為 iOS 和 macOS 中的 802.1X 認證設定憑證信任
瞭解如何設定「受信任的憑證」與「受信任的伺服器名稱」屬性,以協助維護你的網路安全性。
802.1X 網路可能會使用伺服器端的憑證,在用戶端與認證伺服器之間建立安全的 TLS 通訊通道。用戶端會先確保伺服器的憑證受到信任,才繼續進行認證程序。如果設定描述檔中的憑證信任設定不正確,使用者加入你受 802.1X 保護的網路時,就會看到憑證信任對話框。
該對話框會提示他們驗證 RADIUS 伺服器憑證鏈資訊是否真實無誤。如果使用者在不知情的狀況下,嘗試加入假冒成你的網路的「流氓網路」,他們可能會逐一點按其中無效的憑證信任對話框。如果他們不知道如何驗證該資訊的真實性,就有可能發生這種情況。如果使用者將其有效的認證資訊提供給流氓網路,你的網路安全性可能會遭到破壞。如果你沒有為「系統」模式的 802.1X 設定描述檔設定憑證信任,使用者認證就會失敗,因為系統不會提示他們以手動方式信任伺服器憑證鏈。
在設定描述檔中設定「受信任的憑證」
找出用戶端嘗試進行認證時,你的 RADIUS 伺服器所出示的憑證鏈。這可能就是你的 RADIUS 伺服器使用的憑證。它也可能是核發 RADIUS 伺服器憑證的中繼憑證或根憑證。
將你找出的憑證加入到設定描述檔的「憑證」承載資料中。
在設定描述檔「網路」承載資料中的「信任」區段裡,找出想要信任的憑證,然後將它標示為「受信任的憑證」。
例如,如果你的環境中有一部 RADIUS 伺服器,請信任該 RADIUS 伺服器憑證或核發該憑證的憑證。如果你有多部 RADIUS 伺服器,且其憑證都由同一根憑證或中繼憑證核發,請信任該根憑證或中繼憑證,這樣你的所有 RADIUS 伺服器都會受到信任。
這些憑證信任設定也會讓 macOS 802.1X「系統模式」與「登入視窗模式」得以運作。
在設定描述檔中設定「受信任的伺服器名稱」
你也可以設定「受信任的伺服器名稱」,以防止系統提示使用者信任 RADIUS 伺服器憑證。請使用有大小寫之分,且與你的 RADIUS 伺服器憑證「一般名稱」相同的名稱。該名稱也可以包含萬用字元,用以識別同一網域中的多部 RADIUS 伺服器。如需相關資訊,請參閱 Apple Developer Configuration Profile Reference(Apple 開發者設定描述檔參考)中的 EAPClientConfiguration Dictionary。