802.1x сертификаты, EAP-TLS, RADIUS и машины Windows

При использовании аутентификации на основе сертификата 802.1x на компьютерах с Windows мне следует использовать разные сертификаты для каждой машины?

Да, в противном случае вы также можете использовать общий ключ доступа. Наличие разных сертификатов для каждой машины (или пользователя) - это то, как вы не позволяете клиентам расшифровать трафик друг друга.

Если нужно, как мне распространить эти сертификаты на сотни компьютеров? Всегда ли для этого требуется ручное вмешательство?

На самом деле, типичный метод - это объект групповой политики, который назначает машине сертификат, подписанный внутренним центром сертификации.

То, что вам нужно, это Конфигурация компьютера -> Настройки Windows -> Настройки безопасности -> Раздел Политики открытого ключа в разделе «Управление групповой политикой».

С вашей стороны требуется довольно много настроек, но как только вы запустите ее, это будет относительно не требует обслуживания и очень автомагична. Я приложил ниже снимок экрана с нашими настройками групповой политики, относящимися к сертификатам, чтобы дать вам представление о том, что здесь задействовано.

Обратите внимание на нерасширенные Политики беспроводной сети (802.11) Настройки групповой политики; здесь я определяю беспроводную сеть и настраиваю наших беспроводных клиентов на автоматическое присоединение к ней. Я установил пару центров сертификации ADDS, а затем сделал их доверенными для всех машин в политиках открытых ключей / доверенных корневых центрах сертификации . Запрос на сертификат создается автоматически, и клиенты регистрируются автоматически, в соответствии с шаблоном сертификата машины, который я создал (в наших центрах сертификации).

Эта настройка действительно означает, что компьютеры должны подключиться к домену и получить свой сертификат , прежде чем они смогут использовать беспроводную сеть с аутентификацией RADIUS сеть, но это обрабатывается при первоначальном создании образа машины, и почему обычно не возникает проблем с выталкиванием сертификатов через групповую политику - чтобы присоединиться к домену, вы должны иметь возможность подключиться к нему, чтобы можно было создать сертификат и

Так же быстрое предупреждение, будьте осторожны с настройками автоматической регистрации (и сначала проверьте), , иначе вы можете закончить, как моя тупая задница, с сотнями тысяч сертификатов, которые вы не может отозвать , потому что вы выдаете новый при каждом входе в систему и запуске. (Ой!)

(в наших центрах сертификации).

Эта настройка действительно означает, что компьютеры должны подключиться к домену и получить свой сертификат , прежде чем они смогут использовать беспроводную сеть с аутентификацией RADIUS, но это обрабатывается, когда изначально создается образ машины, и почему обычно не возникает проблем с отправкой сертификатов через групповую политику - чтобы присоединиться к домену, вы должны иметь возможность подключиться к нему, чтобы сертификат мог быть создан и назначен в это время.

Так же быстрое предупреждение: будьте осторожны с настройками автоматической регистрации (и сначала проверьте), , иначе вы можете закончить, как моя тупица, с сотнями тысяч сертификатов, которые вы не сможете отозвать , потому что вы выдаете новый при каждом входе в систему и запуске. (Ой!)

(в наших центрах сертификации).

Эта настройка действительно означает, что компьютеры должны подключиться к домену и получить свой сертификат , прежде чем они смогут использовать беспроводную сеть с аутентификацией RADIUS, но это обрабатывается, когда изначально создается образ машины, и почему обычно не возникает проблем с отправкой сертификатов через групповую политику - чтобы присоединиться к домену, вы должны иметь возможность подключиться к нему, чтобы сертификат мог быть создан и назначен в это время.

Так же быстрое предупреждение: будьте осторожны с настройками автоматической регистрации (и сначала протестируйте), , иначе вы можете закончить, как моя тупица, с сотнями тысяч сертификатов, которые вы не сможете отозвать , потому что вы выдаете новый при каждом входе в систему и запуске. (Ой!)

Эта настройка действительно означает, что компьютеры должны подключиться к домену и получить свой сертификат , прежде чем они смогут использовать беспроводную сеть с аутентификацией RADIUS, но это обрабатывается при первоначальном создании образа машины, и почему обычно не проблема с отправкой сертификатов через групповую политику - чтобы присоединиться к домену, вы должны иметь возможность подключиться к нему, чтобы сертификат мог быть создан и назначен в это время.

Так же быстрое предупреждение, будьте будьте осторожны с настройками автоматической регистрации (и сначала проверьте), , иначе вы можете закончить, как моя тупая задница, с сотнями тысяч сертификатов, которые вы не сможете отозвать , потому что вы выдаете новый при каждом входе в систему и запуске. (Ой!)

Эта настройка действительно означает, что компьютеры должны подключиться к домену и получить свой сертификат , прежде чем они смогут использовать беспроводную сеть с аутентификацией RADIUS, но это обрабатывается при первоначальном создании образа машины, и почему обычно не проблема с отправкой сертификатов через групповую политику - чтобы присоединиться к домену, вы должны иметь возможность подключиться к нему, чтобы сертификат мог быть создан и назначен в это время.

Так же быстрое предупреждение, будьте будьте осторожны с настройками автоматической регистрации (и сначала проверьте), , иначе вы можете закончить, как моя тупая задница, с сотнями тысяч сертификатов, которые вы не сможете отозвать , потому что вы выдаете новый при каждом входе в систему и запуске. (Ой!)

вы должны иметь возможность подключиться к нему, чтобы сертификат мог быть создан и назначен в это время.

Так же быстрое предупреждение, будьте осторожны с этими настройками автоматической регистрации (и сначала проверьте), или вы можете закончить, как моя тупица, с сотнями тысяч сертификатов, которые вы не можете отозвать , потому что вы выдаете новый при каждом входе в систему и запуске. (Ой!)

вы должны иметь возможность подключиться к нему, чтобы сертификат мог быть создан и назначен в это время.

Так же быстрое предупреждение, будьте осторожны с этими настройками автоматической регистрации (и сначала проверьте), или вы можете закончить, как моя тупица, с сотнями тысяч сертификатов, которые вы не можете отозвать , потому что вы выдаете новый при каждом входе в систему и запуске. (Ой!)