Я пытаюсь настроить сервер RADIUS для аутентификации WPA2 на предприятии. Я новичок во всем этом. Я понимаю, что сервер имеет "сертификат сервера", который, как я полагаю, играет роль, аналогичную той, которую играют сертификаты сервера HTTPS и SSH. Существует ли понятие "клиентские сертификаты"? Это значимое понятие здесь? Если да, то как они используются и какой цели они служат?
1 ответ
Короткая версия
Да, есть понятие "клиентские сертификаты" или "пользовательские сертификаты". На самом деле они существуют в мире TLS (TLS - современный преемник SSL, схема безопасности для HTTPS), но там они не используются.
EAP-TLS - это метод аутентификации в мире WPA2 Enterprise/802.1X/EAP/RADIUS, который использует сертификаты для аутентификации в обоих направлениях. Это части аутентификации TLS, упакованные как метод аутентификации EAP.
Из-за сложности предоставления и управления сертификатами для каждого пользователя или каждого клиентского компьютера большинство организаций не используют пользовательские сертификаты для проверки подлинности. Но обратите внимание, что аутентификация "Smart Card" фактически использует пользовательские сертификаты за кулисами. Так что если ваша организация уже выдает смарт-карты всем, EAP-TLS для вас. Вот почему интерфейс Windows для выбора EAP-TLS (в пользовательском интерфейсе клиента Wi-Fi Windows) называет его «Смарт-карта или другой сертификат».
Некоторые сайты используют клиентские сертификаты TLS в качестве сертификатов "машина"/"устройство"/"система", чтобы машина могла подключиться к сети без вмешательства пользователя. Это полезно, если вы хотите, чтобы аппарат оставался в беспроводной сети для удаленного управления и резервного копирования, даже если ни один пользователь не вошел в систему.
Длинная версия
Если вы знаете о HTTPS, то знаете, что это подразумевает SSL или TLS, и вы, вероятно, знаете, что TLS является современным преемником SSL. Вы, наверное, уже знаете о том, как TLS использует сертификаты сервера X.509, чтобы позволить клиентскому браузеру аутентифицировать сервер, но знаете ли вы, что TLS может использовать сертификаты в обоих направлениях? Да, вы можете выдать сертификаты X.509 своим пользователям и попросить их установить их на своих клиентских компьютерах (или в своих браузерах), и тогда ваш веб-сервер сможет аутентифицировать ваших пользователей с помощью сертификата вместо пароля.
Если вы когда-либо использовали аутентификацию "Smart Card", вы фактически использовали пользовательские сертификаты X.509 за кулисами, не осознавая этого. С помощью смарт-карт пользовательские сертификаты, особенно закрытые ключи, которые сочетаются с открытыми ключами в сертификатах, можно безопасно хранить на карте.
Итак, теперь давайте поговорим о WPA2-Enterprise. WPA2-Enterprise использует технологию, называемую «Расширяемый протокол аутентификации (EAP) по локальным сетям (LAN)» или "EAPoL". EAPoL был стандартизирован в IEEE 802.1X и применен к IEEE 802.11 вместе с другими исправлениями и обновлениями безопасности в IEEE 802.11i. Затем Wi-Fi Alliance создал программу сертификации и лицензирования логотипов на основе 802.11i и назвал ее "WPA2", а при использовании дополнительных частей WPA2 802.1X она называется WPA2-Enterprise.
EAP ранее существовал EAPoL. EAP - это технология, появившаяся во времена коммутируемого доступа PPP, когда встроенные в PPP методы аутентификации были слабыми и трудно поддающимися модификации, поэтому в отрасли была разработана своего рода подключаемая схема аутентификации для PPP, которая называется EAP , RADIUS уже использовался как способ хранения учетных данных PPP на центральном сервере, поэтому RADIUS-серверы формировали сторону "аутентификатора" (сервера) EAP. Кстати, поскольку многие технологии VPN используют PPP в зашифрованном туннеле, EAP также широко распространен в мире VPN.
Поэтому, когда вы подключаете WPA2 Enterprise к RADIUS, вы действительно подключаете 802.1X (EAPOL) к RADIUS и выполняете EAP-аутентификацию между клиентом Wi-Fi и сервером RADIUS.
Поскольку EAP является расширяемым (подключаемым), существует множество методов аутентификации (EAP), которые можно подключить к EAP. Например, если вам нравятся части аутентификации TLS, вы можете использовать их в EAP, и это называется EAP-TLS. Или вы можете использовать метод EAP под названием "Защищенный EAP" (PEAP), который на самом деле является «EAP-inside-EAP». В качестве внутреннего метода EAP в PEAP многие люди предпочитают использовать EAP-MSCHAPv2 или EAP-GTC, но некоторые люди используют EAP-TLS внутри.
Многие компании, особенно Microsoft и Cisco, пытались упростить получение сертификатов пользователей или компьютеров на устройства пользователей, поэтому есть способы настроить среду Windows Server или сетевую среду Cisco таким образом, чтобы сеть пыталась протолкнуть сертификаты на компьютеры ваших пользователей при первом подключении к сети. Одно из таких действий называется SCEP, "Простой протокол регистрации сертификатов".
Некоторым сайтам нравится иметь способы для безопасной аутентификации ноутбука в сети Wi-Fi, даже когда ни один пользователь не вошел в систему (для управления системой, автоматического резервного копирования в течение ночи и т.д.). Поскольку ни один пользователь не вошел в систему, сертификаты пользователей (или, по крайней мере, их личные ключи) не доступны для системы. Таким образом, на машинах Windows, Mac, большинстве смартфонов и других устройствах есть способы установить на машину сертификат «машина / устройство / система», чтобы машина использовала свой собственный сертификат (а не какие-либо из сертификатов своих пользователей) для аутентификации на компьютере. сеть, когда ни один пользователь не вошел в систему. Некоторые сайты даже использовать машинные сертификаты для аутентификации машины к сети , даже если пользователь вошел в систему , потому что они не хотят беспокоить своих пользователей с того , чтобы войти в сеть Wi-Fi себя.