/etc/raddb/certs/README
我正在运行 WPA2 企业版无线接入,并按照和中的说明进行操作freeRadius 网站指南。我还阅读了privacywonk 网站。
问题是,FreeRadius 说明和网站似乎建议所有请求者仅使用一个(自签名)证书,而 privacywonk 网站建议每个请求者使用单独的证书。
相对于另一个来说,哪一个更有优势?
我能想到的一个优点是能够撤销特定用户帐户(当您拥有多个证书时可以执行此操作,每个请求者一个)。还有其他吗?
另外,如何将专门创建的证书与文件中的特定用户绑定users
?
答案1
共享证书与共享密码基本相同。如果一个证书被盗用,您必须重新配置所有客户端才能更改证书,而如果每个客户端都有一个证书,则只需撤销被盗用的证书即可。此外,共享证书可能意味着客户端可以解密发送到其他客户端的流量,而单独的证书意味着客户端只能解密自己的流量。如果您要努力使用证书设置 WPA2,我建议您正确执行并为每个客户端生成证书。
我假设您在这里使用 EAP-TLS,在这种情况下您不需要在文件中专门配置用户users
。客户端拥有由 CA 签名的证书和密钥(即参数CA_file
)并且不在 CRL 中,这意味着它具有访问权限。
使用 EAP-TLS,用户提供用户名、证书和私钥(可能受密码保护)。请注意,没有可用于验证用户名的密码(即用户可以输入他们想要的任何用户名)。如果您想使用用户名来制定策略决策,则需要验证用户提供的用户名是否正确。我认为这可以通过在生成证书时设置要用作证书中的通用名称的用户名并启用该参数来完成。check_cert_cn
如果用户提供的证书中的通用名称与他们提供的用户名不匹配,这将导致服务器拒绝请求。然后,您可以向文件中添加users
匹配条目User-Name
以定义您的策略。