用于保护本地WLAN内部安全的EAP-TLS？

Question

我正在寻找一个用于工业环境的wi网络。我有一个客户端设备池，它应该自动连接到AP (选择与特定模式匹配的SSID)。这些客户端都是没有交互用户界面的“设备”，因此必须自动连接。有些是基于Debian的Linux，另一些是Espressif ESP32微控制器.我需要确定应该使用什么样的身份验证策略，以及从长远来看应该如何管理凭据。

从我所拥有的各种硬件上支持的协议列表来看，WPA2 3-个人和WPA2-Enterprise都是受支持的。

WPA2-EnterprisewithEAP-TLS对RADIUS服务器的身份验证乍一看似乎更合适(每个连接加密PMK，没有预共享密钥，双方具有不同秘密的相互身份验证)，但我不清楚对EAP证书的详细要求。

这些无线网络的目的是纯粹的私有无线局域网，没有路由到互联网。因此，我打算设置一个私有根CA和中间CA，并手动将根和中间公钥证书分发给客户端设备，作为其初始软件加载的一部分，而不是使用来自商业当局的证书。我还不确定WLAN内是否会有DNS服务器；我认为我可以使用静态私有if来处理所有客户端需要交谈的服务，以及AP到RADIUS连接，但如果有必要，我可以设置一个私有本地DNS。

微软文档似乎说，对于EAP的Windows实现，服务器证书必须指定特定的完全限定的域名，而客户端证书必须指定特定的(AD?)用户身份。是否可以在AD域基础结构上下文之外使用Windows的RADIUS/EAP实现？

EAP-TLS一般要求将服务器证书绑定到特定的域名，还是要求客户端证书绑定到唯一的用户身份？

那非MS实现呢？如果我使用EAP运行Linux RADIUS服务器，那么EAP服务器证书需要实际认证什么？是否可以将其配置为在没有特定服务器标识的情况下呈现通用服务器证书，只需依赖于客户端证书存储中存在的中间证书和根证书就可以提供足够的身份验证？

同样，一个通用的EAP客户端证书可以部署到所有客户端并由RADIUS服务器验证吗？

Answer 1

WPA2 2-对RADIUS服务器进行EAP-TLS身份验证的企业乍一看似乎更适合(每次连接加密PMK，无预共享密钥，双方具有不同秘密的相互身份验证)

在WPA3-SAE (WPA3-personal)中，PMK也是每个连接(这可以防止被动窃听)：然而，任何站都可以使用共享密码来模拟AP。当与password标识符相结合时，可以为每个设备提供不同的密码，从而防止出现此问题。

EAP-TLS一般要求将服务器证书绑定到特定的域名，还是要求客户端证书绑定到唯一的用户身份？

服务器标识在服务器证书中找到。此服务器标识为应在车站提供。

使用唯一的用户/站点标识可以允许您添加一些附加约束(VLAN等)。并且可以帮助您撤销一些访问，以防一个设备损坏/退役/受损。

是否可以将其配置为在没有特定服务器标识的情况下呈现通用服务器证书，只需依赖于客户端证书存储中存在的中间证书和根证书就可以提供足够的身份验证？

总的来说是可以的。使用西帕_乞求者，您可以使用domain_match选项根据某些值验证服务器主机名。除非您的站点配置为使用专用CA (不用于任何其他服务器)，否则您可以使用此选项或类似选项：

当与上述WPA3方法之一执行EAP交换时，如果以下任何一项都为真，则服务器证书验证失败。

1. STA配置EAP凭据，其中包括与接收的服务器证书消息中的证书完全相等的服务器证书。
2. STA配置了EAP凭据，该凭据显式指定一个CA根证书，该证书与接收的服务器证书消息中的根证书匹配；如果EAP凭据还包括一个域名(FQDN或仅为后缀)，则它与接收的服务器证书消息中的证书的域名(如果存在SubjectAltName dNSName，则匹配SubjectName CN)。
3. STA配置了EAP凭据，其中包含与接收的服务器证书消息中的证书的域名(如果存在SubjectAltName dNSName，则为SubjectName CN)匹配的域名(FQDN或仅后缀)，并且该证书的根证书存在于STA的信任根存储区中。

我建议您始终验证服务器名称。

同样，一个通用的EAP客户端证书可以部署到所有客户端并由RADIUS服务器验证吗？

它应该可以工作，但这样您就无法撤销对已损坏/退役/受损的站点的访问。