Назад | Перейти на главную страницу

Используете ли вы для аутентификации 802.1x PEAP RADIUS разные сертификаты для каждого сервера?

Рассмотрим среду, которая использует аутентификацию 802.1x PEAP через RADIUS. Обычно это делается для аутентификации беспроводных клиентов.

В этой среде имеется несколько серверов RADIUS, и клиенты будут обслуживаться тем, что доступно.

Я видел два подхода в отношении сертификата сервера, предоставляемого клиентам.

В первом случае один и тот же сертификат настроен на каждом сервере RADIUS. CN - это что-то общее, например "wireless.mycompany.com"

Во втором случае сертификат на каждом сервере разный, а CN - это имя хоста сервера, например "server1.mycompany.com"

Мой вопрос: приемлемы ли оба решения? Каковы плюсы и минусы каждого подхода?

РЕДАКТИРОВАТЬ: особенно интересны комментарии, касающиеся простоты роуминга для клиентов.

Хотя оба решения будут работать, я бы рекомендовал избегать совместного использования сертификатов на нескольких хостах. Это связано с управлением закрытыми ключами. Чем больше сущностей знают о ключе, тем ниже уровень безопасности. Потому что вы не можете точно знать, какой сервер скомпрометировал ключ (поскольку у них один и тот же ключ).

Лучшая практика гласит, что ни одно лицо не должно знать о каком-либо конкретном закрытом ключе. Подумайте о PIN-коде вашей кредитной карты. Вы бы поделились этим с кем-нибудь?

Поэтому лучше всего предоставлять индивидуальный сертификат каждому серверу RADIUS. Вы можете назначить уникальное имя в каждом сертификате (например, имя хоста сервера RADIUS) или использовать общее общее имя во всех сертификатах RADIUS. Лучшей практики именования сертификатов RADIUS не существует.