View Source

Поскольку стандарт аутентификации и авторизации 802.1х основан на протоколе TLS, то для взаимодействия с абонентами проводной/беспроводной сети необходимо использовать сертификат RADIUS-сервера WNAM.

Сертификат RADIUS-сервера WNAM не является SSL-сертификатом, который возможно использовать для веб-интерфейса системы WNAM. В обычном сертификате веб-сервера недостаточно важных полей и свойств для полноценной работы корпоративной авторизации.

Любая экосистема сертификатов (PKI) строится на основе:

самоподписанного корневого сертификата (сертификат должен быть в хранилище доверенных корневых сертификатов подключающегося сетевого устройства, он попадает в хранилище из операционной системы или её обновлений, устанавливается вручную через MDM-систему или через групповую политику домена);
выпущенного экосистемой сертификата сервера (сертификат используется RADIUS-сервером WNAM для установления TLS-соединения с клиентом);
выпущенного экосистемой (прямо или косвенно) клиентского сертификата (используется только для EAP-TLS авторизации).

Система WNAM позволяет подготовить и выпустить собственные корневой сертификат, сертификаты серверов, клиентские сертификаты, а также импортировать корневые и серверные сертификаты, выпущенные вашим центром сертификатов PKI. При этом поддерживается одновременная работа и с теми, и с другими сертификатами, но, обычно, используется либо встроенный в WNAM центр PKI, либо ваш собственный сертификат.

При первом запуске системы WNAM хранилище сертификатов пусто, и корпоративная авторизация не будет работать, пока в системе не появится хотя бы один корневой сертификат и хотя бы один сертификат сервера. Сертификаты системы настраиваются в административном интерфейсе системы WNAM в разделе "Конфигурация" → "Удостоверяющий центр". Если сертификаты в указанном разделе отсутствуют, автоматически будет предложено инициализировать новый Центр.

Wireless Network Access Manager > Удостоверяющий центр > create_pki.png

Для создания удостоверяющего Центра необходимо заполнить предложенную форму. При этом будет создано три сертификата: корневой, сертификат RADIUS-сервера и промежуточный сертификат, который будет использоваться для подписи выдаваемых сертификатов клиентам. Все три сертификата создаются вместе с закрытыми ключами и хранятся в БД WNAM в коллекции wnam_db/certificateAuthority.

Их создание займет порядка 10 секунд, а в логе wnam.log появятся записи вида:

14:07:29.954 DEBUG [c.n.w.manager.CACertificateManager:277] - Certificate authority creation time: 7 sec.
14:07:29.965 DEBUG [c.n.w.manager.CACertificateManager:178] - CACertificateManager accepted client cert issuer: CN=WNAM Lab Root CA, O=Netams. LLC, OU=Development, L=Moscow, EMAILADDRESS=support@netams.com 
14:07:29.966 DEBUG [c.n.w.manager.CACertificateManager:178] - CACertificateManager accepted client cert issuer: CN=Registry Server, O=Netams. LLC, OU=Development, L=Moscow, EMAILADDRESS=support@netams.com 
14:07:29.966 DEBUG [c.n.w.manager.CACertificateManager:180] - CACertificateManager TLS server: CN=Auth Server, O=Netams. LLC, OU=Development, L=Moscow, EMAILADDRESS=support@netams.com

Созданные сертификаты будут отражены в таблице.

Wireless Network Access Manager > Удостоверяющий центр > image2023-6-21_19-50-32.png

Зеленый цвет означает, что с сертификат валиден (не истек), наличие "ключа" (значок напротив сертификата) указывает на наличие закрытого ключа. Сертификат можно скачать и посмотреть его свойства.

Wireless Network Access Manager > Удостоверяющий центр > image2023-6-21_19-53-40.png

Запрос на экспорт сертификата с закрытым ключом (в формате PFX) отобразит ещё одно окно, в котором необходимо задать пароль на экспортируемый контейнер (по умолчанию "123456").

Wireless Network Access Manager > Удостоверяющий центр > image2023-6-21_19-59-57.png

Для распространения сертификата клиентам понадобится, как минимум, сертификат удостоверяющего центра (без ключа).

Встроенный центр сертификатов системы WNAM является минимально достаточным для работы авторизации. Встроенный центр сертификатов не является полноценной системой PKI, в ней нет механизмов OCSP и SCEP, а также многого другого.

В целях безопасности удалить созданные сертификаты центра сертификации из интерфейса администратора WNAM нельзя: их удаление возможно только напрямую из базы данных.

Авто-создание собственного Центра можно пропустить, закрыв соответствующее окно создания сертификата. В таком случае необходимо импортировать в систему WNAM, как минимум, два сертификата:

корневой сертификат вашего предприятия (без ключа);
сертификат RADIUS-сервера WNAM, выписанный внешними средствами, включая его закрытый ключ.

Если требуется создание сертификата через запрос внешнему удостоверяющему центру, то следует действовать согласно инструкции в разделе "Запрос подписи сертификата" (здесь). Импортировать готовый сертификат можно, нажав кнопку "Импортировать сертификат" в разделе "Конфигурация" → "Удостоверяющий центр".

Wireless Network Access Manager > Удостоверяющий центр > image2023-6-21_20-13-9.png

В открывшемся окне необходимо ввести требуемые параметры:

для импорта корневого сертификата - выбрать файл сертификата в бинарном (DER) или текстовом BASE64 (PEM) формате;
для импорта сертификата сервера необходимо выполнить одно из двух действий:
- выбрать файл сертификата в бинарном (DER) или текстовом BASE64 (PEM) формате, а также файл закрытого ключа сертификата (в текстовом BASE64 формате в контейнере PKCS#8 или PKCS#1), при этом ключ должен быть без пароля;
- выбрать файл контейнера сертификата в бинарном (PXF или P12) формате и задать пароль на контейнер.

Нажать кнопку импорта "Загрузить сертификат", после чего сертификат будет загружен и отображен в списке сертификатов.

Wireless Network Access Manager > Удостоверяющий центр > create_pki_imported.png

Операция импорта сертификатов вызывает переинициализацию EAP-модуля внутри RADIUS-сервера системы WNAM, при этом в лог-файле wnam.log будут отображены все валидные серверные и СА-сертификаты.