Page History

Поскольку стандарт аутентификации и авторизации 802.1х авторизация завязана основан на протокол протоколе TLS, то для взаимодействия с абонентами проводной/беспроводной сети вам необходимо использовать сертификат RADIUS-сервера WNAM.Внимание! Это не тот же SSL-сертификат, который вы возможно используете

Любая экосистема сертификатов (PKI) строится на основе:

• самоподписанного корневого сертификата
  этот (сертификат должен быть в хранилище доверенных корневых сертификатов подключающегося сетевого устройства. , он попадает туда в хранилище из операционной системы или её обновлений, устанавливается вручную , через MDM-систему , или через групповую политику домена);
• выпущенного им экосистемой сертификата сервера
  этот (сертификат используется RADIUS-сервером WNAM для установления TLS-соединения с клиентом);
• выпущенного им экосистемой (прямо или косвенно) клиентского сертификата
  (используется только для EAP-TLS авторизации).

Система WNAM позволяет подготовить и выпустить собственные корневой сертификат/, сертификаты серверов/, клиентские сертификаты, а также импортировать корневые /и серверные сертификаты, выпущенные вашим центром сертификатов PKI. Поддерживается При этом поддерживается одновременная работа и с теми, и с другими сертификатами, хотя в реальной жизни вы, скорее всего, будете использовать но, обычно, используется либо встроенный в WNAM центр PKI, либо ваш собственный сертификат.

При первом запуске системы WNAM хранилище сертификатов пусто, и корпоративная авторизация не будет работать, пока в системе не появится хоть хотя бы один корневой сертификат , и хоть хотя бы один сертификат сервера. Сертификаты системы настраиваются в административном интерфейсе системы WNAM , в разделе "Корпоративная авторизация - Конфигурация" → "Удостоверяющий центр". Если сертификатов там нетсертификаты в указанном разделе отсутствуют, автоматически будет предложено инициализировать новый Центр:.

Заполните Для создания удостоверяющего Центра необходимо заполнить предложенную форму. Вы создаёте При этом будет создано три сертификата: корневой, сертификат RADIUS-сервера , и промежуточный сертификат, которым будут подписываться выдаваемые сертификаты клиентов.который будет использоваться для подписи выдаваемых сертификатов клиентам. Все три сертификата создаются , естественно, вместе с закрытыми ключами , и хранятся в БД WNAM в коллекции wnam_db/certificateAuthority.

Их создание займет порядка 10 секунд 10, а в логе wnam.log появятся записи вида:

14:07:29.954 DEBUG [c.n.w.manager.CACertificateManager:277] - Certificate authority creation time: 7 sec.
14:07:29.965 DEBUG [c.n.w.manager.CACertificateManager:178] - CACertificateManager accepted client cert issuer: CN=WNAM Lab Root CA, O=Netams. LLC, OU=Development, L=Moscow, EMAILADDRESS=support@netams.com 
14:07:29.966 DEBUG [c.n.w.manager.CACertificateManager:178] - CACertificateManager accepted client cert issuer: CN=Registry Server, O=Netams. LLC, OU=Development, L=Moscow, EMAILADDRESS=support@netams.com 
14:07:29.966 DEBUG [c.n.w.manager.CACertificateManager:180] - CACertificateManager TLS server: CN=Auth Server, O=Netams. LLC, OU=Development, L=Moscow, EMAILADDRESS=support@netams.com

Созданные сертификаты видно будут отражены в таблице:.

Image RemovedImage Added

Зеленый цвет означает, что с сертификат валиден (не истек), наличие "ключа" говорит от том, что у сертификата есть закрытый ключ.(значок напротив сертификата) указывает на наличие закрытого ключа. Сертификат можно скачать , и посмотреть в него:его свойства.

Image AddedImage Removed

Запрос на экспорт сертификата с закрытым ключом (в формате PFX) отобразит ещё одно окно - , в котором необходимо задать пароль на экспортируемый контейнер (по умолчанию "123456").

Image Removed

Image Added

Для распространения сертификата клиентам понадобится, как Как минимум, вам понадобится сертификат удостоверяющего центра (без ключа, конечно), для распространения его вашим клиентам.

Встроенный центр сертификатов системы WNAM является минимально достаточным для работы авторизации. Это - не полноценная система Встроенный центр сертификатов не является полноценной системой PKI, в ней нет механизмов OCSP и SCEP, и а также многого другого. Внимание! Из соображений

...

...

...

Вы также можете пропустить автоАвто-создание собственного Центра можно пропустить, закрыв соответствующее окно создания сертификата. В таком случае вы должны необходимо импортировать в систему WNAM, как минимум, два сертификата:

• Корневой корневой сертификат вашего предприятия (без ключа);
• Сертификат сертификат RADIUS-сервера WNAM, выписанный внешними средствами, включая его закрытый ключ.

Если вы хотите создать сертификат требуется создание сертификата через запрос внешнему удостоверяющему центру, смотрите здесь.то следует действовать согласно инструкции в разделе "Запрос подписи сертификата" (здесь). Импортировать готовый сертификат можно, нажав кнопку "Импортировать сертификат" в разделе "Конфигурация" → "Удостоверяющий центр".

Image RemovedImage Added

В открывшемся окне введитенеобходимо ввести требуемые параметры:

• Для для импорта корневого сертификата - выберите выбрать файл сертификата в бинарном (DER) или текстовом BASE64 (PEM) формате;
• Для для импорта сертификата сервера -  необходимо выполнить одно из двух действий:
  • выбрать
  • выберите файл сертификата в бинарном (DER) или текстовом BASE64 (PEM) формате, и а также файл закрытого ключа сертификата (в текстовом BASE64 формате в контейнере PKCS#8 или PKCS#1); , при этом ключ должен быть без пароля;или
  • выберите выбрать файл контейнера сертификата в бинарном (PXF или P12) формате и задайте задать пароль на контейнер.

Нажмите Нажать кнопку импорта ; если всё в порядке, "Загрузить сертификат", после чего сертификат будет загружен , и отображен в списке :сертификатов.

Операция импорта сертификатов вызывает переинициализацию EAP-модуля внутри RADIUS-сервера системы WNAM; , при этом в лог-файле wnam.log будут отображены все валидные серверные и СА-сертификаты.

...