![对于 802.1x PEAP RADIUS 身份验证,每个服务器是否使用不同的证书?](https://linux22.com/image/666301/%E5%AF%B9%E4%BA%8E%20802.1x%20PEAP%20RADIUS%20%E8%BA%AB%E4%BB%BD%E9%AA%8C%E8%AF%81%EF%BC%8C%E6%AF%8F%E4%B8%AA%E6%9C%8D%E5%8A%A1%E5%99%A8%E6%98%AF%E5%90%A6%E4%BD%BF%E7%94%A8%E4%B8%8D%E5%90%8C%E7%9A%84%E8%AF%81%E4%B9%A6%EF%BC%9F.png)
假设有一个环境使用通过 RADIUS 进行的 802.1x PEAP 身份验证。通常,这是为了对无线客户端进行身份验证。
在此环境中,有多个 RADIUS 服务器,客户端将由任何可用的服务器提供服务。
我已经看到了两种关于向客户端提供服务器证书的方法。
首先,在每个 RADIUS 服务器上配置相同的证书。CN 是通用的,例如“wireless.mycompany.com”
第二种情况是,每个服务器上的证书都不同,CN 是服务器的主机名,例如“server1.mycompany.com”
我的问题是:这两种解决方案都可以接受吗?每种方法的优缺点是什么?
编辑:特别感兴趣的是与客户漫游便利性相关的评论。
答案1
虽然这两种解决方案都可以,但我建议避免在多个主机之间共享证书。这与私钥管理有关。随着越来越多的实体了解密钥,安全性会降低。因为您无法确切知道哪个服务器泄露了密钥(因为它们共享同一个密钥)。
最佳实践规定,任何实体都不得知道任何特定的私钥。想想你的信用卡 PIN 码。你会把它告诉别人吗?
因此,最佳做法是为每个 RADIUS 服务器提供单独的证书。您可以在每个证书中分配唯一名称(例如,RADIUS 服务器的主机名),或在所有 RADIUS 证书中使用通用名称。RADIUS 证书命名没有最佳做法。