Was bedeutet ein "Client-Zertifikat" im Zusammenhang mit der Verwendung von RADIUS für WPA2 Enterprise?

2447
Prateek

Ich versuche, einen RADIUS-Server für die WPA2-Unternehmensauthentifizierung einzurichten. Ich bin neu bei all dem. Ich verstehe, dass der Server ein "Serverzertifikat" hat, von dem ich annehme, dass es eine ähnliche Rolle spielt wie die HTTPS- und SSH-Serverzertifikate. Gibt es ein Konzept von "Client-Zertifikaten"? Ist das hier ein sinnvoller Begriff? Wenn ja, wie werden sie verwendet und welchem ​​Zweck dienen sie?

0

1 Antwort auf die Frage

2
Spiff

Die Kurzversion
Ja, es gibt ein Konzept von "Client-Zertifikaten" oder "Benutzerzertifikaten". Sie existieren tatsächlich in der TLS-Welt (TLS ist der moderne Nachfolger von SSL, dem Sicherheitsschema für HTTPS), aber sie werden dort nicht allgemein verwendet.

EAP-TLS ist die Authentifizierungsmethode innerhalb der WPA2 Enterprise / 802.1X / EAP / RADIUS-Welt, die Zertifikate für die Authentifizierung in beide Richtungen verwendet. Es handelt sich um die Authentifizierungsteile von TLS, die als EAP-Authentifizierungsmethode gepackt sind.

Aufgrund der Schwierigkeit, Zertifikate für jeden Benutzer oder jeden Client-Computer bereitzustellen und zu verwalten, verwenden die meisten Organisationen keine Benutzerzertifikate für die Authentifizierung. Beachten Sie jedoch, dass die "Smart Card" -Authentifizierung Benutzerzertifikate im Hintergrund verwendet. Wenn Ihre Organisation bereits Smart Cards an alle ausstellt, ist EAP-TLS genau das Richtige für Sie. Aus diesem Grund nennt die Windows-Benutzeroberfläche für die Auswahl von EAP-TLS (in der Windows-Wi-Fi-Client-Benutzeroberfläche) "Smart Card oder anderes Zertifikat".

Einige Standorte verwenden TLS-Clientzertifikate als "Computer" / "Gerät" / "System" -Zertifikate, sodass ein Computer ohne Benutzerinteraktion auf das Netzwerk zugreifen kann. Dies ist nützlich, wenn Sie möchten, dass das Gerät für die Fernverwaltung und für Sicherungen im drahtlosen Netzwerk verbleibt, auch wenn kein Benutzer angemeldet ist.

Die lange Version
Wenn Sie sich mit HTTPS auskennen, dann wissen Sie, dass dies SSL oder TLS beinhaltet, und Sie wissen wahrscheinlich, dass TLS der moderne Nachfolger von SSL ist. Sie wissen wahrscheinlich bereits, wie TLS X.509-Server-Zertifikate verwendet, um einem Client-Browser die Authentifizierung eines Servers zu ermöglichen, aber wussten Sie, dass TLS Zertifikate in beide Richtungen verwenden kann? Ja, Sie können Ihren Benutzern X.509-Zertifikate ausstellen und sie auf ihren Client-Computern (oder in ihren Browsern) installieren lassen. Anschließend kann Ihr Webserver Ihre Benutzer über ein Zertifikat anstelle eines Kennworts authentifizieren.

Wenn Sie jemals die "Smart Card" -Authentifizierung verwendet haben, haben Sie tatsächlich X.509-Benutzerzertifikate im Hintergrund verwendet, ohne es zu merken. Mit Smart Cards können Benutzer-Zertifikate - insbesondere die privaten Schlüssel, die mit den öffentlichen Schlüsseln in den Zertifikaten gepaart werden - sicher auf der Karte gespeichert werden.

