Quando si impostano i client con EPA-TLS WPA2, la maggior parte dei client (ad esempio: il mio telefono, il mio computer) richiede sia una coppia di chiavi pubblica / privata client (per ovvi motivi) sia un certificato dell'autorità di certificazione.
È questo secondo parametro per il quale non sono sicuro dell'uso. La mia attuale configurazione è la seguente:
.
└── root-ca
├── wifi-client-ca
│ └── client1-client-cert
└── wifi-server-cert
Ho una singola CA radice autofirmata ( root-ca
) che si dirama in basso. Il mio server RADIUS utilizza wifi-server-cert
come certificato SSL e utilizza l'autorità di certificazione wifi-client-ca
per la convalida dei certificati client.
Uso i certificati di catena nella distribuzione ovunque, sia per i componenti dei certificati client che server.
Non ho avuto problemi a connettermi usando client1-client-cert
e wifi-client-ca
sulle mie macchine Ubuntu, ma non sono stato in grado di connettermi su Android usando questi stessi certificati. Sto pensando che il problema sta nel fatto che Android non sta scalando correttamente la catena di certificati.
Questo si divide in due domande simili:
- Perché è richiesto un certificato CA per i client EAP-TLS / che cosa fa?
- Quale certificato CA dovrebbe essere usato sui miei clienti, il certificato
root-ca
(che firma direttamente ilwifi-server-cert
) o ilwifi-client-ca
?