Configurare l'attendibilità dei certificati per le autenticazioni 802.1X in iOS e macOS
Scopri come configurare le proprietà Certificati attendibili e Nomi server attendibili per migliorare la protezione della tua rete.
Le reti 802.1X possono utilizzare un certificato lato server per stabilire un canale di comunicazione TLS protetto tra il client e il server di autenticazione. Il client si accerta che il certificato del server sia attendibile prima di continuare con il processo di autenticazione. Se non configuri correttamente le impostazioni di attendibilità dei certificati in un profilo di configurazione, quando accedono alla tua rete protetta 802.1X gli utenti vedranno una finestra di dialogo relativa all'attendibilità del certificato.
Nella finestra di dialogo viene richiesto all'utente di verificare che le informazioni relative alla catena di certificati del server RADIUS siano autentiche. Se un utente tenta inconsapevolmente di accedere a una "rete fraudolenta" che finge di essere la tua rete, potrebbe bypassarne con un clic la finestra di dialogo relativa alla non attendibilità del certificato. Questo può accadere se l'utente non sa come verificare che le informazioni siano autentiche. Se l'utente fornisce credenziali valide alla rete fraudolenta, potrebbe compromettere la sicurezza della tua rete. Se non configuri l'attendibilità dei certificati per un profilo di configurazione 802.1X in modalità Sistema, l'autenticazione non riesce perché all'utente non può essere richiesto di accettare manualmente l'attendibilità della catena di certificati del server.
Configurare Certificati attendibili in un profilo di configurazione
Identifica la catena di certificati che il server RADIUS presenta quando i client cercano di autenticarsi. Questo potrebbe essere il certificato del tuo server RADIUS oppure un certificato root o intermedio emesso dal certificato del server RADIUS.
Aggiungi i certificati che hai identificato al payload dei certificati del profilo di configurazione.
Nella sezione Autorizza del payload Rete del profilo di configurazione, trova il certificato che vuoi rendere attendibile. Quindi, contrassegnalo come Certificato attendibile.
Se ad esempio nel tuo ambiente è presente un solo server RADIUS, rendi attendibile il certificato di quel server RADIUS o il certificato che lo ha emesso. Se sono presenti più server RADIUS i cui certificati sono stati tutti emessi dallo stesso certificato root o intermedio, rendi attendibile quel certificato root o intermedio, in modo da rendere attendibili tutti i tuoi server RADIUS.
Queste impostazioni di attendibilità dei certificati consentono il funzionamento delle modalità Finestra di login e Sistema 802.1X di macOS.
Configurare Nomi server attendibili in un profilo di configurazione
Puoi inoltre configurare Nomi server attendibili per impedire che agli utenti venga richiesto di autorizzare i certificati dei server RADIUS. Usa un valore con distinzione tra maiuscole e minuscole corrispondente al nome comune dei certificati del tuo server RADIUS. Il valore può anche includere un carattere jolly per identificare più server RADIUS all'interno dello stesso dominio. Per ulteriori informazioni, consulta EAPClientConfiguration Dictionary nel Configuration Profile Reference di Apple Developer.
