Перейти к содержимому
Калькуляторы

Freeradius PEAP-MSCHAPv2 и сертификаты

Хотим попробовать сделать WPA2-enterprice с использованием сертификатов типа startssl/letcencrypt, которые подтверждают доменное имя. Т.е. надо обойтись без установки на клиента сертификата. В инете ничего явного не нашёл по поводу использования указанных бесплатных сертификатов для WPA2. Нашёл лишь упоминание Алана Декока в маиллисте фрирадиуса о том, что не рекомендуется так делать (значит работает? Или нет ?).

 

В случае с letsencrypt надо использовать не просто свой сертификат, а связку (chain) -- свой + тот, который подписал свой, который в скою очередь подписан СА. По крайней мере так было с почтовым сервером и с апачем :-). Будет ли так работать с WPA ?

 

В общем, прошу поделиться имеющейся информацией по данному вопросу. Хотим попробовать подключать абонентов wifi по логину и паролю с шифрованием трафика, если коротко :-)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Хотим попробовать сделать WPA2-enterprice с использованием сертификатов типа startssl/letcencrypt, которые подтверждают доменное имя. Т.е. надо обойтись без установки на клиента сертификата. В инете ничего явного не нашёл по поводу использования указанных бесплатных сертификатов для WPA2. Нашёл лишь упоминание Алана Декока в маиллисте фрирадиуса о том, что не рекомендуется так делать (значит работает? Или нет ?).

 

В случае с letsencrypt надо использовать не просто свой сертификат, а связку (chain) -- свой + тот, который подписал свой, который в скою очередь подписан СА. По крайней мере так было с почтовым сервером и с апачем :-). Будет ли так работать с WPA ?

 

В общем, прошу поделиться имеющейся информацией по данному вопросу. Хотим попробовать подключать абонентов wifi по логину и паролю с шифрованием трафика, если коротко :-)

Все смартфоны и планшеты ( Android и iOS) поддерживают WPA2 EAP/PEAP MSCHAPv2 и EAP TTLS, не требующих уникальных сертификатов со стороны клиента. Корневые сертификаты основных компаний, которые уполномочены их производить, уже загружены в клиентские устройства. FreeRadius тоже поддерживает WPA2. Также нужна точка доступа c поддержкой WPA2 Enterprise. Это поддерживают далеко не все точки доступа. Например, тот же Микротик поддерживает только EAP TLS, требующий сертификата на стороне клиента.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Хотим попробовать сделать WPA2-enterprice с использованием сертификатов типа startssl/letcencrypt, которые подтверждают доменное имя. Т.е. надо обойтись без установки на клиента сертификата. В инете ничего явного не нашёл по поводу использования указанных бесплатных сертификатов для WPA2. Нашёл лишь упоминание Алана Декока в маиллисте фрирадиуса о том, что не рекомендуется так делать (значит работает? Или нет ?).

 

В случае с letsencrypt надо использовать не просто свой сертификат, а связку (chain) -- свой + тот, который подписал свой, который в скою очередь подписан СА. По крайней мере так было с почтовым сервером и с апачем :-). Будет ли так работать с WPA ?

 

В общем, прошу поделиться имеющейся информацией по данному вопросу. Хотим попробовать подключать абонентов wifi по логину и паролю с шифрованием трафика, если коротко :-)

Все смартфоны и планшеты ( Android и iOS) поддерживают WPA2 EAP/PEAP MSCHAPv2 и EAP TTLS, не требующих уникальных сертификатов со стороны клиента. Корневые сертификаты основных компаний, которые уполномочены их производить, уже загружены в клиентские устройства. FreeRadius тоже поддерживает WPA2. Также нужна точка доступа c поддержкой WPA2 Enterprise. Это поддерживают далеко не все точки доступа. Например, тот же Микротик поддерживает только EAP TLS, требующий сертификата на стороне клиента.

 

Спасибо за ответ, но я немножко другое хотел бы узнать: сертификат на сервере должен быть при любом методе, так вот признают ли клиенты сертификат letsencrypt ? Можно ли в файл два сертификата включить (chain) ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

У меня на юбнт + фрирадиус настроен peap, проверки выпускающего сертификата нет(использую самоподписанный, и, даже винда не ругается, и нигде не видел, собственно не понятно нафиг оно нужно), единственная реальная проблема -- время на клиенте, оно должно быть реальным, вернее попадать в срок валидности сертификата.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

У меня на юбнт + фрирадиус настроен peap, проверки выпускающего сертификата нет(использую самоподписанный, и, даже винда не ругается, и нигде не видел, собственно не понятно нафиг оно нужно), единственная реальная проблема -- время на клиенте, оно должно быть реальным, вернее попадать в срок валидности сертификата.

