¿Necesito un certificado de CA y un certificado de servidor en un servidor Radius?

1

El OP en este hilo: Por qué ¿Se requiere un certificado de CA para los clientes EAP-TLS?

dijo "Mi servidor RADIUS usa wifi-server-cert como el certificado SSL, y usa la autoridad de certificación wifi-client-ca para validar los certificados de los clientes".

Alguien me puede decir:

! / ¿Es necesario (o ventajoso) utilizar un certificado de servidor y un certificado de CA en un servidor de Radius (o tengo mis cables cruzados!)

2 / Y si es así, ¿cómo está organizado?

En este momento estoy intentando configurar un iPad para conectarme a través de WPA 2 Enterprise EAP-TLS.

Estoy usando una unidad de almacenamiento conectado a red Qnap que tiene una opción de servidor de radio. Aceptará un certificado y una clave, más un certificado intermedio, todo en formato ascii.

Estoy usando Openssl a través de XCA gui para crear certificados autofirmados.

Hasta ahora, la única forma que puedo encontrar para hacer que funcione es tener CA raíz en el servidor Radius. Certificado de cliente y clave (p.12 encadenado) más certificado de CA raíz (.cer) en el perfil de ios de Apple para el iPad.

3 / ¿Entonces también es un riesgo para la seguridad utilizar la CA raíz en el servidor Radius?

    
pregunta Mark Owen 10.10.2016 - 18:04
fuente

1 respuesta

1

El certificado de CA solo se usa para establecer una autoridad de certificados de confianza mutua para el cliente y el servidor. Esto permite que cada uno sepa que el otro no es un imitador malicioso.

  1. El servidor RADIUS necesita un certificado de CA para poder verificar que la CA confíe en todos los clientes conectados. También tendrá un certificado independiente y una clave privada que utilizará cuando se comunique.
  2. Esto se hace colocando el certificado de CA y el certificado del servidor en el servidor. El cliente presentará un certificado firmado por la CA. (Ya sea directamente oa través de CA intermedias). El servidor verificará la firma para verificar que esto es correcto y aceptará la conexión.

  3. El simple hecho de dejar el certificado raíz no es un riesgo de seguridad. Es una clave pública, que debe mostrarse a terceros para que puedan comprobar que la firma de una CA es auténtica. Sin embargo, usar el certificado raíz para la comunicación requiere tener la clave privada disponible. Esta clave es muy sensible a la seguridad y no debe ser fácilmente accesible. Su uso para un servidor de radio es un riesgo importante para la seguridad.

respondido por el ztk 10.10.2016 - 22:03
fuente

Lea otras preguntas en las etiquetas