我正在使用 EAP-TLS 进行 RADIUS 身份验证。我使用自签名 CA 和服务器/客户端证书来建立相互身份验证。
话虽如此,是否绝对有必要同时拥有服务器和客户端证书来建立 TLS ?如果是这样,那么浏览器如何仅使用服务器证书进行身份验证?EAP-PEAP (mschapv2) 也仅使用服务器证书来建立安全隧道。
派生加密密钥的服务器和客户端之间的握手消息是什么。谢谢,
问问题
77 次
2 回答
1
它是 EAP-TLS 的必需和 PEAP 的可选。EAP-TLS 中没有浏览器。你是说 802.1x 客户端吗?
于 2012-09-04T12:32:49.023 回答
1
使用 EAP-TLS 客户端身份由客户端证书传输到服务器,因此它可以授权证书认证的用户。
通常使用 EAP-PEAP 客户端通过 TLS 验证服务器身份,就像在浏览器中浏览到安全站点一样。
然后,服务器使用内部用户/通过身份验证协议 (MSCHAPv2..etc) 验证客户端身份,就像输入您的用户名和密码以登录您浏览的安全站点一样。
在进行 PEAP + 内部身份验证时,客户端证书验证不是必需的,通常不会进行。
EAP-PEAP 与 EAP-TLS 一样从 TLS 会话主机派生网络会话加密密钥。由于内部 MSCHAPv2 身份验证而派生的密钥不用于会话加密。
于 2013-01-31T19:44:34.087 回答