我正在校园内设置一个新的 FreeRADIUS 服务器,从 v1 升级到 v3(设置原始服务器时我不在场)。一切似乎运行正常,但我不明白使用 Windows 7 时证书部分如何工作。
我们的域有一个通配符 SSL 证书。我可以将同一个证书用于我们的 RADIUS 服务器,从而省去将 CA 证书导入每个客户端的麻烦吗?
如果是的话,我该怎么做?
感谢您的帮助。
答案1
不。您仍然需要 CA 证书存在于每台请求方机器上,并受到每台请求方的信任。
即使您提供由预先安装的 CA 签名的证书,大多数请求者也会要求用户在接受证书之前明确信任该 CA。
据我所知,802.1X、802.11i 和非 EAP 标准都指定了向请求者颁发的证书的 CN 与网络的 SSID 之间的关系,因此 CN 可以是任何您想要的内容,但需要注意的是,一些 Windows 请求者不接受通配符证书(显然,我从未亲自验证过这一点)。
同一集群中的多个 RADIUS 服务器可能会提供相同的证书,但是如果您使用前端负载平衡器,则必须确保 EAP 对话中的所有数据包都发送到后端服务器。由于许多用户可能会配置匿名外部身份,因此最好使用 RADIUS 数据包中的 Calling-Station-ID 属性来完成此操作。
为了增加安全性,如果您使用的是预安装的公共根 CA,最好将请求者配置为验证证书中的 CN 是否与预设值匹配。这可以防止使用由同一公共根 CA 签名的其他证书进行欺骗攻击。
但是,由于可能存在请求者配置错误的情况,最佳做法是避免使用公共根 CA,而是使用自己的 CA,在可导入的网络配置文件中将其分发给网络用户,并在此配置文件中启用 CN 验证。
有多种工具可以为不同的平台/请求者生成这些配置文件。如果你打算部署 eduroam,你可能需要查看艾杜罗姆CAT。
还有Cloudpath 的 xpressconnect这是一个可分解的安装程序,除了安装配置文件之外,还可以充当临时 NAC 代理,验证补丁级别和驱动程序版本。