wtyd Posted June 10, 2016 · Report post Хотим попробовать сделать WPA2-enterprice с использованием сертификатов типа startssl/letcencrypt, которые подтверждают доменное имя. Т.е. надо обойтись без установки на клиента сертификата. В инете ничего явного не нашёл по поводу использования указанных бесплатных сертификатов для WPA2. Нашёл лишь упоминание Алана Декока в маиллисте фрирадиуса о том, что не рекомендуется так делать (значит работает? Или нет ?). В случае с letsencrypt надо использовать не просто свой сертификат, а связку (chain) -- свой + тот, который подписал свой, который в скою очередь подписан СА. По крайней мере так было с почтовым сервером и с апачем :-). Будет ли так работать с WPA ? В общем, прошу поделиться имеющейся информацией по данному вопросу. Хотим попробовать подключать абонентов wifi по логину и паролю с шифрованием трафика, если коротко :-) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
slv700 Posted June 10, 2016 · Report post Хотим попробовать сделать WPA2-enterprice с использованием сертификатов типа startssl/letcencrypt, которые подтверждают доменное имя. Т.е. надо обойтись без установки на клиента сертификата. В инете ничего явного не нашёл по поводу использования указанных бесплатных сертификатов для WPA2. Нашёл лишь упоминание Алана Декока в маиллисте фрирадиуса о том, что не рекомендуется так делать (значит работает? Или нет ?). В случае с letsencrypt надо использовать не просто свой сертификат, а связку (chain) -- свой + тот, который подписал свой, который в скою очередь подписан СА. По крайней мере так было с почтовым сервером и с апачем :-). Будет ли так работать с WPA ? В общем, прошу поделиться имеющейся информацией по данному вопросу. Хотим попробовать подключать абонентов wifi по логину и паролю с шифрованием трафика, если коротко :-) Все смартфоны и планшеты ( Android и iOS) поддерживают WPA2 EAP/PEAP MSCHAPv2 и EAP TTLS, не требующих уникальных сертификатов со стороны клиента. Корневые сертификаты основных компаний, которые уполномочены их производить, уже загружены в клиентские устройства. FreeRadius тоже поддерживает WPA2. Также нужна точка доступа c поддержкой WPA2 Enterprise. Это поддерживают далеко не все точки доступа. Например, тот же Микротик поддерживает только EAP TLS, требующий сертификата на стороне клиента. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
wtyd Posted June 10, 2016 · Report post Хотим попробовать сделать WPA2-enterprice с использованием сертификатов типа startssl/letcencrypt, которые подтверждают доменное имя. Т.е. надо обойтись без установки на клиента сертификата. В инете ничего явного не нашёл по поводу использования указанных бесплатных сертификатов для WPA2. Нашёл лишь упоминание Алана Декока в маиллисте фрирадиуса о том, что не рекомендуется так делать (значит работает? Или нет ?). В случае с letsencrypt надо использовать не просто свой сертификат, а связку (chain) -- свой + тот, который подписал свой, который в скою очередь подписан СА. По крайней мере так было с почтовым сервером и с апачем :-). Будет ли так работать с WPA ? В общем, прошу поделиться имеющейся информацией по данному вопросу. Хотим попробовать подключать абонентов wifi по логину и паролю с шифрованием трафика, если коротко :-) Все смартфоны и планшеты ( Android и iOS) поддерживают WPA2 EAP/PEAP MSCHAPv2 и EAP TTLS, не требующих уникальных сертификатов со стороны клиента. Корневые сертификаты основных компаний, которые уполномочены их производить, уже загружены в клиентские устройства. FreeRadius тоже поддерживает WPA2. Также нужна точка доступа c поддержкой WPA2 Enterprise. Это поддерживают далеко не все точки доступа. Например, тот же Микротик поддерживает только EAP TLS, требующий сертификата на стороне клиента. Спасибо за ответ, но я немножко другое хотел бы узнать: сертификат на сервере должен быть при любом методе, так вот признают ли клиенты сертификат letsencrypt ? Можно ли в файл два сертификата включить (chain) ? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
NewUse Posted June 10, 2016 · Report post У меня на юбнт + фрирадиус настроен peap, проверки выпускающего сертификата нет(использую самоподписанный, и, даже винда не ругается, и нигде не видел, собственно не понятно нафиг оно нужно), единственная реальная проблема -- время на клиенте, оно должно быть реальным, вернее попадать в срок валидности сертификата. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
wtyd Posted June 10, 2016 · Report post У меня на юбнт + фрирадиус настроен peap, проверки выпускающего сертификата нет(использую самоподписанный, и, даже винда не ругается, и нигде не видел, собственно не понятно нафиг оно нужно), единственная реальная проблема -- время на клиенте, оно должно быть реальным, вернее попадать в срок валидности сертификата. О, вот про время полезная инфа, спасибо. Странно, что сертификат не проверяется :-). Я ещё не пробовал, пока только изучаю воможные аспекты ... но что серт не проверяется, нонсенс :-). Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
