Al configurar clientes con WPA2 EAP-TLS, la mayoría de los clientes (es decir, mi teléfono, mi computadora) requieren un par de llaves público / privado (por razones obvias) y un certificado de autoridad de certificación.
Es este segundo parámetro para el que no estoy seguro de su uso. Mi configuración actual se ve así:
.
└── root-ca
├── wifi-client-ca
│ └── client1-client-cert
└── wifi-server-cert
Tengo una única CA raíz autofirmada ( root-ca
) que se ramifica por debajo. Mi servidor RADIUS usa wifi-server-cert
como el certificado SSL y usa la autoridad de certificado wifi-client-ca
para validar los certificados de cliente.
Uso los certificados de cadena en la implementación en todas partes, tanto para el cliente como para los componentes del certificado del lado del servidor.
No he tenido ningún problema para conectar usando client1-client-cert
y wifi-client-ca
en mis máquinas Ubuntu, pero no he podido conectarme en Android usando estos mismos certificados. Estoy pensando que el problema radica en el hecho de que Android no está escalando la cadena de certificados correctamente.
Esto se divide en dos preguntas similares:
- ¿Por qué se requiere un certificado de CA para los clientes de EAP-TLS / qué hace?
- ¿Qué certificado de CA se debe usar en mis clientes, el certificado
root-ca
(que firma directamente elwifi-server-cert
) o elwifi-client-ca
?