Рассмотрим среду, которая использует аутентификацию 802.1x PEAP через RADIUS. Обычно это делается для аутентификации беспроводных клиентов.
В этой среде имеется несколько серверов RADIUS, и клиенты будут обслуживаться тем, что доступно.
Я видел два подхода в отношении сертификата сервера, предоставляемого клиентам.
В первом случае один и тот же сертификат настроен на каждом сервере RADIUS. CN - это что-то общее, например "wireless.mycompany.com"
Во втором случае сертификат на каждом сервере разный, а CN - это имя хоста сервера, например "server1.mycompany.com"
Мой вопрос: приемлемы ли оба решения? Каковы плюсы и минусы каждого подхода?
РЕДАКТИРОВАТЬ: особенно интересны комментарии, касающиеся простоты роуминга для клиентов.
Хотя оба решения будут работать, я бы рекомендовал избегать совместного использования сертификатов на нескольких хостах. Это связано с управлением закрытыми ключами. Чем больше сущностей знают о ключе, тем ниже уровень безопасности. Потому что вы не можете точно знать, какой сервер скомпрометировал ключ (поскольку у них один и тот же ключ).
Лучшая практика гласит, что ни одно лицо не должно знать о каком-либо конкретном закрытом ключе. Подумайте о PIN-коде вашей кредитной карты. Вы бы поделились этим с кем-нибудь?
Поэтому лучше всего предоставлять индивидуальный сертификат каждому серверу RADIUS. Вы можете назначить уникальное имя в каждом сертификате (например, имя хоста сервера RADIUS) или использовать общее общее имя во всех сертификатах RADIUS. Лучшей практики именования сертификатов RADIUS не существует.