Перейти до

WPA-Enterprise


Demon-z

Рекомендованные сообщения

ногами не пинать)

подскажите популярным образом:

для настройки авторизации по WPA-Entreprise  нужен SSL сертификат.

на сколько я понял основная масса народу пользует самоподписное..

вопрос такой: какой тип сертификата подойдет из тех что продают СА-доверенные центры.???

 

 есть задача для корпоративной сетки, но самоподписной вариант не подойдет...

в продаже разновидностей много оных сертификатов...

 

вот к примеру из тех что здесь:

https://www.startssl.com/

или

https://www.ssls.com/

 

спасибо за вдумчивый ответ и любую другую помощь.

Ссылка на сообщение
Поделиться на других сайтах

вот еще бесплатный вариант: https://letsencrypt.org/

Они выдаются на короткий срок (сейчас вроде на 3 месяца) и нужно думать, как автоматизировать их перевыпуск. Для https/Linux это давно уже придумано, для Mikrotik - вопрос интересный...

Ссылка на сообщение
Поделиться на других сайтах

 

вот еще бесплатный вариант: https://letsencrypt.org/

Они выдаются на короткий срок (сейчас вроде на 3 месяца) и нужно думать, как автоматизировать их перевыпуск. Для https/Linux это давно уже придумано, для Mikrotik - вопрос интересный...

 

 

можно и под линуксом автоматом обновлять, а потом уже сгружать туда, где будет использоваться

Ссылка на сообщение
Поделиться на других сайтах

господа, задача не стоит в бесплатном или платном...

вопрос какой тип сертификата подойдет?

или любой подойдет?

главное чтобы девайсы юзеров не квакали об "опасности" самоподписного  сертификата....

Ссылка на сообщение
Поделиться на других сайтах

wosign -2года

startssl-1 год

letsencrypt-90 дней,авто renew

от всех этих контор бесплатные сертификаты хаваются всеми мобильными девайсами и не встречал софта который не хавал эти сертификаты

а то что они бесплатные достаточно важно, потому что ценник в среднем по рынку на сертификаты сильно не гуманный

А что бы ответить на свой вопрос,возьмите такой сертификат настройте и проверьте

И нам еще расскажите про то с какими столкнулись заморочками :)

Ссылка на сообщение
Поделиться на других сайтах

Главный  момент- какой тип аутентификации используется. Если EAP-PEAP MSChapv2 или EAP-TTLS -то на стороне  клиента ( смартфоны, планшеты) не нужно сертификата (корневой там всегда есть и он подойдет). На стороне cервера Radius - обычно все сертификаты основных выпускающих центров там есть. Поэтому   при аутентификации EAP Enterprise ( EAP-PEAP MSCHAP.v2 или EAP-TTLS) думать о сертификатах не надо. Однако эти типы аутентификации должны поддерживать точки доступа ( если речь идет о вайфай). Микротик это не поддерживает, у него есть только  EAP-TLS, который требует уникального сертификата на стороне клиента.

Ссылка на сообщение
Поделиться на других сайтах

для WPA-Enterprise сертификат должен быть с ролями:
 

Ensures the identity of a remote computer - Client Authentication (1.3.6.1.5.5.7.3.2)
Proves your identity to a remote computer - Server Authentication (1.3.6.1.5.5.7.3.1)
 
данные роли входят в обычный шаблон SSL-сертификата.
 
ДНС-имя радиус-сервера должно совпадать с именем, прописанным в настройках точки доступа, полезно прописать дополнительным именем DNS-имя сервера, которое будет в PTR-записи (если оно отличается от прямого).
 
Важно - сертификат должен быть установлен и настроен на радиус-сервере!
Відредаговано Sоrk
Ссылка на сообщение
Поделиться на других сайтах

wosign 3 года есличо.

For Free SSL Certificate, it support 5 domain names for 2 years period; if you need more domains support, then each domain will

be charged US$1.99 per year.The difference between the Free SSL Certificate and charged DV SSL Certificate is the issuer, the 

Free SSL issuer is “WoSign CA Free SSL Certificate G2”, but the charged SSL issuer is “WoSign Class 1 DV Server CA G2”.

Ссылка на сообщение
Поделиться на других сайтах

 

для WPA-Enterprise сертификат должен быть с ролями:

 

Ensures the identity of a remote computer - Client Authentication (1.3.6.1.5.5.7.3.2)
Proves your identity to a remote computer - Server Authentication (1.3.6.1.5.5.7.3.1)
 
данные роли входят в обычный шаблон SSL-сертификата.
 
ДНС-имя радиус-сервера должно совпадать с именем, прописанным в настройках точки доступа, полезно прописать дополнительным именем DNS-имя сервера, которое будет в PTR-записи (если оно отличается от прямого).
 
