802.1X 先有鸡还是先有蛋?

802.1X 先有鸡还是先有蛋?

我正在阅读有关 802.1X 和 WPA-2 Enterprise 及其设置方法的资料。我简要阅读了有关不同 EAP 的资料,并了解到 EAP-TLS 是更好的身份验证方法,因为它使用了客户端和服务器证书。

然而,我非常困惑,新设备如何在不接入需要获取证书的网络的情况下获取客户端证书?

我在 Windows 服务器上设置了一个 RADIUS 服务器,但是我知道未加入域的设备无法使用它?但是,如果您无法实际连接到网络,当然就无法将新域加入网络!

真的很困惑,尽管我当然可能误解了一些事情。

答案1

您的理解是正确的:如果您连接网络的唯一方式需要证书,那么如果您没有证书,您就无法连接。只有安装了正确的客户端证书后,您的设备才能够连接到您的无线网络。

具体解决方案取决于设备和操作系统:

  • 如果您还有有线网络,则可以将计算机连接到该网络并使用它来获取证书;如果您使用的是 Windows,则可以通过将计算机加入到您的域并让它们使用组策略自动注册客户端证书来实现自动化。
  • 您可以使用另一种身份验证方法(不涉及客户端证书)设置不同的无线网络,仅用于证书注册和/或域加入。
  • 在计算机上,您也可以在没有任何网络的情况下安装证书(例如通过使用 USB 记忆棒复制)。
  • 对于手机/平板电脑,您可以使用众多可用的移动设备管理 (MDM) 解决方案之一来自动提供证书;如果您没有,请参阅第二点。

相关内容