Freeradius

Freeradius 和自簽名證書

  • June 8, 2015

我們目前的 wi-fi 基礎設施基於一個 Debian 盒子,該盒子託管帶有 LDAP 後端的 Freeradius。目前我們有兩個 802.1x 保護的 SSID,一個公共網路和一個專用網路:根據 LDAP 屬性,使用者可以連接到第一個或第二個網路。

由於我們的 Freeradius 有自簽名證書,我們在使用 Windows 7 客戶端時遇到了一些問題,需要安裝伺服器證書才能執行連接:這有點煩人,尤其是對於公共網路,因為我們需要設置每台進入的電腦。

我想知道是否有一種方法(除了為 freeradius 購買商業證書之外,遺憾的是我讀到 [ http://wiki.freeradius.org/guide/Certificate-Compatibility ] Windows 客戶端不接受萬用字元證書,我們已經必須…)讓客戶更容易接受該證書:解決方法可能是通過強制門戶登錄?是否可以僅為公共網路設置強制門戶?

請求者無法驗證證書中的 C​​N,因此您可以向請求者出示任何證書(萬用字元證書除外)並且它會起作用。

除了安裝本地 CA 或獲得由受信任的商業 CA 簽名的證書之外,您真的別無選擇。

就強制門戶而言,不可能回退到 WPA/2-Enterprise 網路上的強制門戶。

您可以使用強制門戶設置第三個未加密的 SSID,以幫助使用者引導、提供無線網路配置和證書。

這是學術網路中的常見做法,其中Cloudpath xpressconnecteduroam cat用於部署配置。

引用自:https://serverfault.com/questions/674088