我正在校园里build立一个新的FreeRADIUS服务器,从v1跳到v3(原来安装时我不在这里)。 事情似乎工作正常,但我不明白如何使用Windows 7的证书部分工作。
我们为我们的域名提供通配符SSL证书。 我可以使用与RADIUS服务器相同的证书来放弃将CA证书导入到每个客户端吗?
如果是的话,我会怎么做呢?
感谢您的帮助。
不需要。您仍然需要在每台请求者机器上都有CA证书,并由每位请求者信任。
即使您提供由预安装的CA签名的证书,大多数请求者也要求用户在接受证书前明确信任该CA.
802.1X,802.11i和我没有意识到的EAP标准,指定了提交给请求者的证书的CN与networking的SSID之间的关系,所以CN可以是你想要的任何东西,但要注意的是一些窗户恳求者不接受通配符证书(显然,我从来没有亲自validation过)。
同一个集群中的多个RADIUS服务器可以提供相同的证书,但是如果使用前端负载均衡器,则必须确保EAP对话中的所有数据包都发送到后端服务器。 由于许多用户可能会configuration匿名外部身份,因此最好使用RADIUS数据包中的Calling-Station-ID属性。
为了增加安全性,如果您使用的是预安装的公用根CA,最好是configuration请求者以validation证书中的CN是否与预设值匹配。 这可以防止使用由同一公用根CA签名的其他证书进行欺骗攻击。
虽然,由于configuration请求者configuration错误的可能性,最好避免使用公有根CA,推出自己的CA,在可导入的networkingconfiguration文件中将其分发给networking用户,并在此configuration文件中启用CNvalidation。
有多种工具可以为不同的平台/请求者生成这些configuration文件。 如果您打算部署eduroam,您可能需要查看Eduroam CAT 。
还有Cloudpath的xpressconnect ,它是一个可拆卸的安装程序,除了安assembly置文件之外,还可以充当临时NAC代理,validation补丁级别和驱动程序版本。