Ho bisogno sia di un certificato CA che di un certificato server su un server Radius

1

L'OP in questo thread: Perché è un certificato CA richiesto per i client EAP-TLS?

ha dichiarato: "Il mio server RADIUS utilizza wifi-server-cert come certificato SSL e utilizza l'autorità di certificazione wifi-client-ca per la convalida dei certificati client."

Qualcuno può dirmi:

! / È necessario (o vantaggioso) utilizzare sia un certificato server che un certificato CA su un server Radius. (o ho i fili incrociati!)

2 / E se sì, come è organizzato?

Al momento sto provando a configurare un iPad per la connessione tramite WPA 2 Enterprise EAP-TLS.

Uso un'unità di archiviazione collegata alla rete Qnap che dispone di un'opzione per il server radius. Accetterà un certificato e una chiave, oltre a un certificato intermedio, il tutto in formato ASCII.

Sto usando Openssl tramite XCA gui per creare certificati autofirmati.

Finora l'unico modo che posso trovare per farlo funzionare è avere una CA root sul Radius Server. Certificato e chiave client (p.12 concatenato) più certificato CA root (.cer) nel profilo Apple ios per iPad.

3 / Quindi è anche un rischio per la sicurezza usare la CA radice sul Radius Server?

    
posta Mark Owen 10.10.2016 - 18:04
fonte

1 risposta

1

Il certificato CA viene utilizzato solo per stabilire un'autorità di certificazione reciprocamente attendibile sia per il client che per il server. Ciò consente a ciascuno di sapere che l'altro non è un imitatore malizioso.

  1. Il server RADIUS necessita di un certificato CA per poter verificare che tutti i client di connessione siano considerati attendibili dalla CA. Avrà anche un certificato separato e una chiave privata che utilizzerà durante la comunicazione.
  2. Questo viene fatto posizionando il certificato CA e il certificato del server sul server. Il cliente presenterà un certificato firmato dalla CA. (Direttamente o tramite CA intermedie). Il server controllerà la firma per verificare che sia corretta e accetta la connessione.

  3. Lasciare semplicemente il certificato radice in giro non è un rischio per la sicurezza. È una chiave pubblica, destinata a essere mostrata a parti esterne in modo che possano verificare se una firma CA è autentica. Tuttavia, l'utilizzo del certificato di origine per le comunicazioni richiede che sia disponibile la chiave privata. Questa chiave è molto sensibile alla sicurezza e non dovrebbe essere facilmente accessibile. Usarlo per un radius server è un grosso rischio per la sicurezza.

risposta data 10.10.2016 - 22:03
fonte

Leggi altre domande sui tag