Совместное использование сертификаты в основном аналогичны обмену паролями. Если один сертификат скомпрометирован, вы должны пойти и перенастроить всех клиентов, чтобы изменить сертификат, тогда как если у вас есть сертификат для каждого клиента, вы можете просто отозвать скомпрометированный сертификат. Также, общий сертификат может означать, что клиенты могут расшифровывать трафик, отправляемый другим клиентам и от них, тогда как отдельные сертификаты означают, что клиенты могут расшифровывать только свой собственный трафик. Если вы собираетесь настроить WPA2 с сертификатами, я предлагаю вам сделать это правильно и сгенерировать сертификаты для каждого клиента.
Я предполагаю, что вы здесь используете EAP-TLS, и в этом случае вы этого не делаете. • Специально сконфигурируйте пользователей в файле users
. Тот факт, что у клиента есть сертификат и ключ, подписанные CA (то есть параметр CA_file
) и нет в CRL, означает, что у него есть доступ.
С EAP-TLS пользователь предоставляет имя пользователя , сертификат и закрытый ключ (возможно, защищенный паролем). Обратите внимание, что не существует пароля, с помощью которого можно аутентифицировать имя пользователя (т.е. пользователи могут ввести любое имя пользователя, какое захотят). Если вы хотите использовать имя пользователя для принятия решений в отношении политики, вам необходимо убедиться, что имя пользователя, указанное пользователем, является правильным. Я думаю, что это делается путем установки имени пользователя, которое вы хотите использовать в качестве общего имени в сертификате при его создании, и включения параметра check_cert_cn
. Это приведет к тому, что сервер отклонит запрос, если общее имя в сертификате, предоставленном пользователем, не совпадает с предоставленным им именем пользователя. Затем вы можете добавить записи в файл пользователей
, соответствующий Имя пользователя
, чтобы определить свою политику.
check_cert_cn
. Это приведет к тому, что сервер отклонит запрос, если общее имя в сертификате, предоставленном пользователем, не совпадает с предоставленным им именем пользователя. Затем вы можете добавить записи в файл пользователей
, соответствующий Имя пользователя
, чтобы определить свою политику. Я думаю, что это делается путем установки имени пользователя, которое вы хотите использовать в качестве общего имени в сертификате при его создании, и включения параметра check_cert_cn
. Это приведет к тому, что сервер отклонит запрос, если общее имя в сертификате, предоставленном пользователем, не совпадает с предоставленным им именем пользователя. Затем вы можете добавить записи в файл пользователей
, соответствующий Имя пользователя
, чтобы определить свою политику.