Для 802.1x аутентификация RADIUS PEAP, Вы используете другой сертификат на сервер?
Рассмотрите среду, которая использует 802.1x Аутентификация PEAP через RADIUS. Как правило, это должно аутентифицировать беспроводных клиентов.
В этой среде существует несколько серверов RADIUS, и клиенты будут обслуживаться тем, какой бы ни доступно.
Я видел два подхода относительно сертификата сервера, представленного клиентам.
В первом тот же сертификат настроен на каждом сервере RADIUS. CN является чем-то универсальным, например, "wireless.mycompany.com"
Во втором сертификат отличается на каждом сервере, и CN является именем хоста сервера, например, "server1.mycompany.com"
Мой вопрос: оба приемлемые решения? Каковы за и против каждого подхода?
Править: Заинтересованный особенно комментариями, имеющими отношение к простоте роуминга для клиентов.
اگرچه ، هر دو راه حل جواب می دهند ، من توصیه می کنم از اشتراک گواهی در چندین میزبان جلوگیری کنید. این مربوط به مدیریت کلید خصوصی است. از آنجا که نهادهای بیشتری در مورد کلید اطلاعات دارند ، امنیت پایین تری نیز فراهم می شود. زیرا مطمئناً نمی توانید بدانید که کدام سرور کلید را به خطر انداخته است (زیرا آنها یک کلید مشترک دارند).
بهترین روش حکم می کند که هیچ کس به جز یک نهاد نباید از هیچ کلید خصوصی خاصی مطلع باشد. به پین کارت اعتباری خود فکر کنید. آیا آن را با کسی به اشتراک می گذارید؟
بنابراین ، بهترین روش تهیه یک گواهینامه منفرد به هر سرور RADIUS است. شما می توانید در هر گواهی نام منحصر به فردی (مثلاً نام میزبان سرور RADIUS) اختصاص دهید یا از نام عمومی عمومی در همه گواهینامه های RADIUS استفاده کنید. بهترین روش برای نامگذاری گواهی RADIUS وجود ندارد.