wtyd Posted June 10, 2016 Posted June 10, 2016 Хотим попробовать сделать WPA2-enterprice с использованием сертификатов типа startssl/letcencrypt, которые подтверждают доменное имя. Т.е. надо обойтись без установки на клиента сертификата. В инете ничего явного не нашёл по поводу использования указанных бесплатных сертификатов для WPA2. Нашёл лишь упоминание Алана Декока в маиллисте фрирадиуса о том, что не рекомендуется так делать (значит работает? Или нет ?). В случае с letsencrypt надо использовать не просто свой сертификат, а связку (chain) -- свой + тот, который подписал свой, который в скою очередь подписан СА. По крайней мере так было с почтовым сервером и с апачем :-). Будет ли так работать с WPA ? В общем, прошу поделиться имеющейся информацией по данному вопросу. Хотим попробовать подключать абонентов wifi по логину и паролю с шифрованием трафика, если коротко :-) Вставить ник Quote
slv700 Posted June 10, 2016 Posted June 10, 2016 Хотим попробовать сделать WPA2-enterprice с использованием сертификатов типа startssl/letcencrypt, которые подтверждают доменное имя. Т.е. надо обойтись без установки на клиента сертификата. В инете ничего явного не нашёл по поводу использования указанных бесплатных сертификатов для WPA2. Нашёл лишь упоминание Алана Декока в маиллисте фрирадиуса о том, что не рекомендуется так делать (значит работает? Или нет ?). В случае с letsencrypt надо использовать не просто свой сертификат, а связку (chain) -- свой + тот, который подписал свой, который в скою очередь подписан СА. По крайней мере так было с почтовым сервером и с апачем :-). Будет ли так работать с WPA ? В общем, прошу поделиться имеющейся информацией по данному вопросу. Хотим попробовать подключать абонентов wifi по логину и паролю с шифрованием трафика, если коротко :-) Все смартфоны и планшеты ( Android и iOS) поддерживают WPA2 EAP/PEAP MSCHAPv2 и EAP TTLS, не требующих уникальных сертификатов со стороны клиента. Корневые сертификаты основных компаний, которые уполномочены их производить, уже загружены в клиентские устройства. FreeRadius тоже поддерживает WPA2. Также нужна точка доступа c поддержкой WPA2 Enterprise. Это поддерживают далеко не все точки доступа. Например, тот же Микротик поддерживает только EAP TLS, требующий сертификата на стороне клиента. Вставить ник Quote
wtyd Posted June 10, 2016 Author Posted June 10, 2016 Хотим попробовать сделать WPA2-enterprice с использованием сертификатов типа startssl/letcencrypt, которые подтверждают доменное имя. Т.е. надо обойтись без установки на клиента сертификата. В инете ничего явного не нашёл по поводу использования указанных бесплатных сертификатов для WPA2. Нашёл лишь упоминание Алана Декока в маиллисте фрирадиуса о том, что не рекомендуется так делать (значит работает? Или нет ?). В случае с letsencrypt надо использовать не просто свой сертификат, а связку (chain) -- свой + тот, который подписал свой, который в скою очередь подписан СА. По крайней мере так было с почтовым сервером и с апачем :-). Будет ли так работать с WPA ? В общем, прошу поделиться имеющейся информацией по данному вопросу. Хотим попробовать подключать абонентов wifi по логину и паролю с шифрованием трафика, если коротко :-) Все смартфоны и планшеты ( Android и iOS) поддерживают WPA2 EAP/PEAP MSCHAPv2 и EAP TTLS, не требующих уникальных сертификатов со стороны клиента. Корневые сертификаты основных компаний, которые уполномочены их производить, уже загружены в клиентские устройства. FreeRadius тоже поддерживает WPA2. Также нужна точка доступа c поддержкой WPA2 Enterprise. Это поддерживают далеко не все точки доступа. Например, тот же Микротик поддерживает только EAP TLS, требующий сертификата на стороне клиента. Спасибо за ответ, но я немножко другое хотел бы узнать: сертификат на сервере должен быть при любом методе, так вот признают ли клиенты сертификат letsencrypt ? Можно ли в файл два сертификата включить (chain) ? Вставить ник Quote
NewUse Posted June 10, 2016 Posted June 10, 2016 У меня на юбнт + фрирадиус настроен peap, проверки выпускающего сертификата нет(использую самоподписанный, и, даже винда не ругается, и нигде не видел, собственно не понятно нафиг оно нужно), единственная реальная проблема -- время на клиенте, оно должно быть реальным, вернее попадать в срок валидности сертификата. Вставить ник Quote
wtyd Posted June 10, 2016 Author Posted June 10, 2016 У меня на юбнт + фрирадиус настроен peap, проверки выпускающего сертификата нет(использую самоподписанный, и, даже винда не ругается, и нигде не видел, собственно не понятно нафиг оно нужно), единственная реальная проблема -- время на клиенте, оно должно быть реальным, вернее попадать в срок валидности сертификата. О, вот про время полезная инфа, спасибо. Странно, что сертификат не проверяется :-). Я ещё не пробовал, пока только изучаю воможные аспекты ... но что серт не проверяется, нонсенс :-). Вставить ник Quote
