Freeradiusおよび自己署名証明書
現在のWi-Fiインフラストラクチャは、LDAPバックエンドでFreeradiusをホストするDebianボックスに基づいています。現在、パブリックネットワークとプライベートネットワークの2つの802.1x保護SSIDがあります。LDAP属性に応じて、ユーザーは最初のネットワークまたは2番目のネットワークに接続できます。
Freeradiusには自己署名証明書があるため、接続を実行するためにサーバー証明書をインストールする必要があるWindows 7クライアントで問題が発生しています。これは、受信するすべてのPCをセットアップする必要があるため、特にパブリックネットワークでは少し面倒です。
(freeradiusの商用証明書を購入する以外に、残念ながら[ http://wiki.freeradius.org/guide/Certificate-Compatibility ] Windowsクライアントにはない方法があるかどうか疑問に思いました。すでに持っているワイルドカード証明書を受け入れます...)クライアントがその証明書を簡単に受け入れられるようにします。回避策は、キャプティブポータルを介してログを記録することです。パブリックネットワーク専用のキャプティブポータルを設定することはできますか?
サプリカントは証明書内のCNを確認できないため、(ワイルドカード証明書以外の)任意の証明書をサプリカントに提示できれば機能します。
ローカルCAをインストールするか、信頼できる商用CAによって署名された証明書を取得する以外に選択肢はありません。
キャプティブポータルに関しては、WPA/2-Enterpriseネットワーク上のキャプティブポータルにフォールバックすることはできません。
キャプティブポータルを使用して3番目の暗号化されていないSSIDをセットアップし、ユーザーがブートストラップし、ワイヤレスネットワーク構成と証明書を提供できるようにすることができます。
これは、 Cloudpath xpressconnect または eduroam cat のようなものを使用して構成を展開するアカデミックネットワークでの一般的な方法です。
最終的に、パブリックWiFiを802.1xから暗号化されていない+ CoovaChilliキャプティブポータルに移動しました。認証は、プライベートネットワークと共有されているFreeradius + LDAPに基づいており、802.1xでは変更されていません。
クライアントは2つの別々のVLANとLANに保持され、アクセスポイントではアンテナごとに複数のSSIDをブロードキャストできるため、異なる認証方法で別々のWLANを保持することができました。
CoovaChilliはWindows7/8クライアントで非常にうまく動作し(証明書の要求はなく、ユーザーにブラウザーからログインするように指示するポップアップが表示されます)、Android/iOSデバイスはキャプティブポータルを認識し、ユーザーをログインWebページにリダイレクトします。