certificados 802.1x, máquinas EAP-TLS, RADIUS e Windows

3

Ao usar a autenticação baseada em certificado 802.1x em máquinas Windows, devo usar um certificado diferente para cada máquina?

Existe um servidor RADIUS em execução na rede, as máquinas usam o EAP-TLS para conversar com o comutador de rede.

Se eu deveria, como distribuir esses certificados para centenas de computadores? Isso sempre requer intervenção manual? Eu estou pensando, o PC sem o certificado não pode se conectar à rede, para que tal tarefa não pode ser script facilmente usando o GPO. Eu posso imaginar que isso é um problema ao adicionar novos computadores ou emitir novos certificados.

    
por David 01.05.2014 / 09:41

1 resposta

4

When using 802.1x certificate-based authentication on Windows machines, should I use different certificate for each machine?

Sim, caso contrário, você também pode usar uma senha compartilhada. Ter um certificado diferente para cada máquina (ou usuário) é como impedir que os clientes descriptografem o tráfego uns dos outros.

If I should, how do I distribute these certificates for hundreds of computers? Does this always require manual intervention?

Na verdade, o método típico é um GPO que atribui à máquina um certificado assinado pela autoridade de certificação interna.

O que você está procurando é o Computer Configuration - > Windows Settings - > Security Settings - > Public Key Policies seção em Gerenciamento de Diretiva de Grupo.

Há um pouco de configuração envolvida de sua parte, mas uma vez que você a executa, ela é relativamente livre de manutenção e muito auto-mágica. Anexei uma captura de tela abaixo de nossas configurações de Política de Grupo relacionadas ao certificado para ter uma ideia do que está envolvido.

ObserveasconfiguraçõesdepolíticadegrupoWirelessNetwork(802.11)Policiesnãoexpandidas;Aquiéondeeudefinoaredesemfioedefinonossosclientessemfioparasejuntaremaelaautomaticamente.EutenhoalgumasAutoridadesdeCertificaçãoADDSconfiguradase,emseguida,tornadasconfiáveisportodasasmáquinasnoPublicKeyPolicies/TrustedRootCertificationAuthorities.Asolicitaçãodecertificadoégeradaautomaticamenteeosclientessãoregistradosautomaticamente,deacordocomomodelodecertificadodemáquinaquecriei(emnossasAutoridadesdeCertificação).

EssaconfiguraçãosignificaqueoscomputadoresprecisamseconectaraodomínioeobterseucertificadoantesdeusararedesemfioautenticadapeloRADIUS,masissoétratadoquandoamáquinaéinicialmentecriadaeporquenormalmentenãoéumproblemaenviarcertificadosatravésdaDiretivadeGrupo-paraingressarnodomínio,vocêprecisaestaraptoaseconectaraele,portanto,umcertificadopodesercriadoeatribuídonessemomento.

Assimcomoumapalavradeadvertênciarápida,tenhacuidadocomasconfiguraçõesdeinscriçãoautomática(etesteprimeiro), ou você pode acabar como meu burro idiota fez, com centenas de milhares de certificados que você não pode revogar , porque você está lançando um novo em cada logon e inicialização. (Opa!)

    
por 01.05.2014 / 15:58