NewUse Posted June 10, 2016 Posted June 10, 2016 А смысл в его проверки? у вас же обращения к DNS нет (хотя может и можно проверять, но винда, которая вопит по каждой мелочи -- даже не ругнулась...), а CA-Сертификат FreeRADIUS может сам отдать по запросу. Если нужна секьюрность -- можно использовать клиентские сертификаты: EAP-TLS. Вставить ник Quote
free1979 Posted October 16, 2017 Posted October 16, 2017 В 10.06.2016 в 09:40, wtyd сказал: О, вот про время полезная инфа, спасибо. Странно, что сертификат не проверяется :-). Я ещё не пробовал, пока только изучаю воможные аспекты ... но что серт не проверяется, нонсенс :-). приветствую. как успехи в WPA Enterprise? удалось прикрутить купленный сертификат? вообще запустилась связка? Вставить ник Quote
NewUse Posted October 17, 2017 Posted October 17, 2017 Ну с учётом последних патчей(убрана проверка корневого сертификата) смысла в приобретённых сертификатах нет никакого... Ответьте для себя нафига там вообще сертификат?... Вставить ник Quote
free1979 Posted October 17, 2017 Posted October 17, 2017 2 часа назад, NewUse сказал: Ну с учётом последних патчей(убрана проверка корневого сертификата) смысла в приобретённых сертификатах нет никакого... Ответьте для себя нафига там вообще сертификат?... в смысле отменена? что-то Я пропустил.. можете линк кинуть? Вставить ник Quote
NewUse Posted October 17, 2017 Posted October 17, 2017 Цитата - Fix: Ignore server certificate validation on client side if CA not present С 6.0.7 ChangeLog ввели у UBNT, да, не совсем корректное описание, но там на самом деле просто ввели старый патч wpa_supplicant который, например, игнорит проверку сертификата, если тип шифрования не поддерживается(ввели по моей просьбе), ну и старые патчи, которые игнорят проверку времени уже давно включены... Ещё раз нафига оно Вам? Если не собираетесь использовать TLS с клиентскими сертификатами -- то совершенно пофиг, какой сертификат стоит в качестве корневого, по факту он не проверяется современными клиентами. Вставить ник Quote
free1979 Posted October 17, 2017 Posted October 17, 2017 10 минут назад, NewUse сказал: С 6.0.7 ChangeLog ввели у UBNT, да, не совсем корректное описание, но там на самом деле просто ввели старый патч wpa_supplicant который, например, игнорит проверку сертификата, если тип шифрования не поддерживается(ввели по моей просьбе), ну и старые патчи, которые игнорят проверку времени уже давно включены... Ещё раз нафига оно Вам? Если не собираетесь использовать TLS с клиентскими сертификатами -- то совершенно пофиг, какой сертификат стоит в качестве корневого, по факту он не проверяется современными клиентами. ну сейчас ввели потом отменят... хочется все красиво сделать... перфекционизм((( Вставить ник Quote
NewUse Posted October 17, 2017 Posted October 17, 2017 Только что, free1979 сказал: ну сейчас ввели потом отменят... кто ж его посадит, он же памятник (с) 1 минуту назад, free1979 сказал: хочется все красиво сделать... перфекционизм((( Ну сделайте, проблем быть не должно,, придётся сконвертировать сертификат в PEM формат, ну и удостоверится, что используется актуальная версия FreeRADIUS с поддержкой openssl 1.0 (там какие-то изменения в формате и шифровании были)... Вставить ник Quote
free1979 Posted October 17, 2017 Posted October 17, 2017 13 минут назад, NewUse сказал: кто ж его посадит, он же памятник (с) Ну сделайте, проблем быть не должно,, придётся сконвертировать сертификат в PEM формат, ну и удостоверится, что используется актуальная версия FreeRADIUS с поддержкой openssl 1.0 (там какие-то изменения в формате и шифровании были)... для тестов бесплатный сертификат от letsencrypt подойдет? радиус сервер должен быть на белом ИП и в домене на который выписан сертификат? иначе же не заработает? верно? Вставить ник Quote
NewUse Posted October 17, 2017 Posted October 17, 2017 Только что, free1979 сказал: для тестов бесплатный сертификат от letsencrypt подойдет? подойдёт Только что, free1979 сказал: радиус сервер должен быть на белом ИП и в домене на который выписан сертификат? не обязательно Только что, free1979 сказал: иначе же не заработает? верно? работать будет в любом случае, со стороны freeradius при запуске проверка вообще не осуществляется(если память не изменяет, хотя может проверяется дата). Вставить ник Quote
free1979 Posted October 17, 2017 Posted October 17, 2017 1 минуту назад, NewUse сказал: подойдёт не обязательно работать будет в любом случае, со стороны freeradius при запуске проверка вообще не осуществляется(если память не изменяет, хотя может проверяется дата). мы же сейчас говорим о wpa enterprise с аутентификацией юзера вайфай-точки только по логину и паролю без установки на клиентский девайс сертификатов? Вставить ник Quote
NewUse Posted October 17, 2017 Posted October 17, 2017 3 минуты назад, free1979 сказал: мы же сейчас говорим о wpa enterprise с аутентификацией юзера вайфай-точки только по логину и паролю без установки на клиентский девайс сертификатов? Да, конечно. Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.