Pra*_*eek 0 wireless-networking certificate wpa2 radius
我正在尝试为 WPA2 企业身份验证设置 RADIUS 服务器。我对这一切都很陌生。据我所知,服务器有一个“服务器证书”,我认为它扮演的角色与 HTTPS 和 SSH 服务器证书的角色类似。是否存在“客户端证书”的概念?这是一个有意义的概念吗?如果是的话,它们是如何使用的以及它们的用途是什么?
简短版本
\n是的,有“客户端证书”或“用户证书”的概念。它们实际上也存在于 TLS(TLS 是 SSL 的现代继承者,HTTPS 的安全方案)世界中,但它们在那里并不常用。
EAP-TLS 是 WPA2 Enterprise/802.1X/EAP/RADIUS 领域内的身份验证方法,它使用证书进行双向身份验证。它是打包为 EAP 身份验证方法的 TLS 身份验证部分。
\n\n由于为每个用户或每台客户端计算机配置和管理证书非常困难,因此大多数组织不使用用户证书进行身份验证。但请注意,“智能卡”身份验证实际上在幕后使用用户证书。因此,如果您的组织已向所有人发放智能卡,那么 EAP-TLS 适合您。这就是为什么选择 EAP-TLS 的 Windows UI(在 Windows Wi-Fi 客户端 UI 中)将其称为“智能卡或其他证书”。
\n\n某些站点使用 TLS 客户端证书作为“计算机”/“设备”/“系统”证书,以便计算机无需用户交互即可进入网络。如果您希望计算机即使在没有用户登录时也保持在无线网络上以进行远程管理和备份,这非常有用。
\n\n长版本
\n如果您了解 HTTPS,那么您就会知道它意味着 SSL 或 TLS,并且您可能知道 TLS 是 SSL 的现代继承者。您可能已经了解 TLS 如何使用 X.509 服务器证书来允许客户端浏览器对服务器进行身份验证,但您是否知道 TLS 可以双向使用证书?是的,您可以向您的用户颁发 X.509 证书,并让他们将其安装在客户端计算机上(或浏览器中),然后您的 Web 服务器可以通过证书而不是密码对您的用户进行身份验证。
如果您曾经使用过“智能卡”身份验证,那么您实际上已经在幕后使用了 X.509 用户证书,而没有意识到这一点。智能卡允许用户证书\xe2\x80\x94(尤其是与证书\xe2\x80\x94 中的公钥匹配的私钥)安全地存储在卡内。
\n\n现在我们来谈谈 WPA2-Enterprise。WPA2-Enterprise 使用一种称为“局域网 (LAN) 上的可扩展身份验证协议 (EAP)”或“EAPoL”的技术。EAPoL 在 IEEE 802.1X 中标准化,并与 IEEE 802.11i 中的其他安全修复和更新一起应用于 IEEE 802.11。然后Wi-Fi联盟创建了一个基于802.11i的认证和徽标许可计划,并将其称为“WPA2”,当您使用WPA2的可选802.1X部分时,它被称为WPA2-Enterprise。
\n\nEAP 预先存在 EAPoL。EAP是一种源自PPP拨号时代的技术,当时PPP中内置的认证方法比较弱且难以修改,因此业界提出了一种针对PPP的可插拔认证方案,并将其称为EAP 。RADIUS 已被用作在中央服务器上保存 PPP 凭据的一种方式,因此 RADIUS 服务器构成了 EAP 的“验证器”(服务器)端。顺便说一句,由于许多 VPN 技术在加密隧道内使用 PPP,因此 EAP 在 VPN 领域也很常见。
\n\n因此,当您将 WPA2 Enterprise 连接到 RADIUS 时,实际上是将 802.1X (EAPOL) 连接到 RADIUS,并在 Wi-Fi 客户端和 RADIUS 服务器之间执行 EAP 传输的身份验证。
\n\n由于 EAP 是可扩展的(可插入的),因此您可以将多种身份验证方法(EAP 方法)插入到 EAP 中。例如,如果您喜欢 TLS 的身份验证部分,则可以使用 EAP 中的那些部分,这称为 EAP-TLS。或者您可以使用称为“受保护的 EAP”(PEAP) 的 EAP 方法,它实际上是“EAP-within-EAP”。作为PEAP中的内部EAP方法,很多人选择使用EAP-MSCHAPv2或EAP-GTC,但也有人在内部使用EAP-TLS。
\n\n许多公司(尤其是 Microsoft 和 Cisco)都尝试让用户或机器证书更容易地获取到用户的设备上,因此有多种方法可以设置 Windows Server 环境或 Cisco 网络环境,以便网络尝试当用户首次连接到网络时,将证书推送到用户的计算机上。其中一项成果称为 SCEP,即“简单证书注册协议”。
\n\n一些网站希望有办法让笔记本电脑在没有用户登录的情况下通过 Wi-Fi 网络进行安全验证(出于系统管理、无人值守的夜间备份等目的)。由于没有用户登录,因此系统无法访问用户的证书(或至少是他们的私钥)。因此,Windows 机器、Mac、大多数智能手机和其他设备都有方法在机器上安装“机器/设备/系统”证书,以便机器使用自己的证书(而不是任何用户的证书)来进行身份验证一些网站甚至在用户登录时使用机器证书来验证网络上的机器,因为他们不想打扰用户登录 Wi-Fi网络本身。
\n