EAP-TLSを使用したRADIUS認証を使用しています。自己署名CAとサーバー/クライアント証明書を使用して相互認証を確立しました。
そうは言っても、TLSを確立するにはサーバーとクライアントの両方の証明書が絶対に必要ですか?もしそうなら、ブラウザはサーバー証明書のみでどのように認証しますか?また、EAP-PEAP(mschapv2)は、サーバー証明書のみを使用して安全なトンネルを確立します。
暗号化キーが取得されるサーバーとクライアント間のハンドシェイクメッセージは何ですか。ありがとう、
2 に答える
1
EAP-TLS では必須で、PEAP ではオプションです。EAP-TLS にはブラウザがありません。802.1x クライアントのことですか?
于 2012-09-04T12:32:49.023 に答える
1
EAP-TLS を使用すると、クライアント ID がクライアント証明書によってサーバーに送信されるため、証明書で認証されたユーザーを承認できます。
通常、EAP-PEAP クライアントは、ブラウザーで安全なサイトを閲覧するのと同じように、TLS 経由でサーバー ID を検証します。
次に、サーバーは、ユーザー名とパスワードを入力して閲覧した安全なサイトにログインするのと同じように、内部ユーザー/パス認証プロトコル (MSCHAPv2..etc) を使用してクライアント ID を検証します。
PEAP + 内部認証を行う場合、クライアント証明書の検証は必要なく、通常は行われません。
EAP-PEAP は、EAP-TLS と同様に、TLS セッション マスターからネットワーク セッション暗号化キーを取得します。内部 MSCHAPv2 認証の結果として得られたキーは、セッションの暗号化には使用されません。
于 2013-01-31T19:44:34.087 に答える