在 iOS 和 macOS 中配置证书信任以进行 802.1X 认证
了解如何配置“可信的证书”和“可信的服务器名称”属性来帮助保护你的网络安全。
802.1X 网络可使用服务器端证书在客户端与认证服务器之间建立安全的 TLS 通信通道。客户端应确保服务器的证书是可信的,然后再继续完成认证流程。如果你在配置描述文件中没有正确配置证书信任设置,则用户在加入你的受 802.1x 保护的网络时会看到一个证书信任对话框。
这个对话框会提示用户验证 RADIUS 服务器证书链信息是不是真实的。如果用户在不知情的情况下尝试加入冒充你网络的“流氓网络”,他们可能会点按浏览这个网络的无效证书信任对话框。如果他们不知道如何验证相关信息是不是真实的,则可能会发生这种情况。如果用户向流氓网络提供了有效凭证,则你的网络安全可能会遭到破坏。如果你没有为“系统”模式 802.1X 配置描述文件配置证书信任,则认证将失败,因为系统无法提示用户手动信任服务器证书链。
在配置描述文件中配置可信的证书
识别你的 RADIUS 服务器在客户端尝试进行认证时所显示的证书链。这可能是你 RADIUS 服务器的证书,也可能是签发 RADIUS 服务器证书的中间证书或根证书。
将你所识别的证书添加到配置描述文件的证书有效负载中。
在配置描述文件的网络有效负载的“信任”部分中,找到你想要将信任锚定到的证书,然后将这个证书标记为“可信的证书”。
例如,如果你的环境中有一台 RADIUS 服务器,则将信任锚定到该 RADIUS 服务器证书或签发该证书的证书。如果你有多个 RADIUS 服务器并且这些服务器的证书由同一根证书或中间证书签发,请将信任锚定到这个根证书或中间证书,以使你的所有 RADIUS 服务器均可信。
这些证书信任设置还可使 macOS 802.1X 系统模式和登录窗口模式正常发挥作用。
在配置描述文件中配置可信的服务器名称
你还可以配置可信的服务器名称,以防止系统提示用户信任 RADIUS 服务器证书。请使用与 RADIUS 服务器证书的通用名称相匹配且区分大小写的值。这个值还可以包含一个通配符字符,用于识别同一域中的多个 RADIUS 服务器。有关更多信息,请参阅《Apple Developer 配置描述文件参考》中的“EAPClientConfiguration 词典”。
