您可以使用公共证书来为 EAP 执行 Radius 吗?

您可以使用公共证书来为 EAP 执行 Radius 吗?

换句话说,不是安装企业根 CA 并拥有内部 PKI。我可以从 Thawte 购买 30 美元的证书,然后在我的 IAS 服务器上使用它吗?这难道不是一个更好、更便宜的解决方案吗?谢谢大家。Stretched Silly admin

答案1

我们通过 eap-ttls 进行校园 802.1x 无线身份验证来实现此目的。

不同的恳求者之间也存在差异。

有些(例如原生 OSX)要求您选择用于验证 radius 服务器证书的根 CA。您的用户必须从下拉列表中选择正确的 CA(或者,如果您使用本地 CA,则可能需要导入一个)。在 iPhone 上,您必须使用iPhone 配置实用程序

我认为,例如,英特尔和戴尔无线请求者之间存在差异。例如(现在查看英特尔配置)有一个复选框用于“信任任何 CA”或“指定服务器或证书名称”。

您必须测试您当地的情况。但是——简短的回答是——是的,您可以使用知名 CA 来签署您的 EAP 证书。

答案2

好吧,如果您创建自己的 CA 并使用它来签署 radius/eap 证书,那么它将是免费的,比花费 30 美元便宜得多。

这是我采用的路线(即,我使用自己的 CA),效果很好。对于 Windows 客户端(尤其是 Vista/Win7),您需要将 CA 的公钥复制到 Windows 计算机并导入,以便 Windows 在连接到无线时信任 radius/eap 证书。

当然,如果您花钱购买 Thawte 证书,部署无线客户端可能会更容易,因为您(可能)不必进行 CA 密钥导入。因此,问题在于您要设置多少个客户端,以及每年 30 美元(或任何其他金额)的费用。

答案3

如果您想要使用公共 CA 颁发的证书进行客户端身份验证,则必须告诉 IAS/NPS/ISE/您的 RADIUS 服务器(无论您使用什么作为网络访问控制器 (NAC)),这是您信任的 CA,可用于客户端身份验证。但由于这是公共 CA,因此任何人都可以付费从其获得证书,并获得您的 NAC 信任的证书。

您必须添加一些额外的过滤器,以确保只有您的证书才有权访问您的网络,例如过滤证书中的主题。还请注意,您需要信任公共 CA,因为它可以随时颁发允许访问您网络的证书,这可能是一种风险,具体取决于您拥有的网络类型。

因此,在某些情况下,使用来自公共 CA 的证书进行 RADIUS 身份验证在技术上是可行的,但大多数情况下不建议这样做。

说到成本,希思的回答认为,如果你有基于云的环境,你可能会使用韓識人作为基于云的 PKI,它提供免费的社区版。免责声明:我是 SCEPman 开发人员之一。

相关内容