问802.1x在windows客户端自动验证证书

EN

您需要分发RADIUS服务器的证书(如果是自签名的)或向客户端颁发证书颁发机构的证书。

现在，您正在告诉客户端(或802.1X-ese中的请求者)验证RADIUS服务器证书的信任路径。我不知道您是如何为您的RADIUS服务器生成您的公钥和私钥对的，但是一般来说，它要么是自签名的，要么是由证书颁发机构签名的。反过来，签名证书颁发机构的公钥将通过GPO、Active证书服务分发给客户端，或者由Microsoft将其包括在受信任的根证书颁发机构存储库中。

有谁知道避免这样做的方法吗？我们完全愿意购买一个证书，从Verisign.Thwarte等，如果它会有帮助，但已经尝试了我们的Comodo通配符SSL证书，但尚未修复它。

让外部根CA签名RADIUS服务器的证书并不是推荐的配置。

这是来自FreeRADIUS文档的，但我希望它对微软的实现同样有效：

通常，您应该使用自签名证书进行802.1x (EAP) 身份验证.当您列出来自其他组织的根CA( in ) "CA_file“时，您允许它们伪装成您的样子，为您的用户提供authenticate，并为EAP颁发客户端证书。

这些机器属于最终用户，因此我们无法轻松地使用组策略或注册表黑客来控制设置。

这是你的问题！使用GPO分发证书是非常容易的。为什么在你的情况下这不是一种选择？在此基础上，您可以使用自己的星型证书(由根CA签名)来签署RADIUS服务器的证书吗？

编辑:不幸的是，BYOD和WPA2-Enterprise并不是真正的一起设计的。你有三个选择：

1. 将客户端配置为不检查RADIUS服务器证书的信任路径(即取消选中“验证服务器证书”的复选框)。
2. 获取由“外部”CA签名的RADIUS服务器证书，该CA的签名证书分布在受信任的根证书颁发机构存储库中(如Verisign等)。
3. 设置某种作为客户请求者的圈养门户。

前两个选项的缺点是，它打开了您的802.1X方案，直到MiTM攻击。我可以构建自己的RADIUS服务器并拦截您的用户的AD凭据。不是一个理想的设置，但您的部门将需要做风险分析。如果您确实走了这条路线，请确保您为CYA目的编写文档。

从安全的角度来看，最好的选择是设置一个专用门户。学生可以使用他们的BYOD设备连接并到达门户，将他们的用户身份验证凭据传递给门户，然后门户可以与RADIUS服务器对话。

依德罗安是另一个流行的教育组织选择。

我刚刚部署了一个非常类似于上周的设置，为为期一周的露营地活动提供互联网接入。这是我使用的方法和一些经验教训：

首先，我使用多个SSID在WPA2-Enterprise上提供主网络，并为用户注册提供一个开放的网络。开放网络重定向到自定义捕获门户(使用HTTPS和CA颁发的普通证书)，用户在其中注册并提供支付信息。付款完成后，用户将在RADIUS数据库中启用，然后可以重新连接到WPA2-EnterpriseSSID以联机。

因为我有一个艰难的最后期限来启动和运行它，所以它只在安卓和iOS上进行了测试，两者都没有真正的问题。在生产过程中，我很快了解到Windows根本不喜欢它。

• Windows完全需要SP3来使用安全网络，因此我将本地副本作为一个直接下载在专用门户上保存。实际上，有一个用户带着XP SP2出现了，必须进行更新。
• Windows、Vista和7拒绝连接用户名和密码，但从未具体抱怨服务器证书。我发现这是第一个注册的Windows用户反复尝试的原因。实际上，一旦发现问题，手动设置网络配置文件是非常简单的。
• Windows 8、iOS和GNOME/Ubuntu版本的NetworkManager提示有关RADIUS服务器证书，但允许用户接受证书并进行连接。
• 在没有手动配置的情况下，KDE版本的NetworkManager从未尝试连接，并且它选择的默认值是错误的。幸运的是，只有一个用户出现了这个特定的配置。
• 没有人要求支持Mac。后来我了解到Mac客户端没有问题。

为了避免所有这些麻烦，在下一次迭代(即明年)中，我计划提供直接从专用门户安装服务器证书的服务，这样用户(大多数是Windows用户)就不会有登录到安全网络的问题。

我知道这篇文章很老，不过，这和我的问题很相似，除了上周，任何客户端都可以连接到我的无线网络，而本周他们不能。我有一个阿鲁巴EOL 3200和8个接入点。windows/android/iphone客户端能够与802.1x连接，验证基于阿鲁巴的一个用户名的本地数据库。这周当我进来的时候，我注意到我的手机无法连接到无线。然后我的Windows 10笔记本电脑无法连接(两者以前都连接过)。只有尚未与网络断开连接的客户端才能访问它。这只发生在802.1xSSID(人员)，而不是PSK ssid (针对客人)。然后，我验证了windows计算机连接到此的唯一方法是取消选中“通过验证证书验证服务器标识”选项，同时手动添加配置文件。Android设备仍然无法连接。