Vertrouwde certificaten configureren voor 802.1X-identiteitscontrole in iOS en macOS

Lees hier hoe je vertrouwde certificaten en de eigenschappen van vertrouwde servernamen configureert voor de beveiliging van je netwerk.

802.1X-netwerken maken mogelijk gebruik van een certificaat aan de serverzijde om het TLS-communicatiekanaal tussen de client en de identiteitscontroleserver te beveiligen. De client zorgt ervoor dat het servercertificaat vertrouwd is voordat het identiteitscontroleproces wordt voortgezet. Als je de vertrouwensinstellingen voor het certificaat niet correct configureert in een configuratieprofiel, zien gebruikers een certificaatvertrouwensvenster verschijnen wanneer ze inloggen bij een door 802.1X beveiligd netwerk.

In dit dialoogvenster wordt de gebruiker gevraagd om te controleren of de gegevens voor de certificaatketen van de RADIUS-server legitiem zijn. Als een gebruiker ongewild probeert in te loggen bij een onbetrouwbaar netwerk dat zich voordoet als je netwerk, zal deze gebruiker mogelijk doorklikken op het vertrouwensvenster met de waarschuwing dat het certificaat ongeldig is. Dit kan gebeuren als gebruikers niet weten hoe ze moeten controleren of de gegevens legitiem zijn. Als een gebruiker vervolgens met zijn of haar geldige inloggegevens inlogt bij het onbetrouwbare netwerk, kan dit de beveiliging van je netwerk in gevaar brengen. Als je geen certificaatvertrouwen configureert voor een configuratieprofiel voor systeemmodus 802.1X, dan mislukt de identiteitscontrole omdat de gebruiker niet kan worden gevraagd om de certificaatketen van de server handmatig te vertrouwen.

Vertrouwde certificaten configureren in een configuratieprofiel

1. Identificeer de certificaatketen die door de RADIUS-server wordt aangeboden wanneer een client identiteitscontrole probeert uit te voeren. Mogelijk is dit het certificaat voor je RADIUS-server. Maar het kan ook een intermediair of rootcertificaat zijn waarmee het certificaat voor de RADIUS-server is uitgegeven.

2. Voeg de certificaten die je hebt geïdentificeerd toe aan de certificatenpayload van het configuratieprofiel.

3. Zoek vervolgens in de netwerkpayload van het configuratieprofiel, in het gedeelte voor vertrouwen, het certificaat op waaraan je vertrouwen wilt verankeren. Markeer het vervolgens als een vertrouwd certificaat.

Als je bijvoorbeeld een enkele RADIUS-server in je omgeving hebt, veranker je vertrouwen aan het certificaat van die RADIUS-server of aan het certificaat dat het heeft uitgegeven. Als er meerdere RADIUS-servers zijn waarvan de certificaten allemaal zijn uitgegeven door hetzelfde intermediaire certificaat of rootcertificaat, veranker je vertrouwen aan dat intermediaire of rootcertificaat zodat alle RADIUS-servers vertrouwd zijn.

De macOS 802.1X Systeemmodus en Inlogvenstermodus kunnen alleen werken dankzij deze instellingen voor certificaatvertrouwen.

Vertrouwde servernamen configureren in een configuratieprofiel

Je kunt ook vertrouwde servernamen configureren om te voorkomen dat gebruikers gevraagd worden om RADIUS-servercertificaten te vertrouwen. Gebruik een hoofdlettergevoelige waarde die overeenkomt met de algemene naam van je RADIUS-servercertificaten. De waarde mag een jokerteken bevatten om meerdere RADIUS-servers te identificeren in hetzelfde domein. Raadpleeg voor meer informatie het EAPClientConfiguration-woordenboek in Apple Developer Configuration Profile Reference.