Certificati 802.1x, EAP-TLS, RADIUS e Windows

Quando si utilizza l'authentication basata su certificati 802.1x sulle macchine Windows, dovrei utilizzare un certificato differente per each macchina?

Il server RADIUS è in esecuzione nella networking, le macchine utilizzano EAP-TLS per parlare con l'interruttore di networking.

  • Il mio sito sembra essere dirottato ... ma solo quando visitato da un altro sito ... come?
  • Quando non si genererebbe una risposta ARP?
  • authbind + java + ubuntu ancora non riesce - perché?
  • Quale NIC ha l'indirizzo IP?
  • La gestione dell'identity framework; per Unix modifica lo schema AD?
  • La storia dell'authentication utente sicura nel calamaro
  • Se wheressi, come distribuire questi certificati per centinaia di computer? Ciò richiede sempre un intervento manuale? Penso che il PC senza certificato non sia in grado di connettersi alla networking, quindi non è ansible eseguire una semplice compilazione di questo tipo di attività tramite GPO. Posso immaginare che questo sia un problema quando si aggiunge nuovi computer o rilascia nuovi certificati.

  • Rischi certificati autenticati
  • Imansible aggiungere il certificato alle Autorità di certificazione rooted attendibili in Windows 7
  • Memorizzazione della chiave privata RSA non crittografata
  • Autenticazione certificato
  • Come interrompere la connessione a www.download.windowsupdate.com
  • Come rilevare se un particolare cert è stato installato in una casella di Windows?
  • One Solution collect form web for “Certificati 802.1x, EAP-TLS, RADIUS e Windows”

    Quando si utilizza l'authentication basata su certificati 802.1x sulle macchine Windows, dovrei utilizzare un certificato differente per each macchina?

    Sì, altrimenti puoi anche utilizzare una chiave di accesso condivisa. Avere un certificato diverso per ciascuna macchina (o utente) è come impedire ai client di essere in grado di decifrare il traffico degli altri.

    Se wheressi, come distribuire questi certificati per centinaia di computer? Ciò richiede sempre un intervento manuale?

    In realtà, il metodo tipico è un object Criteri di gruppo che assegna alla macchina un certificato firmato dall'autorità di certificazione interna.

    Quello che stai cercando è la Computer Configuration del Computer Configuration -> Windows Settings -> Security Settings -> Public Key Policies sezione in Gestione criteri di gruppo.

    Vi è un bel po 'di configuration coinvolti da parte tua, ma una volta che lo fai funzionare, è relativamente privo di manutenzione e molto automatica. Ho allegato una schermata di seguito delle impostazioni relative ai criteri di gruppo relative al certificato per darti un'idea di ciò che è coinvolto.

    immettere qui la descrizione dell'immagine

    Notare le impostazioni dei criteri di gruppo per le Wireless Network (802.11) Policies non aggiornate Wireless Network (802.11) Policies ; questo è where definisco la networking wireless e impostare i nostri client wireless per unirlo automaticamente. Ho una coppia ADDS Autorità di certificazione impostare, e poi fatto affidabile da tutte le macchine nelle Public Key Policies/Trusted Root Certification Authorities . La richiesta di certificato viene generata automaticamente ei client vengono registrati automaticamente, in base al model di certificato di macchina che ho creato (sulle nostre autorità di certificazione).

    Questa configuration significa che i computer devono connettersi al dominio e get il loro certificato prima di poter utilizzare la networking wireless autenticata RADIUS, ma che viene trattata quando la macchina viene inizialmente visualizzata e perché in genere non è un problema che spinge i messaggi di errore via Criteri di gruppo – per aderire al dominio, è necessario essere in grado di connettersi ad esso, quindi un certificato può essere creato e assegnato in quel momento.

    Proprio come una rapida parola di avvertimento, fai attenzione a quelle impostazioni di accesso automatico (e prova prima) oppure potrebbe finire come il mio culo muto, con centinaia di migliaia di certificati non puoi revocare , perché stai rilasciando un nuovo su each accesso e avvio. (Oops!)

    Suggerimenti per Linux e Windows Server, quali Ubuntu, Centos, Apache, Nginx, Debian e argomenti di rete.