 

О, вот про время полезная инфа, спасибо. Странно, что сертификат не проверяется :-). Я ещё не пробовал, пока только изучаю воможные аспекты ... но что серт не проверяется, нонсенс :-).

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А смысл в его проверки? у вас же обращения к DNS нет (хотя может и можно проверять, но винда, которая вопит по каждой мелочи -- даже не ругнулась...), а CA-Сертификат FreeRADIUS может сам отдать по запросу. Если нужна секьюрность -- можно использовать клиентские сертификаты: EAP-TLS.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В 10.06.2016 в 09:40, wtyd сказал:

 

О, вот про время полезная инфа, спасибо. Странно, что сертификат не проверяется :-). Я ещё не пробовал, пока только изучаю воможные аспекты ... но что серт не проверяется, нонсенс :-).

приветствую. как успехи в WPA Enterprise?  удалось прикрутить купленный сертификат?  вообще запустилась связка?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Ну с учётом последних патчей(убрана проверка корневого сертификата) смысла в приобретённых сертификатах нет никакого...

 

Ответьте для себя нафига там вообще  сертификат?...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

2 часа назад, NewUse сказал:

Ну с учётом последних патчей(убрана проверка корневого сертификата) смысла в приобретённых сертификатах нет никакого...

 

Ответьте для себя нафига там вообще  сертификат?...

в смысле отменена?
что-то Я пропустил.. можете линк кинуть?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Цитата

- Fix: Ignore server certificate validation on client side if CA not present

С 6.0.7 ChangeLog ввели у UBNT, да, не совсем корректное описание, но там на самом деле просто  ввели старый патч wpa_supplicant который, например, игнорит проверку сертификата, если тип шифрования не поддерживается(ввели по моей просьбе),   ну и старые патчи, которые игнорят проверку времени уже давно включены...

 

Ещё раз нафига оно Вам? Если не собираетесь использовать TLS с клиентскими сертификатами -- то совершенно пофиг, какой сертификат стоит в качестве корневого, по факту он не проверяется современными клиентами.

 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

10 минут назад, NewUse сказал:

С 6.0.7 ChangeLog ввели у UBNT, да, не совсем корректное описание, но там на самом деле просто  ввели старый патч wpa_supplicant который, например, игнорит проверку сертификата, если тип шифрования не поддерживается(ввели по моей просьбе),   ну и старые патчи, которые игнорят проверку времени уже давно включены...

 

Ещё раз нафига оно Вам? Если не собираетесь использовать TLS с клиентскими сертификатами -- то совершенно пофиг, какой сертификат стоит в качестве корневого, по факту он не проверяется современными клиентами.

 

 

ну сейчас ввели потом отменят...

хочется все красиво сделать... перфекционизм(((

 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Только что, free1979 сказал:

ну сейчас ввели потом отменят...

кто ж его посадит, он же памятник (с)

 

1 минуту назад, free1979 сказал:

хочется все красиво сделать... перфекционизм(((

Ну сделайте, проблем быть не должно,, придётся сконвертировать сертификат в PEM формат, ну и удостоверится, что используется актуальная версия FreeRADIUS с поддержкой openssl 1.0 (там какие-то изменения в формате и шифровании были)...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

13 минут назад, NewUse сказал:

кто ж его посадит, он же памятник (с)

 

Ну сделайте, проблем быть не должно,, придётся сконвертировать сертификат в PEM формат, ну и удостоверится, что используется актуальная версия FreeRADIUS с поддержкой openssl 1.0 (там какие-то изменения в формате и шифровании были)...

для тестов бесплатный сертификат от letsencrypt подойдет?

радиус сервер должен быть на белом ИП и в домене на который выписан сертификат?

иначе же не заработает? верно?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Только что, free1979 сказал:

для тестов бесплатный сертификат от letsencrypt подойдет?

подойдёт

Только что, free1979 сказал:

радиус сервер должен быть на белом ИП и в домене на который выписан сертификат?

не обязательно

Только что, free1979 сказал:

иначе же не заработает? верно?

работать будет в любом случае, со стороны freeradius при запуске проверка вообще не осуществляется(если память не изменяет, хотя может проверяется дата).

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

1 минуту назад, NewUse сказал:

подойдёт

не обязательно

работать будет в любом случае, со стороны freeradius при запуске проверка вообще не осуществляется(если память не изменяет, хотя может проверяется дата).

 

мы же сейчас говорим о wpa enterprise с аутентификацией юзера вайфай-точки только по логину и паролю без установки на клиентский девайс сертификатов?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

3 минуты назад, free1979 сказал:

мы же сейчас говорим о wpa enterprise с аутентификацией юзера вайфай-точки только по логину и паролю без установки на клиентский девайс сертификатов?

 

Да, конечно.

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.