Jump to content
Калькуляторы

Freeradius PEAP-MSCHAPv2 и сертификаты

Хотим попробовать сделать WPA2-enterprice с использованием сертификатов типа startssl/letcencrypt, которые подтверждают доменное имя. Т.е. надо обойтись без установки на клиента сертификата. В инете ничего явного не нашёл по поводу использования указанных бесплатных сертификатов для WPA2. Нашёл лишь упоминание Алана Декока в маиллисте фрирадиуса о том, что не рекомендуется так делать (значит работает? Или нет ?).

 

В случае с letsencrypt надо использовать не просто свой сертификат, а связку (chain) -- свой + тот, который подписал свой, который в скою очередь подписан СА. По крайней мере так было с почтовым сервером и с апачем :-). Будет ли так работать с WPA ?

 

В общем, прошу поделиться имеющейся информацией по данному вопросу. Хотим попробовать подключать абонентов wifi по логину и паролю с шифрованием трафика, если коротко :-)

Share this post


Link to post
Share on other sites

Хотим попробовать сделать WPA2-enterprice с использованием сертификатов типа startssl/letcencrypt, которые подтверждают доменное имя. Т.е. надо обойтись без установки на клиента сертификата. В инете ничего явного не нашёл по поводу использования указанных бесплатных сертификатов для WPA2. Нашёл лишь упоминание Алана Декока в маиллисте фрирадиуса о том, что не рекомендуется так делать (значит работает? Или нет ?).

 

В случае с letsencrypt надо использовать не просто свой сертификат, а связку (chain) -- свой + тот, который подписал свой, который в скою очередь подписан СА. По крайней мере так было с почтовым сервером и с апачем :-). Будет ли так работать с WPA ?

 

В общем, прошу поделиться имеющейся информацией по данному вопросу. Хотим попробовать подключать абонентов wifi по логину и паролю с шифрованием трафика, если коротко :-)

Все смартфоны и планшеты ( Android и iOS) поддерживают WPA2 EAP/PEAP MSCHAPv2 и EAP TTLS, не требующих уникальных сертификатов со стороны клиента. Корневые сертификаты основных компаний, которые уполномочены их производить, уже загружены в клиентские устройства. FreeRadius тоже поддерживает WPA2. Также нужна точка доступа c поддержкой WPA2 Enterprise. Это поддерживают далеко не все точки доступа. Например, тот же Микротик поддерживает только EAP TLS, требующий сертификата на стороне клиента.

Share this post


Link to post
Share on other sites

Хотим попробовать сделать WPA2-enterprice с использованием сертификатов типа startssl/letcencrypt, которые подтверждают доменное имя. Т.е. надо обойтись без установки на клиента сертификата. В инете ничего явного не нашёл по поводу использования указанных бесплатных сертификатов для WPA2. Нашёл лишь упоминание Алана Декока в маиллисте фрирадиуса о том, что не рекомендуется так делать (значит работает? Или нет ?).

 

В случае с letsencrypt надо использовать не просто свой сертификат, а связку (chain) -- свой + тот, который подписал свой, который в скою очередь подписан СА. По крайней мере так было с почтовым сервером и с апачем :-). Будет ли так работать с WPA ?

 

В общем, прошу поделиться имеющейся информацией по данному вопросу. Хотим попробовать подключать абонентов wifi по логину и паролю с шифрованием трафика, если коротко :-)

Все смартфоны и планшеты ( Android и iOS) поддерживают WPA2 EAP/PEAP MSCHAPv2 и EAP TTLS, не требующих уникальных сертификатов со стороны клиента. Корневые сертификаты основных компаний, которые уполномочены их производить, уже загружены в клиентские устройства. FreeRadius тоже поддерживает WPA2. Также нужна точка доступа c поддержкой WPA2 Enterprise. Это поддерживают далеко не все точки доступа. Например, тот же Микротик поддерживает только EAP TLS, требующий сертификата на стороне клиента.

 

Спасибо за ответ, но я немножко другое хотел бы узнать: сертификат на сервере должен быть при любом методе, так вот признают ли клиенты сертификат letsencrypt ? Можно ли в файл два сертификата включить (chain) ?

Share this post


Link to post
Share on other sites

У меня на юбнт + фрирадиус настроен peap, проверки выпускающего сертификата нет(использую самоподписанный, и, даже винда не ругается, и нигде не видел, собственно не понятно нафиг оно нужно), единственная реальная проблема -- время на клиенте, оно должно быть реальным, вернее попадать в срок валидности сертификата.

Share this post


Link to post
Share on other sites

У меня на юбнт + фрирадиус настроен peap, проверки выпускающего сертификата нет(использую самоподписанный, и, даже винда не ругается, и нигде не видел, собственно не понятно нафиг оно нужно), единственная реальная проблема -- время на клиенте, оно должно быть реальным, вернее попадать в срок валидности сертификата.

 

О, вот про время полезная инфа, спасибо. Странно, что сертификат не проверяется :-). Я ещё не пробовал, пока только изучаю воможные аспекты ... но что серт не проверяется, нонсенс :-).