NewUse Posted June 10, 2016 · Report post А смысл в его проверки? у вас же обращения к DNS нет (хотя может и можно проверять, но винда, которая вопит по каждой мелочи -- даже не ругнулась...), а CA-Сертификат FreeRADIUS может сам отдать по запросу. Если нужна секьюрность -- можно использовать клиентские сертификаты: EAP-TLS. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
free1979 Posted October 16, 2017 · Report post В 10.06.2016 в 09:40, wtyd сказал: О, вот про время полезная инфа, спасибо. Странно, что сертификат не проверяется :-). Я ещё не пробовал, пока только изучаю воможные аспекты ... но что серт не проверяется, нонсенс :-). приветствую. как успехи в WPA Enterprise? удалось прикрутить купленный сертификат? вообще запустилась связка? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
NewUse Posted October 17, 2017 · Report post Ну с учётом последних патчей(убрана проверка корневого сертификата) смысла в приобретённых сертификатах нет никакого... Ответьте для себя нафига там вообще сертификат?... Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
free1979 Posted October 17, 2017 · Report post 2 часа назад, NewUse сказал: Ну с учётом последних патчей(убрана проверка корневого сертификата) смысла в приобретённых сертификатах нет никакого... Ответьте для себя нафига там вообще сертификат?... в смысле отменена? что-то Я пропустил.. можете линк кинуть? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
NewUse Posted October 17, 2017 · Report post Цитата - Fix: Ignore server certificate validation on client side if CA not present С 6.0.7 ChangeLog ввели у UBNT, да, не совсем корректное описание, но там на самом деле просто ввели старый патч wpa_supplicant который, например, игнорит проверку сертификата, если тип шифрования не поддерживается(ввели по моей просьбе), ну и старые патчи, которые игнорят проверку времени уже давно включены... Ещё раз нафига оно Вам? Если не собираетесь использовать TLS с клиентскими сертификатами -- то совершенно пофиг, какой сертификат стоит в качестве корневого, по факту он не проверяется современными клиентами. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
free1979 Posted October 17, 2017 · Report post 10 минут назад, NewUse сказал: С 6.0.7 ChangeLog ввели у UBNT, да, не совсем корректное описание, но там на самом деле просто ввели старый патч wpa_supplicant который, например, игнорит проверку сертификата, если тип шифрования не поддерживается(ввели по моей просьбе), ну и старые патчи, которые игнорят проверку времени уже давно включены... Ещё раз нафига оно Вам? Если не собираетесь использовать TLS с клиентскими сертификатами -- то совершенно пофиг, какой сертификат стоит в качестве корневого, по факту он не проверяется современными клиентами. ну сейчас ввели потом отменят... хочется все красиво сделать... перфекционизм((( Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
NewUse Posted October 17, 2017 · Report post Только что, free1979 сказал: ну сейчас ввели потом отменят... кто ж его посадит, он же памятник (с) 1 минуту назад, free1979 сказал: хочется все красиво сделать... перфекционизм((( Ну сделайте, проблем быть не должно,, придётся сконвертировать сертификат в PEM формат, ну и удостоверится, что используется актуальная версия FreeRADIUS с поддержкой openssl 1.0 (там какие-то изменения в формате и шифровании были)... Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
free1979 Posted October 17, 2017 · Report post 13 минут назад, NewUse сказал: кто ж его посадит, он же памятник (с) Ну сделайте, проблем быть не должно,, придётся сконвертировать сертификат в PEM формат, ну и удостоверится, что используется актуальная версия FreeRADIUS с поддержкой openssl 1.0 (там какие-то изменения в формате и шифровании были)... для тестов бесплатный сертификат от letsencrypt подойдет? радиус сервер должен быть на белом ИП и в домене на который выписан сертификат? иначе же не заработает? верно? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
NewUse Posted October 17, 2017 · Report post Только что, free1979 сказал: для тестов бесплатный сертификат от letsencrypt подойдет? подойдёт Только что, free1979 сказал: радиус сервер должен быть на белом ИП и в домене на который выписан сертификат? не обязательно Только что, free1979 сказал: иначе же не заработает? верно? работать будет в любом случае, со стороны freeradius при запуске проверка вообще не осуществляется(если память не изменяет, хотя может проверяется дата). Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
free1979 Posted October 17, 2017 · Report post 1 минуту назад, NewUse сказал: подойдёт не обязательно работать будет в любом случае, со стороны freeradius при запуске проверка вообще не осуществляется(если память не изменяет, хотя может проверяется дата). мы же сейчас говорим о wpa enterprise с аутентификацией юзера вайфай-точки только по логину и паролю без установки на клиентский девайс сертификатов? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
NewUse Posted October 17, 2017 · Report post 3 минуты назад, free1979 сказал: мы же сейчас говорим о wpa enterprise с аутентификацией юзера вайфай-точки только по логину и паролю без установки на клиентский девайс сертификатов? Да, конечно. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...