locked
Connexion à un réseau WIFI grace à un certificat et validé par un serveur Radius RRS feed

  • Question

  • Bonjour,

    Je vous expose une problématique que je rencontre lors de la configuration de mon serveur Radius pour authentifier des clients (PC portable) voulant accéder à un réseau WIFI via son certificat Ordinateur :

    But recherché : Permettre à des ordinateurs portable de se connecter à un réseau WIFI uniquement si ils disposent d'un certificat Ordinateur dont la cléf privée est protégée par la puce TPM de l'ordinateur.

    Voici la composition de mon lab de test :

    - Serveur Windows Server 2012 R2 avec le role ADCS qui est donc l'autorité de certification.

    - Serveur Windows Server 2008R2 avec le role ADDS (contrôleur de domaine) et NPS (Radius).

    - Poste client Windows 8.1 membre du domaine utilisé pour la connexion WIFI

    - Point d’accès Wifi Cisco jouant le rôle de client Radius

    En configurant le "Key attestation" (sur l'autorité de certification 2012R2 de mon lab), les certificats ordinateur disposent d'un OID/EKU ajouté par le CA sur le certificat généré : 1.3.6.1.4.1.311.21.32

    La présence de cette OID/EKU certifie que la clef privée du certificat concerné est protégée par la puce TPM.

    Je souhaite paramétrer mon server Radius (NPS Microsoft) afin celui-ci vérifie la présence de cet OID/EKU sur le certificat présenté par le PC client lorsqu'il souhaite se connecter au réseau WIFI émis par le point d’accès.

    Ce qui fait qu'un PC n'ayant pas de certificat Ordinateur protégé par sa puce TPM ne pourrait pas se connecter au réseau WIFI.

    Je ne sais pas comment paramétrer cette condition de vérification sur le serveur NPS / Radius (je ne trouve aucune option permettant de le faire).

    Pourriez vous m'aider svp ?

    Je vous remercie

    Frédéric


    jeudi 7 janvier 2016 14:15

Réponses