Certificate

小型網路上的 WPA2 企業需要多少個使用者/請求者證書?

  • May 10, 2019

我正在執行 WPA2 企業以進行無線訪問,/etc/raddb/certs/README按照 freeRadius 站點 howto中的說明進行操作。我還閱讀了privacywonk 網站上的說明。

問題是,FreeRadius 說明和網站似乎建議對所有請求者僅使用一個(自簽名)證書,而 privacywonk 網站建議為每個請求者使用單獨的證書。

一個對另一個有優勢嗎?

我能想到的一個優點是能夠撤銷特定的使用者帳戶(當您有多個證書時可以這樣做,每個請求者一個)。還有其他人嗎?

另外,您如何將專門創建的證書與users文件中的特定使用者聯繫起來?

共享證書與共享密碼基本相同。如果一個證書被盜用,您必須重新配置所有客戶端才能更改證書,而如果每個客戶端都有一個證書,您可以簡單地撤銷被盜用的證書。此外,共享證書可能意味著客戶端可以解密發送到和來自其他客戶端的流量,而單獨的證書意味著客戶端只能解密自己的流量。如果您打算使用證書設置 WPA2,我建議您正確執行並為每個客戶端生成證書。

我假設您在這裡使用 EAP-TLS,在這種情況下,您沒有在users文件中專門配置使用者。客戶端擁有由 CA 簽名的證書和密鑰(即CA_file參數)並且不在 CRL 中的事實意味著它具有訪問權限。

使用 EAP-TLS,使用者提供使用者名、證書和私鑰(可能用密碼保護)。請注意,沒有可以用來驗證使用者名的密碼(即使用者可以輸入他們想要的任何使用者名)。如果您想使用使用者名做出策略決策,您需要驗證使用者提供的使用者名是否正確。我認為這是通過在生成證書時將要使用的使用者名設置為證書中的公用名並啟用check_cert_cn參數來完成的。如果使用者提供的證書中的 C​​ommon Name 與他們提供的使用者名不匹配,這將導致伺服器拒絕請求。然後,您可以將條目添加到users文件匹配User-Name以定義您的策略。

引用自:https://serverfault.com/questions/410495