在 iOS 和 macOS 中配置证书信任以进行 802.1X 鉴定

了解如何配置“可信的证书”和“可信的服务器名称”属性来帮助保护您的网络安全。

802.1X 网络可使用服务器端证书在客户端与鉴定服务器之间建立安全的 TLS 通信通道。客户端应确保服务器的证书是可信的,然后再继续完成鉴定流程。如果您在配置描述文件中没有正确配置证书信任设置,则用户在加入您的受 802.1x 保护的网络时会看到一个证书信任对话框。

这个对话框会提示用户验证 RADIUS 服务器证书链信息是不是真实的。如果用户在不知情的情况下尝试加入冒充您网络的“流氓网络”,他们可能会点按浏览这个网络的无效证书信任对话框。如果他们不知道如何验证相关信息是不是真实的,则可能会发生这种情况。如果用户向流氓网络提供了有效证书,则您的网络安全可能会遭到破坏。如果您没有为“系统”模式 802.1X 配置描述文件配置证书信任,则鉴定将失败,因为系统无法提示用户手动信任服务器证书链。 

在配置描述文件中配置可信的证书

  1. 识别您的 RADIUS 服务器在客户端尝试进行鉴定时所显示的证书链。这可能是您 RADIUS 服务器的证书,也可能是签发 RADIUS 服务器证书的中间证书或根证书。
  2. 将您所识别的证书添加到配置描述文件的证书有效负载中。
  3. 在配置描述文件的网络有效负载的“信任”部分中,找到您想要将信任锚定到的证书,然后将这个证书标记为“可信的证书”。

例如,如果您的环境中有一台 RADIUS 服务器,则将信任锚定到该 RADIUS 服务器证书或签发该证书的证书。如果您有多个 RADIUS 服务器并且这些服务器的证书由同一根证书或中间证书签发,请将信任锚定到这个根证书或中间证书,以使您的所有 RADIUS 服务器均可信。

这些证书信任设置还可使 macOS 802.1X 系统模式和登录窗口模式正常发挥作用。

在配置描述文件中配置可信的服务器名称

您还可以配置可信的服务器名称,以防止系统提示用户信任 RADIUS 服务器证书。请使用与 RADIUS 服务器证书的通用名称相匹配且区分大小写的值。这个值还可以包含一个通配符字符,用于识别同一域中的多个 RADIUS 服务器。有关更多信息,请参阅《Apple Developer 配置描述文件参考》中的“EAPClientConfiguration 词典”。

发布日期: