我正在尝试为 WPA2 企业身份验证设置 RADIUS 服务器。我对这一切都很陌生。我知道服务器有一个“服务器证书”,我认为它的作用类似于 HTTPS 和 SSH 服务器证书的作用。是否存在“客户端证书”的概念?这是一个有意义的概念吗?如果是,它们是如何使用的,它们有什么用途?
答案1
简短版本
是的,有“客户端证书”或“用户证书”的概念。它们实际上也存在于 TLS(TLS 是 SSL 的现代继承者,SSL 是 HTTPS 的安全方案)世界中,但它们在那里并不常用。
EAP-TLS 是 WPA2 Enterprise/802.1X/EAP/RADIUS 领域中的一种身份验证方法,使用证书进行双向身份验证。它是 TLS 的身份验证部分,打包为 EAP 身份验证方法。
由于为每个用户或每台客户端计算机配置和管理证书非常困难,大多数组织不使用用户证书进行身份验证。但请注意,“智能卡”身份验证实际上在后台使用用户证书。因此,如果您的组织已经向所有人发放了智能卡,那么 EAP-TLS 就适合您。这就是为什么用于选择 EAP-TLS 的 Windows UI(在 Windows Wi-Fi 客户端 UI 中)将其称为“智能卡或其他证书”。
一些网站使用 TLS 客户端证书作为“机器”/“设备”/“系统”证书,这样机器无需用户交互即可接入网络。如果您希望机器即使在没有用户登录的情况下仍留在无线网络上进行远程管理和备份,这很有用。
长版本
如果您了解 HTTPS,那么您就知道它意味着 SSL 或 TLS,并且您可能知道 TLS 是 SSL 的现代继承者。您可能已经知道 TLS 如何使用 X.509 服务器证书允许客户端浏览器对服务器进行身份验证,但您是否知道 TLS 可以双向使用证书?是的,您可以向用户颁发 X.509 证书并让他们将其安装在客户端计算机(或浏览器中),然后您的 Web 服务器可以通过证书而不是密码对您的用户进行身份验证。
如果您曾经使用过“智能卡”身份验证,那么您实际上已经在不知不觉中在后台使用了 X.509 用户证书。智能卡允许用户证书(尤其是与证书中的公钥相匹配的私钥)安全地存储在卡内。
现在我们来谈谈 WPA2-Enterprise。WPA2-Enterprise 使用一种称为“局域网 (LAN) 上的可扩展身份验证协议 (EAP)”或“EAPoL”的技术。EAPoL 在 IEEE 802.1X 中进行了标准化,并与 IEEE 802.11i 中的其他安全修复和更新一起应用于 IEEE 802.11。然后,Wi-Fi 联盟创建了一个基于 802.11i 的认证和徽标许可计划,并将其称为“WPA2”,当您使用 WPA2 的可选 802.1X 部分时,它被称为 WPA2-Enterprise。
EAP 早于 EAPoL。EAP 是源自 PPP 拨号时代的一项技术,当时 PPP 中的内置身份验证方法比较弱且难以修改,因此业界提出了一种可插入的 PPP 身份验证方案,并将其称为 EAP。RADIUS 已用于将 PPP 凭据保存在中央服务器上,因此 RADIUS 服务器构成了 EAP 的“身份验证器”(服务器)端。顺便说一句,由于许多 VPN 技术在加密隧道内使用 PPP,因此 EAP 在 VPN 世界中也很常见。
因此,当您将 WPA2 Enterprise 连接到 RADIUS 时,您实际上是将 802.1X(EAPOL)连接到 RADIUS,并在 Wi-Fi 客户端和 RADIUS 服务器之间进行 EAP 传输的身份验证。
由于 EAP 是可扩展的(可插入的),因此您可以将许多身份验证方法(EAP 方法)插入到 EAP 中。例如,如果您喜欢 TLS 的身份验证部分,则可以在 EAP 中使用它们,它被称为 EAP-TLS。或者您可以使用一种称为“受保护的 EAP”(PEAP)的 EAP 方法,它实际上是“EAP 内的 EAP”。作为 PEAP 中的内部 EAP 方法,许多人选择使用 EAP-MSCHAPv2 或 EAP-GTC,但有些人在内部使用 EAP-TLS。
许多公司(尤其是 Microsoft 和 Cisco)都尝试过让用户或机器证书更容易地安装到用户的设备上,因此有多种方法可以设置 Windows Server 环境或 Cisco 网络环境,以便网络在用户首次连接到网络时尝试将证书推送到用户的机器上。其中一项努力称为 SCEP,即“简单证书注册协议”。
有些网站希望即使在没有用户登录的情况下,也能让笔记本电脑安全地向 Wi-Fi 网络进行身份验证(出于系统管理、无人值守的夜间备份等目的)。由于没有用户登录,系统的用户证书(或至少是他们的私钥)无法访问。因此,Windows 计算机、Mac、大多数智能手机和其他设备都有办法在计算机上安装“机器/设备/系统”证书,这样机器就可以在没有用户登录的情况下使用自己的证书(而不是任何用户的证书)向网络进行身份验证。有些网站甚至使用机器证书向网络验证机器,即使用户登录是登录,因为他们不想打扰用户自己登录 Wi-Fi 网络。