802.1X鸡还是鸡蛋？

Question

我正在阅读802.1X和WPA-2企业版以及如何设置它。我简要地阅读了不同的EAP，并了解到由于使用了客户端和服务器证书，EAPs是更好的身份验证方法。

然而，对于新设备是如何在不需要从网络上获取证书的情况下获取客户端证书的，我感到非常困惑。

我已经在Windows服务器上设置了一个RADIUS服务器，但是我知道非域连接设备不能使用它？当然，如果你不能真正连接到网络，你就不能将一个新的域加入到网络中！

真的很困惑，虽然我当然会误解一些东西。

Answer 1

您正确地理解:如果连接到网络的唯一方式需要证书，则如果没有证书，则无法连接。只有在安装了适当的客户端证书之后，您的设备才能连接到您的无线网络。

具体解决方案取决于设备和操作系统：

• 如果您也有有线网络，您可以将计算机连接到它并使用它获得证书；如果您正在使用Windows，则可以通过将它们加入到您的域中并让它们使用组策略自动注册客户端证书来实现这一功能。
• 您可以使用另一种身份验证方法(不涉及客户端证书)设置不同的无线网络，仅用于证书注册和/或域连接。
• 在计算机上，也可以在没有任何网络的情况下安装证书(f.e。通过使用USB棒复制)。
• 对于手机/平板电脑，您可以使用许多可用的移动设备管理(MDM)解决方案之一来提供自动提供的证书；如果没有，请参见第二点。