我们当前的 wifi 基础设施基于 Debian 盒子,该盒子托管带有 LDAP 后端的 Freeradius。目前我们有两个受 802.1x 保护的 SSID,一个公共网络和一个私有网络:根据 LDAP 属性,用户可以连接到第一个或第二个网络。
由于我们的 Freeradius 具有自签名证书,我们在使用 Windows 7 客户端时遇到了一些麻烦,需要安装服务器证书才能执行连接:这有点烦人,特别是对于公共网络,因为我们需要设置进入的每台电脑。
我想知道是否有办法(除了购买 freeradius 的商业证书,遗憾的是我读到 [http://wiki.freeradius.org/guide/Certificate-Compatibility] Windows 客户端不接受通配符证书,我们已经有了...)以使客户端更容易接受该证书:一种解决方法可能是通过强制门户登录?是否可以仅为公共网络设置强制门户?
答案1
请求者无法验证证书中的 CN,因此您可以向请求者出示任何证书(通配符证书除外),并且它可以起作用。
除了安装本地 CA 或获取由受信任的商业 CA 签名的证书之外,您别无选择。
就强制门户而言,无法在 WPA/2-Enterprise 网络上回退到强制门户。
您可以使用强制门户设置第三个未加密的 SSID 来帮助用户引导,提供无线网络配置和证书。
这是学术网络中的常见做法,例如Cloudpath xpressconnect, 或者eduroam 猫用于部署配置。
答案2
最终,我们将公共 WiFi 从 802.1x 移至未加密 + CoovaChilli 强制门户。身份验证仍然基于 Freeradius + LDAP,与私有网络共享,我们在 802.1x 上保持不变。
我们能够使用不同的身份验证方法保留单独的 WLAN,因为客户端被保留在两个单独的 VLAN 和 LAN 中,并且我们的接入点允许每个天线广播多个 SSID。
CoovaChilli 与 Windows 7/8 客户端配合得很好(无需证书请求,会弹出一个窗口告诉用户从浏览器登录),Android/iOS 设备可以识别强制门户并将用户重定向到登录网页。