服务器 Gind.cn
  1. 服务器 Gind.cn
  3. 802.1x自动validationWindows客户端中的证书
Intereting Posts
如果DC离线,Windows域客户端的行为如何? FreeRadius可以呈现SHA1证书,是否接受SHA2客户端证书并根据接受SHA1和SHA2证书的CA进行validation? nginx的匹配类似,但是位置错误 Filemaker Server不安装和Windows问题 您将等待多久才能安装更新? 更改名称服务器后的一周,大多数用户仍旧收到旧网站 在CentOS 6.3上遇到麻烦 2个网卡,相同的子网,不同的默认网关 远程Windows Server 2008 R2升级问题 APP安装 – iPhone 使用bind9 CNAME别名从EC2实例连接到RDS数据库 根据QUERY_STRING拒绝访问该网站 Tomcat 7.0.22 Windows服务因JRE更新而中断 / sbin / init是什么意思? Squid Proxy使用易受攻击的端口

802.1x自动validationWindows客户端中的证书

我们正在部署使用Windows Server 2008 NAC作为RADIUS服务器的无线networking。 当Windows XP或7客户端连接时,它们初始化失败。

为了使客户端连接,我们必须手动添加networking,并取消选中“validation服务器证书”,如下面的截图所示。

有谁知道一种避免必须这样做的方法? 我们非常乐意从Verisign,Thwarte等购买证书,如果它会帮助我们尝试我们的Comodo通配符SSL证书,但没有解决这个问题。

这些机器属于最终用户,所以我们不能轻易地使用组策略或registry黑客来控制设置。

在这里输入图像说明

您需要分发您的RADIUS服务器的证书(如果它是自签名的)或证书颁发机构的证书,将其签名给您的客户端。

现在,您要告诉您的客户端(或802.1X-ese中的客户端)来validationRADIUS服务器证书的信任path。 我不知道你是如何为你的RADIUS服务器产生你的公钥和私钥对的,但一般来说它将是自签名的或是由证书颁发机构签名的。 反过来,签名证书颁发机构的公钥将通过GPO,Active Directory证书服务或Microsoft被包括在受信任的根证书颁发机构存储库中分发给客户端。

有谁知道一种避免必须这样做的方法? 我们非常乐意从Verisign,Thwarte等购买证书,如果它会帮助我们尝试我们的Comodo通配符SSL证书,但没有解决这个问题。

使用外部根CA签署RADIUS服务器的证书不是build议的configuration。

这是来自FreeRADIUS的文档,但我期望它对微软的实现同样有效:

一般来说,您应该使用802.1x(EAP)的自签名证书
authentication。 当您列出来自其他组织的根CA时
你允许他们伪装成你的“CA_file”进行validation
您的用户,并为EAP-TLS颁发客户端证书。

这些机器属于最终用户,所以我们不能轻易地使用组策略或registry黑客来控制设置。

那么这是你的问题! 使用GPO分发证书非常简单。 为什么这不是你的情况? 咆哮,做你自己的明星证书(这是由根CA签名),你可以签署你的RADIUS服务器的证书?

编辑:不幸的是,BYOD和WPA2-企业并没有真正的devise在一起。 你有三个select:

  1. configuration您的客户端不检查您的RADIUS服务器的证书的信任path(即取消选中“validation服务器证书”的框)。
  2. 获取您的RADIUS服务器的证书,由“外部”CA签名,该CA的签名证书在受信任的根证书颁发机构存储库(如Verisign,Comodo等)中分发。
  3. 代表您的客户设置一些作为请求方的强制门户。

前两个选项的缺点是它打开您的802.1Xscheme直到MiTM攻击。 我可以想象build立我自己的RADIUS服务器,并拦截你的用户的AD凭据。 不是一个理想的设置,但你的部门将需要做风险分析。 如果你走这条路线,确保你为CYA的目的文件。

从安全的angular度来看,最好的select是build立一个强制门户。 学生可以使用他们的BYOD设备连接并访问门户,将他们的用户身份validation凭证传递给门户,然后门户可以与RADIUS服务器通信。

Eduroam是教育机构的另一个stream行的select。

我知道这个post真的很老,但是,除了上个星期,任何客户端可以连接到我的无线networking,这一周他们不能。 我有一个带有8个接入点的Aruba EOL 3200。 windows / android / iphone客户端能够通过802.1x连接validation一个用户名的本地,基于Aruba的数据库。 本周,当我进入时,我注意到我的手机无法连接到无线。 然后,我的Windows 10笔记本电脑无法连接(以前都连接过)。 只有没有断开networking连接的客户端仍然可以访问它。 这只发生在802.1x ssid(staff)而不是PSK ssid(guest)上。 然后,我确认了Windows计算机连接到此的唯一方法是在手动添加configuration文件的同时取消选中“通过validation证书validation服务器的身份”选项。 Android设备仍然无法连接。

我刚刚部署了一个与上周非常相似的设置,提供了一个为期一周的营地活动的互联网接入。 这是我使用的方法和一些经验教训:

首先,我使用多个SSID在WPA2-Enterprise上提供主要networking,并为用户注册提供开放式networking。 开放networkingredirect到用户注册并提供付款信息的自定义强制门户(使用HTTPS和由CA颁发的普通证书)。 付款完成后,在RADIUS数据库中启用用户,然后可以重新连接到WPA2-Enterprise SSID以联机。

由于我有一个艰难的最后期限来启动它,它只是testingAndroid和iOS,这两者都没有任何实际问题。 在生产中,我很快就学会了Windows根本不喜欢它。

  • Windows XP需要SP3才能使用安全networking,所以我保留了一个本地副本作为强制门户的直接下载。 一个用户实际上出现了XP SP2,必须更新。
  • Windows XP,Vista和7拒绝与用户名和密码连接,但从来没有实际抱怨服务器证书。 我发现这是第一个Windows用户注册的反复试验的原因。 事实上,手动设置networkingconfiguration文件是相当简单的,一旦问题确定。
  • Windows 8,iOS和NetworkManager的GNOME / Ubuntu版本提示有关RADIUS服务器证书,但允许用户接受证书并连接。
  • NetworkManager的KDE版本从来没有尝试过没有手动configuration的连接,而且它select的默认值是错误的。 幸运的是,只有一个用户出现了这个特定的configuration。
  • 没有人要求支持Mac OS X.我后来得知Mac OS X客户端连接没有问题。

为了避免所有这些麻烦,在下一次迭代(即下一年),我打算提供从强制门户直接安装服务器证书,以便用户(主要是Windows用户)不会有问题login到安全networking。