Важно - сертификат должен быть установлен и настроен на радиус-сервере!

 

Спасибо!!!

Ссылка на сообщение
Поделиться на других сайтах

 

wosign 3 года есличо.

For Free SSL Certificate, it support 5 domain names for 2 years period; if you need more domains support, then each domain will

be charged US$1.99 per year.The difference between the Free SSL Certificate and charged DV SSL Certificate is the issuer, the 

Free SSL issuer is “WoSign CA Free SSL Certificate G2”, but the charged SSL issuer is “WoSign Class 1 DV Server CA G2”.

 

Ой да что вы говорите :)

http://clip2net.com/s/3zyq9Xc

Ссылка на сообщение
Поделиться на других сайтах

и в догонку

http://clip2net.com/s/3zyqyXG

Это не принципиально, они иногда меняют сроки, то было 2 года, потом 1,потом снова 2.Теперь вот можно и на  3

На вопрос применимости сертификата к поставленой задаче это не влияет вообще

Ссылка на сообщение
Поделиться на других сайтах

 there is a task for the corporate nets, but a self-signed option will not work ...

 

 

 

Yes, instead of using a self-signed certificate, people should use a trusted CA (Certification) SSL certificate for their website. Read more on this http://social.technet.microsoft.com/wiki/contents/articles/15189.difference-between-self-signed-ssl-certificate-authority.aspx

Відредаговано bianca
Ссылка на сообщение
Поделиться на других сайтах

Создайте аккаунт или войдите в него для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Вхід

Уже зарегистрированы? Войдите здесь.

Войти сейчас
  • Зараз на сторінці   0 користувачів

    Немає користувачів, що переглядають цю сторінку.

  • Схожий контент

    • Від amd64_ks
      Продам точку доступа Cisco AIR-AP1832I-E-K9
      Исправная, стояла в офисном помещении. Влаги не видела. Пластина крепления в комплекте.
      Сброшена на заводские настройки.
      В наличии 2шт.
      Цена 3000грн\шт
      При покупке 2шт, цена будет скидка
      Территориально Николаев.
      Пересылка по стране Укрпочта, НП, наложка, олх доставка.
    • Від GekaPeka
      Ruijie Reyee RG-RAP2200 новая, цена 3600 грн
    • Від Kapranov
      Всім привіт. Вже декілька місяців ніяк не можу побороти проблеми з мережею в офісах. Ситуація така. Є мережа, на вході стоїть Mikrotik, далі звичайний TP-Link 1024, від нього підключені клієнти по кабелю + 8 точок UniFi. До певного часу ніби все працювало не ідеально, але відносно терпимо. Приблизно пів року тому почалися люті проблеми з мережею по Wi-Fi. Швидкість максимально не стабільна, від 30 мбіт/с могла впасти до 0.1 мбіт/с під час заміру. Грішив на точки доступу, скидав налаштування, налаштовував по новому, зняв всі шейпери, обмежень немає абсолютно. Час від часу до точок неможливо підключитися, хоча є покриття, іноді їх взагалі не бачить. Нещодавно вирішив встановити звичайний роутер, попередньо відключивши все, що було в TP-Link. Результат аналогічний. Мережа зникає, телефони її бачать через раз. На iPhone іноді свариться, що канал переповнений і не може підключитися (вдома , цей самий роутер працює без проблем). Wi-Fi аналізатор (на телефоні) показує близько 5-ти мереж, обрав оптимальний канал, але результату не помітив. 
      Не розумію, що може вбивати на стільки сильно мережу. Побутових приладів, які могли б видавати 2.45 ГГц (мікрохвильові печі і т.д.) немає. Є декілька датчиків руху в кожному офісі по 1 шт., але не впевнений, що вони так можуть глушити, вони були і раніше, коли все працювало.
       
      Можливо є рекомендації чи поради?
    • Від dudeden
      Добрый день. Есть такая непонятная штука.
      Настроил из двух микротиков CapsMan. Все работало, все хорошо. Вчера зашел в настройки на контроллере и увидел что в разделе RemoteCAP у меня висит еще один CAP соответственно и в Radio висит от него интерфейс. По Remote CAP Identity я догадываюсь где находиться эта точка и если просканить с ее интерфейса ближайшие точки кторые она видит то понимаю что точка находиться от меня 1 км. 
       
      Как такое может быть?
    • Від petoner
      Всім привіт. Підкажіть wifi антену з великою відстанню роботи 10-15км. Тобто, я хочу мати можливість підключити антену до свого tplink адаптера (або ж порадьте антену з адаптером комплекті), який підключаю до ноута, і побачити всі точки доступу в радіусі 10-15 км. Якщо щось таке є то порадьте, або ж підкажіть антену з максимальною дальністю.
       
×
×
  • Створити нове...