Certificati 802.1x, EAP-TLS, RADIUS e Windows

Quando si utilizza l'authentication basata su certificati 802.1x sulle macchine Windows, dovrei utilizzare un certificato differente per each macchina?

Il server RADIUS è in esecuzione nella networking, le macchine utilizzano EAP-TLS per parlare con l'interruttore di networking.

Se wheressi, come distribuire questi certificati per centinaia di computer? Ciò richiede sempre un intervento manuale? Penso che il PC senza certificato non sia in grado di connettersi alla networking, quindi non è ansible eseguire una semplice compilazione di questo tipo di attività tramite GPO. Posso immaginare che questo sia un problema quando si aggiunge nuovi computer o rilascia nuovi certificati.

  • Qual è il nome utente e come è stato creato?
  • Come posso registrare i comandi di bash degli utenti?
  • Tastiera su schermo con agente di authentication RSA su WIndows
  • Reverse Proxy - dovrebbe essere una pila di tecnologie diverse?
  • Software per forzare la password MD5 sulla macchina multi-core?
  • Come distriggersre l'accesso anonimo su LDAP
  • protezione generale ssh - authentication del certificato
  • Mono si blocca mentre SELinux si è imposto, Come get il server mono funzionato mentre SELinux è attuato?
  • One Solution collect form web for “Certificati 802.1x, EAP-TLS, RADIUS e Windows”

    Quando si utilizza l'authentication basata su certificati 802.1x sulle macchine Windows, dovrei utilizzare un certificato differente per each macchina?

    Sì, altrimenti puoi anche utilizzare una chiave di accesso condivisa. Avere un certificato diverso per ciascuna macchina (o utente) è come impedire ai client di essere in grado di decifrare il traffico degli altri.

    Se wheressi, come distribuire questi certificati per centinaia di computer? Ciò richiede sempre un intervento manuale?

    In realtà, il metodo tipico è un object Criteri di gruppo che assegna alla macchina un certificato firmato dall'autorità di certificazione interna.

    Quello che stai cercando è la Computer Configuration del Computer Configuration -> Windows Settings -> Security Settings -> Public Key Policies sezione in Gestione criteri di gruppo.

    Vi è un bel po 'di configuration coinvolti da parte tua, ma una volta che lo fai funzionare, è relativamente privo di manutenzione e molto automatica. Ho allegato una schermata di seguito delle impostazioni relative ai criteri di gruppo relative al certificato per darti un'idea di ciò che è coinvolto.

    immettere qui la descrizione dell'immagine

    Notare le impostazioni dei criteri di gruppo per le Wireless Network (802.11) Policies non aggiornate Wireless Network (802.11) Policies ; questo è where definisco la networking wireless e impostare i nostri client wireless per unirlo automaticamente. Ho una coppia ADDS Autorità di certificazione impostare, e poi fatto affidabile da tutte le macchine nelle Public Key Policies/Trusted Root Certification Authorities . La richiesta di certificato viene generata automaticamente ei client vengono registrati automaticamente, in base al model di certificato di macchina che ho creato (sulle nostre autorità di certificazione).

    Questa configuration significa che i computer devono connettersi al dominio e get il loro certificato prima di poter utilizzare la networking wireless autenticata RADIUS, ma che viene trattata quando la macchina viene inizialmente visualizzata e perché in genere non è un problema che spinge i messaggi di errore via Criteri di gruppo – per aderire al dominio, è necessario essere in grado di connettersi ad esso, quindi un certificato può essere creato e assegnato in quel momento.

    Proprio come una rapida parola di avvertimento, fai attenzione a quelle impostazioni di accesso automatico (e prova prima) oppure potrebbe finire come il mio culo muto, con centinaia di migliaia di certificati non puoi revocare , perché stai rilasciando un nuovo su each accesso e avvio. (Oops!)

    Suggerimenti per Linux e Windows Server, quali Ubuntu, Centos, Apache, Nginx, Debian e argomenti di rete.