主页 / server / 问题 / 986375
Accepted
F1Linux
Asked: 2019-10-02 04:48:38 +0800 CST

使用证书的 MikroTik EAP-TLS WiFi 配置

  • 772

将 EAP-TLS 身份验证与 WiFi 客户端连接证书一起使用有哪些优点缺点?这与仅使用标准 WPA2 密码身份验证相比有何优势?

如何为MikroTik路由器配置 EAP-TLS 身份验证?

ssl

1 个回答

  1. Best Answer

    使用 EAP-TLS 证书对 WiFi 客户端进行身份验证:

    优点:

    • 精细访问控制:可以基于证书授予和限制访问权限,这与所有用户共享相同 SSID 密码的 WPA2 身份验证不同
    • 身份验证:WPA2 密码验证仅证明连接的 WiFi 用户知道密码。证书验证用户和他们连接的 AP 的身份
    • 客户端和路由器之间的流量加密: “EAP- TLS ”的“ TLS ”部分确保客户端和路由器之间的流量被加密。这是相当不错的...

    缺点:

    • 更高的管理负担:为每个 WiFi 用户创建证书并配置他们的访问权限比设置共享密码需要更多的努力。
    • 不适合公共网络:酒店、机场、咖啡馆等无法为其庞大的瞬时 WiFi 用户群配置基于证书的访问。

    如何兼容性:

    • RouterOS 版本:使用 ***RouterOS v6.45.1 到 v 6.46 *** 记录和开发过程。自 20191214 起经过测试并已知可正常工作。

    • 证书创建程序:经过测试并已知可与 IOS 11-13.3 和 OSX Mojave 和 Catalina 客户端一起使用。如果使用 EAP-TLS 连接 Windows 或其他客户端,则为 YMMV。

    警告:

    本教程中提供的RouterOS CLI 命令是出色的模板。但是在执行本教程中的命令之前,您必须检查并更改我的占位符和默认值,包括证书导出密码。

    配置过程概述:MikroTik 路由器

    A)创建证书:(3)必须创建证书类型:

    • 服务器:为 EAP-TLS 连接的 MikroTik 端创建证书。这将由使用 EAP-TLS 身份验证的无线接口使用。

    • 客户端:为使用我们为 EAP-TLS 配置的无线接口连接到 SSID的每个客户端创建证书。

    • 证书颁发机构:此证书用于通过签署客户端和服务器证书来为证书创建信任链。

    B)配置无线安全配置文件:在无线安全配置文件中指定证书。我们将为Security Profile使用 EAP-TLS 身份验证的无线接口和每个连接的客户端创建无线。

    C)配置无线接口:最后,我们将创建一个无线接口,Security Profile为接口指定无线。

    第 1 部分:创建证书

    创建CA(证书颁发机构)证书:

    /certificate add name=CAF1Linux-template common-name=CAF1Linux country=GB days-valid=3650 key-size=4096 locality="Your Town" organization="Your Orgsanization" state=YourCounty trusted=yes unit="Technical Services" subject-alt-name="IP:1.2.3.4" key-usage=digital-signature,key-cert-sign,crl-sign;

/certificate sign CAF1Linux-template ca-crl-host="1.2.3.4" name=CAF1Linux

    导出PEM格式证书:

    /certificate export-certificate CAF1Linux export-passphrase="REPLACE ME WITH YOUR OWN CERTIFICATE PASSPHRASE"

    该命令/certificate export-certificate在文件中创建 (2) 个新证书:

     cert_export_CAF1Linux.crt
 cert_export_CAF1Linux.key

    导出PKCS12格式证书:

    /certificate export-certificate CAF1Linux export-passphrase="REPLACE ME WITH YOUR OWN CERTIFICATE PASSPHRASE" type=pkcs12

    附加type=pkcs12/certificate export-certificate命令将在“文件”中产生以下内容:

    cert_export_CAF1Linux.p12

    创建服务器证书:

    这是 MikroTik 提供 EAP-TLS 身份验证的无线接口使用的证书。

    注意:你会在key-usage我另外指定的地方评论ipsec-tunnel,ipsec-end-system。我对 WiFi 和 VPN 访问使用相同的证书,这样可以在服务器遭到破坏或撤销用户访问时轻松集中撤销这两种服务的证书。

