我知道您不能对公共 wifi 使用 EAP-TLS,因为客户端没有自己的证书,那么您使用什么 EAP 来执行相互认证?
答案1
我假设您希望客户端使用密码进行连接。您希望使用以下任一方式弹性蛋白或者认证协议和远程管理连接验证 (MSCHAP)作为内部身份验证方法。您可能仍需要向客户端提供 CA 证书来验证服务器。
答案2
带 MSCHAPv2 的 PEAP 兼容性最好。除 Windows 桌面外,所有其他设备都直接连接并提示您输入用户名/密码。您不需要受信任的服务器证书;它可以是自签名的。
在 Windows 上,您需要手动创建连接并禁用服务器证书信任验证,或者从受信任的 CA 获取证书。这与浏览器的信任存储不同,并且根 CA 的集合非常有限。