Vertrouwde certificaten configureren voor 802.1X-identiteitscontrole in iOS en macOS

Lees hier hoe u vertrouwde certificaten en de eigenschappen van vertrouwde servernamen configureert voor de beveiliging van uw netwerk.

802.1X-netwerken maken mogelijk gebruik van een certificaat aan de serverzijde om het TLS-communicatiekanaal tussen de client en de identiteitscontroleserver te beveiligen. De client zorgt ervoor dat het servercertificaat vertrouwd is voordat het identiteitscontroleproces wordt voortgezet. Als u de vertrouwensinstellingen voor het certificaat niet correct configureert in een configuratieprofiel, zien gebruikers een certificaatvertrouwensvenster verschijnen wanneer ze inloggen bij een door 802.1X beveiligd netwerk.

In dit dialoogvenster wordt de gebruiker gevraagd om te controleren of de gegevens voor de certificaatketen van de RADIUS-server legitiem zijn. Als een gebruiker ongewild probeert in te loggen bij een onbetrouwbaar netwerk dat zich voordoet als uw netwerk, zal deze gebruiker mogelijk doorklikken op het vertrouwensvenster met de waarschuwing dat het certificaat ongeldig is. Dit kan gebeuren als gebruikers niet weten hoe ze moeten controleren of de gegevens legitiem zijn. Als een gebruiker vervolgens met zijn of haar geldige inloggegevens inlogt bij het onbetrouwbare netwerk, dan kan dit de beveiliging van uw netwerk in gevaar brengen.  Als u geen certificaatvertrouwen configureert voor een configuratieprofiel voor systeemmodus 802.1X, dan mislukt de identiteitscontrole omdat de gebruiker niet kan worden gevraagd om de certificaatketen van de server handmatig te vertrouwen. 

Vertrouwde certificaten configureren in een configuratieprofiel

  1. Identificeer de certificaatketen die door de RADIUS-server wordt aangeboden wanneer een client identiteitscontrole probeert uit te voeren. Mogelijk is dit het certificaat voor uw RADIUS-server. Maar het kan ook een intermediair of rootcertificaat zijn waarmee het certificaat voor de RADIUS-server is uitgegeven.
  2. Voeg de certificaten die u hebt geïdentificeerd toe aan de certificatenpayload van het configuratieprofiel.
  3. Zoek vervolgens in de netwerkpayload van het configuratieprofiel, in het gedeelte voor vertrouwen, het certificaat op waaraan u vertrouwen wilt verankeren. Markeer het vervolgens als een vertrouwd certificaat.

Als u bijvoorbeeld een enkele RADIUS-server in uw omgeving hebt, verankert u vertrouwen aan het certificaat van die RADIUS-server of aan het certificaat dat het heeft uitgegeven. Als er meerdere RADIUS-servers zijn waarvan de certificaten allemaal zijn uitgegeven door hetzelfde intermediaire certificaat of rootcertificaat, verankert u vertrouwen aan dat intermediaire of rootcertificaat zodat alle RADIUS-servers vertrouwd zijn.

De macOS 802.1X Systeemmodus en Inlogvenstermodus kunnen alleen werken dankzij deze instellingen voor certificaatvertrouwen.

Vertrouwde servernamen configureren in een configuratieprofiel

U kunt ook vertrouwde servernamen configureren om te voorkomen dat gebruikers gevraagd worden om RADIUS-servercertificaten te vertrouwen. Gebruik een hoofdlettergevoelige waarde die overeenkomt met de algemene naam van uw RADIUS-servercertificaten. De waarde mag een jokerteken bevatten om meerdere RADIUS-servers te identificeren in hetzelfde domein. Raadpleeg voor meer informatie het EAPClientConfiguration-woordenboek in Apple Developer Configuration Profile Reference.

Publicatiedatum: