假设有一个环境使用通过 RADIUS 进行的 802.1x PEAP 身份验证。通常,这是为了对无线客户端进行身份验证。
在此环境中,有多个 RADIUS 服务器,客户端将由任何可用的服务器提供服务。
我已经看到了两种关于向客户端提供服务器证书的方法。
首先,在每个 RADIUS 服务器上配置相同的证书。CN 是通用的,例如“wireless.mycompany.com”
第二种情况是,每个服务器上的证书都不同,CN 是服务器的主机名,例如“server1.mycompany.com”
我的问题是:这两种解决方案都可以接受吗?每种方法的优缺点是什么?
编辑:特别感兴趣的是与客户漫游便利性相关的评论。
答案1
虽然这两种解决方案都可以,但我建议避免在多个主机之间共享证书。这与私钥管理有关。随着越来越多的实体了解密钥,安全性会降低。因为您无法确切知道哪个服务器泄露了密钥(因为它们共享同一个密钥)。
最佳实践规定,任何实体都不得知道任何特定的私钥。想想你的信用卡 PIN 码。你会把它告诉别人吗?
因此,最佳做法是为每个 RADIUS 服务器提供单独的证书。您可以在每个证书中分配唯一名称(例如,RADIUS 服务器的主机名),或在所有 RADIUS 证书中使用通用名称。RADIUS 证书命名没有最佳做法。