802.1xEAP-TLS证书保护

Question

我正试图在我的小办公室中配置网络，以便只有特定的设备才能连接到以太网端口。我读过，最好使用802.1x和EAP作为最安全的方法。我正在尝试用freeRADIUS在pfSense上和Mikrotik交换机来配置它。

我只是不明白如何解决最终用户将证书复制到不同于我希望他使用的计算机的问题。怎么做这样的事？

编辑:在Windows上，我看到可以使用*.p12文件，它需要一个密码才能导入系统。作为管理员，我可以在不向用户提供密码的情况下进行此导入，但看起来以后可以导出证书。我不知道私钥能否被导出。

另一方面，在Ubuntu上，我根本不知道如何应用*.p12文件。在GUI中，您只能使用*.crt和*.key文件，因此这个私钥文件必须简单地放在用户的磁盘上。

Answer 1

如果使用windows，则可以安装证书，并将私钥标记为不可导出。