最近讀《Network Security》,所以這項功能沒有用過,因此本文將教學如何使用。
帳密就像口號,如果被學走,其他人也可以使用,得到通行。
憑證像是鑰匙,鑰匙是個一對一的實體檔案,拿到這把鑰匙(檔案)只能對應,也無法開鎖。對於憑證(鑰匙)保管比較嚴格,一般人也沒辦法輕易拿走,外流難度也大增。
由於憑證還可以針對性去撤銷,如果嚴格執行憑證制度,安全性會比使用帳號密碼驗證更高。
Aruba Controller可以使用Client憑證的序號作為依據,如果憑證序號對了就可以登入並取得相對應的權限。
前提
使用憑證是更安全的,為此需要具備幾點背景知識。
- 瞭解憑證信任鏈
- 瞭解憑證信任機制
- 知道如何自行簽發可受信任的憑證
- 知道如何部屬憑證
如果不明白,可以先回去瞭解,確保自己可以明白。以下是本部落格相關文章:
Android11 802.1x CA憑證問題 – 以Aruba解決方案 – JN的電腦網路日常
本文將會以Windows Server作為CA,去簽發給Server、Client的憑證。並且在Aruba Controller上啟用WebUI憑證登入,Client使用憑證登入。 ※本文的Client設備不加入網域。
憑證登入機制
在做TCP連線時,一般來說只會由「Client 去要求 Server 的憑證」,而「Server 不會要求 Client 的憑證」。
啟用憑證登入機制之後,Server就會在交握過程中去要求Client的憑證。
因此如果遇到不信任的網頁,即在Client檢查Server憑證之後,馬上就能因為Server要求Client憑證所以跳出選擇憑證的畫面。
Client憑證需要具備用途「使用者驗證」。
因為檢驗,Controller可以在後續傳送登入畫面時,有兩種版本:
- Client憑證不受信任,走一般的管理員帳號密碼登入,帳密正確則可登入。
- Client憑證受信任,即憑證序號已輸入在Controller中,帳號為憑證序號對應的名稱,按下登入鈕就可以登入。
如何取得使用者憑證?
此章節跳過在Controller部署企業CA憑證,也預設Windows Server CA已經部署完成。
要讓電腦,尤其是沒有加入網域的電腦取得使用者用途的憑證,是需要手動調整的。加入網域能讓過程變得更簡單,這部分設定可以參考《Windows Server如何快速部署以EAP-TLS進行網路連接驗證 – JN的電腦網路日常》。
Windows Server CA憑證簽發需要打通有幾個關鍵流程:憑證原則、使用有權限的帳密登入線上憑證、貼上CSR選擇原則並取得憑證。
自訂憑證原則
連到Windows server CA,針對憑證範本按右鍵,管理,即可進入到憑證範本的管理畫面。
針對「使用者」複製範本。
可以調整項目「有效期間」
加碼編譯,如果CSR的金鑰大小是1024,使用者的金鑰大小預設是2048。若未達標,錯誤就會出現。
安全性可以決定哪些帳號或群組可以註冊此原則。如果是管理員登入的憑證,建議群組要自訂,並且權限是允許「註冊」。
在「延伸」,最重要的是「用戶端驗證」一定要在。
複製與調整完成後,記得在憑證授權單位,添加此範本。
Client設備新增CSR,並交由CA簽署
在Windows 11,執行,輸入「mmc」,開啟主控台,新增或移除嵌入式管理單元,選擇「憑證」並使用目前的使用者,新增。
再點到「個人 > 憑證 」,對空白處按右鍵,建立自訂要求。
自訂要求的屬性會被憑證範本給蓋過,不過還是照實填寫。匯出Base64格式,打開檔案,複製內容。
然後連線到線上憑證CA,使用帳密登入,提交憑證,把Base64編碼的文字貼上,選擇範本,提交,然後可以進入下載憑證畫面,只需要憑證(不用憑證鏈),最後把憑證匯入到電腦中。
Aruba Controller設定(Internal-Server)
Certificate Authentication for WebUI Access
憑證驗證可以分為Internal與External,如果是Internal,在Controller上設定憑證的序號即可。
Client憑證已經簽署完成,CN即為登入線上憑證CA的帳號名稱,憑證icon左上有鑰匙,代表Client設備有此憑證的公鑰與私鑰,可以確認這是一張合格的憑證。
複製Clinet憑證的序號,輸入對應的Username與Role。Client連入時可以任意選擇憑證給Server,Server則會檢查Client憑證的CA是否選擇Trust CA相同。
