В других случаях, вместо того, чтобы устанавливать корпоративный корневой центр сертификации и иметь внутреннюю PKI. Могу ли я купить сертификат за 30 долларов, например, у Thawte, а затем использовать его на моем сервере IAS? Разве это не лучшее и дешевое решение? Спасибо, ребята. Растянутый глупый админ
Мы делаем это с помощью беспроводной аутентификации 802.1x в кампусе с использованием eap-ttls.
Он также отличается от просителя к просителю.
Некоторые из них, например собственный OSX, требуют от вас выбора корневого центра сертификации, который вы используете для проверки сертификата сервера RADIUS. Ваши пользователи должны будут выбрать правильный CA из раскрывающегося списка (или, возможно, импортировать его, если вы используете локальный CA). На iphone вам нужно создать профиль, используя утилита настройки iphone.
Я считаю, что есть различия, например, между запросчиками беспроводной связи Intel и Dell. Например (просматривая конфигурацию Intel прямо сейчас) есть флажок «доверять любому CA» или «указать имя сервера или сертификата».
Вам нужно будет проверить вашу местную ситуацию. Но - краткий ответ - да, вы можете использовать известный центр сертификации, чтобы подписать свой сертификат EAP.
Что ж, если вы создадите свой собственный CA и используете его для подписания сертификата для radius / eap, это будет бесплатно, что намного дешевле, чем тратить 30 долларов.
Я выбираю этот путь (то есть использую свой собственный CA), и он отлично работает. Для клиентов Windows (особенно Vista / Win7) вам нужно скопировать открытый ключ вашего центра сертификации на компьютер с Windows и импортировать его, чтобы Windows доверяла сертификату radius / eap при подключении к беспроводной сети.
Конечно, если вы потратите деньги на сертификат Thawte, может быть проще развернуть беспроводных клиентов, поскольку вам (вероятно) не придется импортировать этот ключ CA. Так что все зависит от того, сколько клиентов вы создадите по сравнению с 30 долларами в год (или чем-то еще).