我正在运行WPA2企业进行无线访问,并按照/etc/raddb/certs/README和freeRadius站点howto中的说明进行操作 。 我还阅读privacywonk网站上的说明。
问题是,FreeRadius说明和网站似乎build议所有请求者只使用一个(自签名)证书,而privacywonk网站则build议为每个请求者使用单独的证书。
一个与另一个有优势吗?
我能想到的一个好处是能够撤销一个特定的用户帐户(当你有多个证书,每个请求者一个证书时,你可以这样做)。 其他人?
另外,如何将特别创build的证书绑定到users文件中的特定用户?
共享证书基本上与共享密码相同。 如果一个证书受到损害,则必须重新configuration所有客户端以更改证书,而如果每个客户端都有一个证书,则可以简单地吊销已损坏的证书。 此外,共享证书可能意味着客户端可以解密发往和来自其他客户端的stream量,而单独的证书意味着客户端只能解密他们自己的stream量。 如果您要设置带有证书的WPA2,我build议您正确地做,并为每个客户端生成证书。
我假设你在这里使用EAP-TLS,在这种情况下,你没有专门configurationusers文件中的users 。 客户端具有由CA签名的证书和密钥(即CA_file参数)并且不在CRL中的事实意味着它具有访问权限。
使用EAP-TLS,用户可以提供用户名,证书和私钥(可能使用密码保护)。 请注意,没有用户名可以被authentication的密码(即用户可以input他们想要的任何用户名)。 如果您想使用用户名作出政策决定,您需要validation用户提供的用户名是正确的。 我认为这是通过在生成证书时将证书的用户名设置为公用名,并启用check_cert_cn参数来完成的。 如果用户提供的证书中的公用名称与他们提供的用户名不匹配,则会导致服务器拒绝该请求。 然后,您可以将条目添加到与users匹配的users文件以定义您的策略。