Sprechen wir jetzt über WPA2-Enterprise. WPA2-Enterprise verwendet eine Technologie namens "Extensible Authentication Protocol (EAP) über lokale Netzwerke (LANs)" oder "EAPoL". EAPoL wurde in IEEE 802.1X standardisiert und zusammen mit anderen Sicherheitsupdates und Updates in IEEE 802.11i auf IEEE 802.11 angewendet. Anschließend erstellte die Wi-Fi Alliance ein Zertifizierungs- und Logo-Lizenzprogramm auf der Basis von 802.11i und nannte es "WPA2". Wenn Sie die optionalen 802.1X-Komponenten von WPA2 verwenden, wird dies als WPA2-Enterprise bezeichnet.

EAP vorbestehende EAPoL. EAP war eine Technologie, die aus den PPP-Einwahltagen stammte, als die eingebauten Authentifizierungsmethoden in PPP schwach und schwer zu modifizieren waren. Daher entwickelte die Industrie eine Art steckbares Authentifizierungsschema für PPP und nannte es EAP . RADIUS wurde bereits verwendet, um PPP-Anmeldeinformationen auf einem zentralen Server zu speichern. Daher bildeten RADIUS-Server die Authentifizierungsseite (Server) von EAP. Da viele VPN-Technologien PPP in einem verschlüsselten Tunnel verwenden, ist EAP übrigens auch in der VPN-Welt üblich.

Wenn Sie also WPA2 Enterprise mit RADIUS verbinden, verbinden Sie wirklich 802.1X (EAPOL) mit RADIUS und führen eine EAP-transportierte Authentifizierung zwischen dem Wi-Fi-Client und dem RADIUS-Server durch.

Da EAP erweiterbar (steckbar) ist, gibt es viele Authentifizierungsmethoden (EAP-Methoden), die Sie in EAP einbinden können. Wenn Sie zum Beispiel die Authentifizierungsteile von TLS mögen, können Sie diese in EAP verwenden und EAP-TLS nennen. Oder Sie können eine EAP-Methode namens "Protected EAP" (PEAP) verwenden, die eigentlich "EAP-innerhalb-EAP" ist. Als interne EAP-Methode in PEAP verwenden viele Leute EAP-MSCHAPv2 oder EAP-GTC, aber einige Leute verwenden EAP-TLS im Inneren.

Viele Unternehmen, vor allem Microsoft und Cisco, haben versucht, Benutzer- oder Computerzertifikate auf Benutzergeräten zu vereinfachen. Es gibt also Möglichkeiten, Ihre Windows Server-Umgebung oder Ihre Cisco-Netzwerkumgebung so einzurichten, dass das Netzwerk versucht, Push-Vorgänge durchzuführen Zertifikate auf den Computern Ihrer Benutzer, wenn sie sich zum ersten Mal mit dem Netzwerk verbinden. Eine solche Anstrengung wird als SCEP (Simple Certificate Enrollment Protocol) bezeichnet.

Einige Sites bieten Möglichkeiten für die sichere Authentifizierung eines Laptops beim Wi-Fi-Netzwerk, auch wenn kein Benutzer angemeldet ist (zum Zweck der Systemverwaltung, unbeaufsichtigter Übernacht-Backups usw.). Da kein Benutzer angemeldet ist, sind die Zertifikate der Benutzer (oder zumindest ihre privaten Schlüssel) für das System nicht zugänglich. So haben Windows-Computer, Macs, die meisten Smartphones und andere Geräte die Möglichkeit, ein "Computer / Gerät / System" -Zertifikat auf dem Computer zu installieren, sodass der Computer sein eigenes Zertifikat (kein Zertifikat eines Benutzers) zur Authentifizierung verwendet Netzwerk, wenn kein Benutzer angemeldet ist. Einige Sites sogar Maschinenzertifikate verwenden, um die Maschine an das Netzwerk zu authentifizieren, selbst wenn ein Benutzer sich angemeldet, weil sie nicht wollen, ihre Nutzer stören mit, die in den Wi-Fi anmelden sich vernetzen .