我最近问了一个问题设置 WPA2 企业,我有几个辅助问题。首先,关于使用 OpenSSL cnf 文件生成证书。我在 中有许多这样的文件/etc/raddb/certs,它们是我在 Gentoo 机器上安装 freeradius 的一部分。我有ca.cnf;server.cnf和client.cnf。我的问题如下:
- 如果我想为 WPA2 企业版设置无用户名/密码提示的设置(我希望用户文件使用证书)——我可以按照我在“Windows XP 客户端”的步骤 1 中执行的相同步骤执行此操作吗?freeradius 操作指南?我将添加上述问题的答案中提到的 eap.conf 配置。请注意,这是我在基于 Mac OS X 的系统中遇到的问题。我的 Windows XP/SP3 笔记本电脑似乎没有这个问题,因为我在其中添加了 ca.der 文件(双击安装)和 client.p12 文件(请参阅freeradius 操作指南,在步骤 1“Windows XP 客户端”下)。
- 如何将特定密钥导入到 iPhone 和其他个人设备(如 iPad、Android 平板电脑等)?
答案1
在仔细研究了openssl.cnf家里各种 iPhone 和 iPod 的手册页和配置后,我终于找到了我提出的问题的答案。
我的解决方案实现了以下目标:(a) 通过 WPA2-enterprise 使用 EAP-TLS 以安全方式进行无用户名/无密码登录,以及 (b)(安全性可能稍微强一点)通过 WPA2-enterprise 以安全方式进行无密码但需要用户名的登录。选项 (b) 实际上是check_cert_cn在eap.conf文件中取消注释,并要求发送用户名(有许多name属性,请小心一点)。潜在的黑客可能拥有您的证书,但她可能没有您的用户名,但对于知道如何绕过证书和 WPA2 enterprise 的黑客来说,这并不是一种安全措施。
概括地说,该过程是,您将为要client.cnf添加到网络中的每个客户端更改文件,并使用 重新生成密钥make client.pem,这将生成client.p12您应该下载到客户端计算机上的文件 - 这意味着每个客户端都有自己的加密密钥,这意味着网络中的一个客户端不能通过混杂模式监视另一个客户端的数据包。如果您在创建 s client.pem:make client.pem炸弹期间因任何原因遇到任何问题,请特别注意和serial,serial.old和index.txt和index.txt.old:特别是mv serial.old serial和mv index.txt.old index.txt,并make client.pem在问题解决后重做(例如,cnf由于拼写错误导致文件不正确 - 很可能是因为文件中的密码有时不允许使用特殊字符client.cnf- 我很感谢任何阅读本文的人向我指出有关在文件中使用特殊字符的资源*.cnf)。
现在来看看细节:Windows 机器需要不同的程序:对于每个 Windows XP 客户端,您需要使用 文件中提到的技术README。/etc/raddb/certs/接下来,您应该按照 FreeRadius 中的“步骤 1:创建证书:在 Windows XP 客户端上”中的步骤进行操作如何, 和使用 FreeRadius 网站中相同操作指南的第 4 步进行连接。
对于所有机器,在为每个客户端执行上述操作之前,您应该更改client.cnf每个客户端的用户名和密码文件。我的cnf文件更改实际上只触及了要更改的文件[ req ]部分,。请注意,以下部分应描述客户端的名称,并将其描述为属性的值。例如,如果您在部分中有,则以下部分将以 [ 开头。在这里,您将相应地配置属性(对于网络中的大多数客户端来说都是相同的,除了,它将针对每个客户端而变化)。client.cnfdistinguished_nameinput_password and output_passworddistinguished_namedistinguished_name = beeblebrox[ req ]beeblebrox ]emailAddress
在此过程结束时,您已*.p12为每个客户端生成数字配置文件/个人信息交换文件。此文件包含客户端将用于网络通信的私钥。现在您必须将这些数字配置文件安装到客户端上。
Windows 计算机将按照上述步骤安装证书并连接到 WPA2 企业网络。所有其他计算机都需要*.p12为其创建的文件(按客户端命名会比较方便:、、、xp1.p12等)才能连接到 RADIUS 服务器。如何将文件下载到计算机上xp2.p12ios1.p12ios2.p12macosx1.p12*.p12安全地? 对于笔记本电脑,这个问题可以通过使用可移动媒体轻松解决,或者如果您通过以太网连接到主机网络,则可以通过 scp 文件的方法来解决问题。对于 iPhone 和其他设备,这有点棘手。我不确定使用不安全的电子邮件是否可行,因为*.p12文件包含私钥供客户使用。也许你对电子邮件进行了数字加密,所以没问题。但我通过将文件*.p12本地托管在网络服务器上并将其下载到 IOS 设备上来解决这个问题。
在 MAC 上,您可以按照这里但请确保*.p12在执行此操作之前将文件添加到 MAC 上的钥匙串中(请参阅这里)。WPA2 企业配置中的 802.1x 身份验证(您可能必须TLS在配置中明确检查)。
在 IOS 设备上,首先下载文件*.p12,该文件将允许您将此证书添加为配置文件(下载文件*.p12会自动启动该过程)。然后,转到设置->WiFi->添加您的 WPA2 企业网络,并指定 SSID,然后将模式更改为EAP-TLS。完成后,Identity将出现选项,单击时,将提供*.p12配置文件选项。选中该选项,然后返回屏幕。根据您是否选择了完全无用户名/无密码登录企业系统或无密码登录,您可能必须输入用于client.cnf生成*.p12文件的相应文件中的用户名。单击加入后,您就可以加入了!
我将非常感激有人能够添加通过 Linux 进行无线访问的插件。
一旦我可以更多地谈论我需要重新登录的次数等,我就会插话——我可能在我的 IOS 设备上看到过这个问题,但我必须再次检查。