none
Покупка коммерческого сертификата для RADIUS WPA2-Enterprise PEAP RRS feed

  • Вопрос

  • Добрый день!

    Товарищи, подскажите, какой коммерческий сертификат нужно приобрести на RADIUS сервер для организации WiFi сети WPA2-Enterprise PEAP.

    В компании планируется 2 ух уровневая PKI инфраструктура, на первоначальном этапе (тестовом) развернута одно уровневая.

    Насколько я понимаю в случае PEAP, сертификат требуется только со стороны сервера NPS. Тогда я должен купить сертификат у того же VeriSign например, и подписать им CA, который в свою очередь выдает сертификат на RADIUS сервер. Когда клиент (планшет Android) будет подключаться к WiFi он получит от сервера RADIUS сертификат сервера, сравнит с корневыми доверенными ЦС находящимися в локальном хранилище Android'а и разрешит создание TLS между клиентом и сервером. Далее логин-пароль.

    Но какой сертификат нужно купить в данном случае?

    Требования к сертификатам я знаю, есть на technet "Требования к сертификатам при использовании протоколов PEAP"

    Буду крайне признателен за помощь!
    10 сентября 2014 г. 8:42

Ответы

  • 1. Да возможен вариант кросс-сертифкации для вашего корневого ЦС.

    2. Учите матчасть. Например, здесь

    4. Вам передаются в таком случае слишком большие полномочия.

    Рекомендую ограничиться сертификатом для самого сервера RADIUS


    Слава России!

    10 сентября 2014 г. 9:18

Все ответы

  • Сертификат вам нужен для подчиненного ЦС, возможно - с ограничением по выдаваемым сертификатам именами, соответствующими вашему домену. Технически это возможно, но вот продадут ли вам такой - это ещё вопрос.

    Слава России!

    10 сентября 2014 г. 8:50
  • 1) Товарищь почему для подчиненного ЦС?

    Ведь должна соблюдаться цепочка проверки: РАДИУС сертификат - сертификат подчиненного ЦС - сертификат корневого ЦС - доверенный коммерческий ЦС. То есть коммерческим сертификатом нужно подписывать root CA.

    2) Не понял какие ограничения по именам?

    3) Если технически это возможно, то как мне правильно обратиться в тот же VeriSign или Thawte чтобы сделать запрос на подобный сертификат?

    4) Почему есть сомнение что могут такое не продать?

    10 сентября 2014 г. 9:07
  • 1. Да возможен вариант кросс-сертифкации для вашего корневого ЦС.

    2. Учите матчасть. Например, здесь

    4. Вам передаются в таком случае слишком большие полномочия.

    Рекомендую ограничиться сертификатом для самого сервера RADIUS


    Слава России!

    10 сентября 2014 г. 9:18
  • Спасибо!

    Но всё же, где можно купить подобный сертификат (в удостоверяющих центрах продаются только SSL сертификаты для защиты домена или ip, защищающие https)?

    11 сентября 2014 г. 5:57