Share this post


Link to post
Share on other sites

А смысл в его проверки? у вас же обращения к DNS нет (хотя может и можно проверять, но винда, которая вопит по каждой мелочи -- даже не ругнулась...), а CA-Сертификат FreeRADIUS может сам отдать по запросу. Если нужна секьюрность -- можно использовать клиентские сертификаты: EAP-TLS.

Share this post


Link to post
Share on other sites

В 10.06.2016 в 09:40, wtyd сказал:

 

О, вот про время полезная инфа, спасибо. Странно, что сертификат не проверяется :-). Я ещё не пробовал, пока только изучаю воможные аспекты ... но что серт не проверяется, нонсенс :-).

приветствую. как успехи в WPA Enterprise?  удалось прикрутить купленный сертификат?  вообще запустилась связка?

Share this post


Link to post
Share on other sites

Ну с учётом последних патчей(убрана проверка корневого сертификата) смысла в приобретённых сертификатах нет никакого...

 

Ответьте для себя нафига там вообще  сертификат?...

Share this post


Link to post
Share on other sites

2 часа назад, NewUse сказал:

Ну с учётом последних патчей(убрана проверка корневого сертификата) смысла в приобретённых сертификатах нет никакого...

 

Ответьте для себя нафига там вообще  сертификат?...

в смысле отменена?
что-то Я пропустил.. можете линк кинуть?

Share this post


Link to post
Share on other sites

Цитата

- Fix: Ignore server certificate validation on client side if CA not present

С 6.0.7 ChangeLog ввели у UBNT, да, не совсем корректное описание, но там на самом деле просто  ввели старый патч wpa_supplicant который, например, игнорит проверку сертификата, если тип шифрования не поддерживается(ввели по моей просьбе),   ну и старые патчи, которые игнорят проверку времени уже давно включены...

 

Ещё раз нафига оно Вам? Если не собираетесь использовать TLS с клиентскими сертификатами -- то совершенно пофиг, какой сертификат стоит в качестве корневого, по факту он не проверяется современными клиентами.

 

 

Share this post


Link to post
Share on other sites

10 минут назад, NewUse сказал:

С 6.0.7 ChangeLog ввели у UBNT, да, не совсем корректное описание, но там на самом деле просто  ввели старый патч wpa_supplicant который, например, игнорит проверку сертификата, если тип шифрования не поддерживается(ввели по моей просьбе),   ну и старые патчи, которые игнорят проверку времени уже давно включены...

 

Ещё раз нафига оно Вам? Если не собираетесь использовать TLS с клиентскими сертификатами -- то совершенно пофиг, какой сертификат стоит в качестве корневого, по факту он не проверяется современными клиентами.

 

 

ну сейчас ввели потом отменят...

хочется все красиво сделать... перфекционизм(((

 

 

Share this post


Link to post
Share on other sites

Только что, free1979 сказал:

ну сейчас ввели потом отменят...

кто ж его посадит, он же памятник (с)

 

1 минуту назад, free1979 сказал:

хочется все красиво сделать... перфекционизм(((

Ну сделайте, проблем быть не должно,, придётся сконвертировать сертификат в PEM формат, ну и удостоверится, что используется актуальная версия FreeRADIUS с поддержкой openssl 1.0 (там какие-то изменения в формате и шифровании были)...

Share this post


Link to post
Share on other sites

13 минут назад, NewUse сказал:

кто ж его посадит, он же памятник (с)

 

Ну сделайте, проблем быть не должно,, придётся сконвертировать сертификат в PEM формат, ну и удостоверится, что используется актуальная версия FreeRADIUS с поддержкой openssl 1.0 (там какие-то изменения в формате и шифровании были)...

для тестов бесплатный сертификат от letsencrypt подойдет?

радиус сервер должен быть на белом ИП и в домене на который выписан сертификат?

иначе же не заработает? верно?

Share this post


Link to post
Share on other sites

Только что, free1979 сказал:

для тестов бесплатный сертификат от letsencrypt подойдет?

подойдёт

Только что, free1979 сказал:

радиус сервер должен быть на белом ИП и в домене на который выписан сертификат?

не обязательно

Только что, free1979 сказал:

иначе же не заработает? верно?

работать будет в любом случае, со стороны freeradius при запуске проверка вообще не осуществляется(если память не изменяет, хотя может проверяется дата).

 

Share this post


Link to post
Share on other sites

1 минуту назад, NewUse сказал:

подойдёт

не обязательно

работать будет в любом случае, со стороны freeradius при запуске проверка вообще не осуществляется(если память не изменяет, хотя может проверяется дата).

 

мы же сейчас говорим о wpa enterprise с аутентификацией юзера вайфай-точки только по логину и паролю без установки на клиентский девайс сертификатов?

Share this post


Link to post
Share on other sites

3 минуты назад, free1979 сказал:

мы же сейчас говорим о wpa enterprise с аутентификацией юзера вайфай-точки только по логину и паролю без установки на клиентский девайс сертификатов?

 

Да, конечно.

 

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.