Сколько пользовательских / запрашивающих сертификатов требуется для предприятия WPA2 в небольшой сети?

Question

Сколько пользовательских / запрашивающих сертификатов требуется для предприятия WPA2 в небольшой сети?

Я использую WPA2 для беспроводного доступа и следовал инструкциям в /etc/raddb/certs/README а также с сайта freeRadius. Я также прочитал инструкции на сайте PrivacyWonk.

Вопрос заключается в том, что инструкции FreeRadius и сайт, по-видимому, предлагают использовать только один (самозаверяющий) сертификат для всех соискателей, тогда как веб-сайт privacywonk предлагает использовать отдельные сертификаты для каждого соискателя.

Есть ли преимущество одного против другого?

Одно преимущество, которое я могу придумать, - это возможность отозвать определенную учетную запись пользователя (что вы можете сделать, когда у вас есть несколько сертификатов, по одному для каждого соискателя). Любые другие?

Кроме того, как вы связываете специально созданный сертификат для конкретного пользователя в users файл?

4

certificate freeradius wpa2

Источник

Sonny 24 июл '12 в 02:24

1 ответ

Решение

Другие вопросы по тегам certificate freeradius wpa2

mgorven 24 июл '12 в 06:11 2012-07-24 06:11 · Accepted Answer · 2012-07-24 06:11

Совместное использование сертификатов в основном такое же, как совместное использование паролей Если один сертификат скомпрометирован, вы должны пойти и перенастроить все клиенты, чтобы изменить сертификат, тогда как, если у вас есть сертификат для каждого клиента, вы можете просто отозвать скомпрометированный сертификат. Кроме того, общий сертификат может означать, что клиенты могут расшифровывать трафик, отправляемый другим клиентам и от них, тогда как отдельные сертификаты означают, что клиенты могут дешифровать только свой собственный трафик. Если вы собираетесь настроить WPA2 с сертификатами, я предлагаю вам сделать это правильно и сгенерировать сертификаты для каждого клиента.

Я предполагаю, что вы используете EAP-TLS здесь, в этом случае вы специально не настраиваете пользователей в users файл. Тот факт, что у клиента есть сертификат и ключ, подписанный ЦС (т.е. CA_file параметр), а не в CRL означает, что он имеет доступ.

С EAP-TLS пользователь предоставляет имя пользователя, сертификат и закрытый ключ (возможно, защищенный паролем). Обратите внимание, что нет пароля, с помощью которого можно аутентифицировать имя пользователя (т.е. пользователи могут вводить любое имя пользователя, которое они хотят). Если вы хотите использовать имя пользователя для принятия политических решений, вам необходимо проверить правильность имени пользователя, которое он указал. Я думаю, что это делается путем установки имени пользователя, которое вы хотите использовать в качестве общего имени в сертификате при его создании, и включения check_cert_cn параметр. Это приведет к тому, что сервер отклонит запрос, если общее имя в сертификате, предоставленном пользователем, не совпадает с предоставленным им именем пользователя. Затем вы можете добавить записи в users сопоставление файлов User-Name определить вашу политику.