наш сертификат CA на каждого клиента?
Если да, то как мне это сделать?
Спасибо за помощь.
Нет. Сертификат CA по-прежнему должен присутствовать на каждом компьютере соискателя и ему доверять.
Даже если вы представляете сертификат, подписанный предустановленным ЦС, большинство соискателей требуют, чтобы пользователь явно доверял этому ЦС перед принятием сертификата.
802.1X, 802.11i и никакие стандарты EAP, о которых я знаю, определяют взаимосвязь между CN сертификата, представленного запрашивающему лицу, и SSID сети, поэтому CN может быть любым, что вы хотите, с оговоркой, что некоторые соискатели Windows не принимают сертификаты с подстановочными знаками (очевидно, я никогда не проверял это лично).
Один и тот же сертификат может быть представлен несколькими серверами RADIUS в одном кластере, хотя, если вы используете балансировщик нагрузки внешнего интерфейса, он должен гарантировать, что все пакеты в диалоге EAP отправляются на внутренний сервер. Из-за возможности того, что многие пользователи настроят анонимную внешнюю идентификацию, лучше всего это сделать с помощью атрибута Calling-Station-ID в пакете RADIUS.
Для дополнительной безопасности, если вы используете предварительно установленный общедоступный корневой центр сертификации, лучше всего настроить соискателя для проверки соответствия CN в сертификате заданному значению. Это предотвращает атаки спуфинга с использованием других сертификатов, подписанных тем же общедоступным корневым центром сертификации.
Однако из-за возможности неправильно настроенных соискателей рекомендуется избегать общедоступных корневых центров сертификации, развернуть собственный центр сертификации, распространить его среди пользователей сети в импортируемом сетевом профиле и включить в этом профиле проверку CN.
Существует несколько инструментов, которые могут создавать эти профили для разных платформ / соискателей. Если вы планируете развернуть eduroam, вы можете проверить Eduroam CAT.
Есть также Xpressconnect Cloudpath который представляет собой растворимый установщик, который помимо установки профилей может действовать как временный агент NAC, проверяя уровни исправлений и версии драйверов.