FreeRADIUS 3 和萬用字元證書
我正在校園裡設置一個新的 FreeRADIUS 伺服器,從 v1 跳轉到 v3(設置原始伺服器時我不在這裡)。事情似乎執行良好,但我不明白證書部分在使用 Windows 7 時是如何工作的。
我們的域有一個萬用字元 SSL 證書。我可以在我們的 RADIUS 伺服器上使用相同的證書來放棄將我們的 CA 證書導入每個客戶端的需要嗎?
如果是這樣,我將如何去做?
感謝您的幫助。
否。您仍然需要 CA 證書出現在每台請求者機器上,並受到每個請求者的信任。
即使您提供由預安裝 CA 簽名的證書,大多數請求者仍要求使用者在接受證書之前明確信任該 CA。
802.1X、802.11i 和我所知道的沒有 EAP 標準,指定送出給請求者的證書的 CN 與網路的 SSID 之間的關係,因此 CN 可以是您想要的任何東西,但需要注意的是一些 Windows 請求者不接受萬用字元證書(顯然,我從未親自驗證過這一點)。
同一個證書可能由同一個集群中的多個 RADIUS 伺服器提供,但如果您使用前端負載均衡器,它必須確保 EAP 會話中的所有數據包都到達後端伺服器。由於許多使用者可能會配置匿名外部身份,因此最好使用 RADIUS 數據包中的 Calling-Station-ID 屬性來完成。
為了增加安全性,如果您使用的是預安裝的公共根 CA,最好將請求者配置為驗證證書中的 CN 是否與預設值匹配。這可以防止使用由同一公共根 CA 簽名的其他證書進行欺騙攻擊。
但是,由於請求者配置錯誤的可能性,最好避免公共根 CA,滾動您自己的 CA,在可導入的網路配置文件中將其分發給網路使用者,並在此配置文件中啟用 CN 驗證。
有多種工具可以為不同的平台/請求者生成這些配置文件。如果您計劃部署 eduroam,您可能需要查看Eduroam CAT。
還有Cloudpath 的 xpressconnect,它是一個可溶解的安裝程序,除了安裝配置文件外,它還可以充當臨時 NAC 代理,驗證更新檔級別和驅動程序版本。