Supongamos que quiero usar EAP-TLS o EAP-MSCHAPv2 para la autenticación 802.1x para los usuarios de mi red inalámbrica que no forman parte de mi dominio. ¿Hay alguna forma de hacer que su CA sea de confianza para los usuarios que no sea ponerla manualmente en el almacén de confianza de cada dispositivo?
¿Cómo coloca su propia CA en la tienda de CA raíz de confianza de usuarios que no son miembros de su dominio?
1
1 respuesta
0
Lo recomendaría altamente contra esto. Agregar su certificado a las tiendas de dispositivos personales es una mala práctica de seguridad. Es una cuestión de confianza. ¿Deben sus dispositivos corporativos confiar en su autoridad? Sí. ¿Deberían los dispositivos de la gente al azar confiar en tu autoridad? Realmente no. Lo peor que he visto pasar cuando me conecté a una red wifi 802.1x es que me pregunte si deseo continuar con un certificado no verificable.
Sinembargo,enloquerespectaasupregunta,necesitatenerunaformadedistribuirelcertificadodeCAantesdequeunusuarioseconecte.ParaiOS,puedecrearunperfildeaprovisionamientoquecontengasucertificadoCA.TodoloquenecesitahaceresquelosusuariosvayanalaURLdelperfilensafarieinstalen.
Porloquesé,Androidesmáscomplicado.LosusuariosdeberíanprimerodescargarelcertificadoCA,luegoirasuconfiguraciónyagregarlomanualmente.
PermitirautomáticamentelainstalacióndecertificadosdeCAesimposible.Sisepermitiera,losatacantespodríanobligarteainstalarsupropiocertificadodeCAysecuestrarsitioscomoGoogleotubanco.
Fuentedelafoto:
respondido por el zzarzzur
20.07.2017 - 19:17
fuente
Lea otras preguntas en las etiquetas certificate-authority