При использовании проверки подлинности на основе сертификата 802.1x на машинах Windows должен ли я использовать разные сертификаты для каждой машины?
В сети работает RADIUS-сервер, машины используют EAP-TLS для связи с сетевым коммутатором.
Если нужно, как мне распространить эти сертификаты на сотни компьютеров? Всегда ли для этого требуется ручное вмешательство? Я думаю, что компьютер без сертификата не может подключиться к сети, поэтому такую задачу нельзя легко написать сценарием с помощью GPO. Я могу представить, что это проблема при добавлении новых компьютеров или выдаче новых сертификатов.
При использовании проверки подлинности на основе сертификата 802.1x на машинах Windows должен ли я использовать разные сертификаты для каждой машины?
Да, в противном случае вы также можете использовать общий ключ доступа. Наличие разных сертификатов для каждой машины (или пользователя) - это то, как вы не позволяете клиентам расшифровывать трафик друг друга.
Если нужно, как мне распространить эти сертификаты на сотни компьютеров? Всегда ли для этого требуется ручное вмешательство?
Фактически, типичный метод - это объект групповой политики, который назначает машине сертификат, подписанный внутренним центром сертификации.
Вы ищете Computer Configuration
-> Windows Settings
-> Security Settings
-> Public Key Policies
раздел в разделе "Управление групповой политикой".
С вашей стороны требуется изрядная настройка, но как только вы запустите ее, она не требует обслуживания и очень автоматична. Я приложил ниже снимок экрана с нашими настройками групповой политики, относящимися к сертификатам, чтобы вы поняли, в чем дело.
Обратите внимание на нерасширенный Wireless Network (802.11) Policies
Параметры групповой политики; здесь я определяю беспроводную сеть и настраиваю наших беспроводных клиентов на автоматическое присоединение к ней. У меня настроено несколько центров сертификации ADDS, которым доверяют все машины в Public Key Policies/Trusted Root Certification Authorities
. Запрос сертификата создается автоматически, и клиенты регистрируются автоматически в соответствии с шаблоном сертификата компьютера, который я создал (в наших центрах сертификации).
Эта настройка действительно означает, что компьютеры должны подключиться к домену и получить свой сертификат. перед они могут использовать беспроводную сеть с аутентификацией RADIUS, но это обрабатывается, когда машина изначально создается, и почему обычно нет проблем с выталкиванием сертификатов через групповую политику - чтобы присоединиться к домену, вы должны иметь возможность подключиться к нему , поэтому сертификат может быть создан и назначен в это время.
Будьте осторожны с настройками автоматической регистрации (и сначала проверьте), или вы можете закончить, как моя тупая задница, с сотнями тысяч сертификатов, которые вы не можете отозвать, потому что вы выдаете новый при каждом входе в систему и запуске. (Ой!)