Certificate

WPA2 企業:混合網路上的無使用者名/密碼提示設置:XP/SP3、Mac OS X、Linux、iOS

  • July 26, 2012

我最近問了一個關於設置 WPA2 企業的問題,我還有幾個輔助問題。首先,關於使用 OpenSSL cnf 文件生成證書。我有一些它們/etc/raddb/certs,它們是我在 Gentoo 盒子上安裝 freeradius 的一部分。我有一個ca.cnfserver.cnfclient.cnf。我的問題如下:

  1. 如果我想為 WPA2 企業設置無使用者名/密碼提示設置(我希望使用者文件使用證書)——我可以按照我在步驟 1 中為“Windows XP 客戶端”執行的相同程序執行此操作嗎?自由半徑如何?我將添加上面對我的問題的答案中提到的 eap.conf 配置。請注意,這是我在基於 Mac OS X 的系統中面臨的問題。我的 windows XP/SP3 筆記型電腦似乎沒有這個問題,因為我添加了 ca.der 文件(點兩下安裝)和 client.p12 文件(參見freeradius howto,在第 1 步下,“Windows XP客戶”)。
  2. 如何將特定密鑰導入 iPhone 和其他個人設備,如 iPad、Android 平板電腦等?

在家裡翻遍了各種 iPhone 和 iPod 的手冊頁openssl.cnf和配置之後,我終於找到了我提出的問題的答案。

我的解決方案實現了以下目標:(a)通過 WPA2-enterprise 使用 EAP-TLS 以安全方式無使用者名/密碼登錄,以及(b)(可能安全性稍強)無密碼但需要使用者名以安全方式登錄方式通過 WPA2-企業。選項(b)實際上是check_cert_cneap.conf文件中取消註釋,並要求發送使用者名(有許多name屬性,請注意一點)。潛在的黑客可能擁有您的證書,但她可能沒有您的使用者名,但這對於熟悉證書和 WPA2 企業的黑客來說並不是一種安全措施。

簡而言之,該過程是您將為client.cnf要添加到網路中的每個客戶端更改文件並使用重新生成密鑰make client.pem,這會生成client.p12您應該下載到客戶端電腦上的文件 - 這意味著每個客戶端都有自己的加密密鑰,這意味著網路中的一個客戶端無法通過混雜模式監視另一個客戶端的數據包。如果您在創建client.pems:make client.pem炸彈過程中出於任何原因有任何問題,請特別注意serialand serial.old, and index.txtand index.txt.old: 特別是mv serial.old serialand , 並在問題修復後mv index.txt.old index.txt重做(例如,不正確make client.pem``cnf由於拼寫錯誤而導致的文件 - 很可能是因為文件中的密碼有時不允許使用特殊字元client.cnf- 我希望任何閱讀此內容的人向我指出有關在*.cnf文件中使用特殊字元的資源)。

README現在詳細說明:Windows 機器需要不同的程序:對於每個 Windows XP 客戶端,您將需要使用/etc/raddb/certs/. 接下來,您應該按照 FreeRadius howto中的“第 1 步:創建證書:在 Windows XP 客戶端上”中的步驟進行操作,並使用 FreeRadius 站點中相同 howto 的第 4 步進行連接

對於所有機器,在為每個客戶端執行上述操作之前,您應該更改每個客戶端client.cnf的使用者名和密碼文件。我的cnf文件更改真的只觸及文件更改的[ req ]部分,. 請注意,以下部分應描述描述為屬性值的客戶端名稱。例如,如果您在該部分中,則以下部分將以 [ 開頭。在這裡,您將相應地配置屬性(對於您網路中的大多數客戶端都是相同的,除了,它將為每個客戶端更改)。client.cnf``distinguished_name``input_password and output_password``distinguished_name``distinguished_name = beeblebrox``[ req ]``beeblebrox ]``emailAddress

在此過程結束時,您將完成*.p12為每個客戶生成數字配置文件/個人資訊交換文件。該文件包含一個私鑰,客戶端將使用該私鑰在網路中進行通信。現在您必須將這些數字配置文件安裝到客戶端上。

如上所述,Windows 機器將執行安裝證書和連接到 WPA2 企業網路的過程。所有其他機器都需要*.p12為它們創建的文件(為每個客戶端命名它們很方便:xp1.p12xp2.p12ios1.p12ios2.p12macosx1.p12)來連接到 RADIUS 伺服器。如何安全地*.p12將文件下載到機器上?對於筆記型電腦,使用可移動媒體可以輕鬆解決問題,或者如果您通過乙太網連接到主機網路,則可以使用文件的 scp。對於 iPhone 和其他設備,這有點棘手。考慮到文件包含私鑰這一事實,我不確定是否可以使用不安全的電子郵件*.p12供客戶使用。也許您對電子郵件進行了數字加密,這樣就可以了。但我通過在*.p12本地網路伺服器上託管文件並將它們下載到 IOS 設備上解決了這個問題。

在 MAC 上,您可以按照此處提供的步驟進行操作,但請確保在*.p12執行此操作之前將文件添加到 MAC 上的鑰匙串中(請參閱此處)。WPA2 企業配置中的 802.1x 身份驗證(您可能必須明確檢查TLS配置)。

在 IOS 設備上,您首先下載文件,該*.p12文件可讓您將此證書添加為配置文件(文件下載會*.p12自動啟動該過程)。然後,您進入設置->WiFi->添加您的WPA2企業網路,並指定SSID,然後將模式更改為EAP-TLS。執行此操作後,將Identity出現該選項,點擊該選項會提供*.p12配置文件選項。檢查選項,然後返回螢幕。根據您是否選擇了企業系統的總使用者名/無密碼登錄或無密碼登錄,您可能需要輸入client.cnf用於生成*.p12文件的相應文件中的使用者名。一旦你點擊加入,你就在!

我很感激有人添加了通過 linux 進行無線訪問的外掛。

一旦我可以談論更多關於我必須重新登錄的次數等問題,我會插嘴——我可能在我的 IOS 設備上看到了這個問題,但我必須再次檢查。

引用自:https://serverfault.com/questions/410640