    /certificate add name=F1LinuxServer-template common-name="F1LinuxServer" country=GB days-valid=3650 key-size=4096 locality="Your City or Town" organization="Your Company" state=YourStateOrCounty trusted=yes unit="Technical Services" subject-alt-name="IP:1.2.3.4" key-usage=digital-signature,data-encipherment,key-agreement,ipsec-tunnel,ipsec-end-system,tls-server,tls-client;

/certificate sign F1LinuxServer-template ca=CAF1Linux name=F1LinuxServer

/certificate set F1LinuxServer trusted=yes

    导出PEM格式证书:

    /certificate export-certificate F1LinuxServer export-passphrase="REPLACE ME WITH YOUR OWN CERTIFICATE PASSPHRASE"

    导出PKCS12格式证书:Apple 客户端需要 pkcs12 证书,因此我们将额外以 pkcs12 格式导出所有客户端证书

    /certificate export-certificate F1LinuxServer export-passphrase="REPLACE ME WITH YOUR OWN CERTIFICATE PASSPHRASE" type=pkcs12

    重复上述过程,为每个连接客户端创建唯一证书。

    创建客户端证书:

    下面显示了 MacBook 的示例,但是对于任何支持 EAP-TLS 身份验证的设备,该过程都是相同的。

    /certificate add name=F1LinuxClientMacBook-template common-name=F1LinuxClientIpadPro country=GB days-valid=3650 key-size=4096 locality="Your City or Town" organization="Your Company" state=YourStateOrCounty trusted=yes unit="Technical Services" subject-alt-name="" key-usage=digital-signature,data-encipherment,key-agreement,ipsec-tunnel,ipsec-end-system,tls-client;

/certificate sign F1LinuxClientMacbook-template ca=CAF1Linux name=F1LinuxClientMacBook

/certificate set F1LinuxClientMacBook trusted=yes

    导出PEM格式证书:

    /certificate export-certificate F1LinuxClientMacBook export-passphrase="REPLACE ME WITH A DIFFERENT PASSPHRASE FOR EACH CLIENT CERTIFICATE"

    导出PKCS12格式证书:

    /certificate export-certificate F1LinuxClientMacBook export-passphrase="REPLACE ME WITH A DIFFERENT PASSPHRASE FOR EACH CLIENT CERTIFICATE" type=pkcs12

    第 2 部分:配置无线安全配置文件

    使用 EAP-TLS 身份验证为每个连接的无线客户端创建证书后,您可以使用这些证书创建无线安全配置文件

    与为所有连接客户端设置单一密码的标准 WPA2 密码加密不同,由于每个无线客户端都有一个唯一的证书,我们必须为每个设备和无线接口本身创建一个安全配置文件。

    服务器Security Profile

    /interface wireless security-profiles add name="24083_F1_EAP_TLS_Server" mode=dynamic-keys authentication-types=wpa2-eap unicast-ciphers=aes-ccm group-ciphers=aes-ccm wpa-pre-shared-key="" wpa2-pre-shared-key="" supplicant-identity="" eap-methods=eap-tls tls-mode=verify-certificate tls-certificate=F1LinuxServer mschapv2-username="" mschapv2-password="" disable-pmkid=no static-algo-0=none static-key-0="" static-algo-1=none static-key-1="" static-algo-2=none static-key-2="" static-algo-3=none static-key-3="" static-transmit-key=key-0 static-sta-private-algo=none static-sta-private-key="" radius-mac-authentication=yes radius-mac-accounting=yes radius-eap-accounting=yes interim-update=0s radius-mac-format=XX:XX:XX:XX:XX:XX radius-mac-mode=as-username radius-called-format=mac:ssid radius-mac-caching=disabled group-key-update=5m management-protection=allowed management-protection-key=""

    客户Security Profile

    /interface wireless security-profiles add name="24083_F1_EAP_TLS_MacBook" mode=dynamic-keys authentication-types=wpa2-eap unicast-ciphers=aes-ccm group-ciphers=aes-ccm wpa-pre-shared-key="" wpa2-pre-shared-key="" supplicant-identity="" eap-methods=eap-tls tls-mode=verify-certificate tls-certificate=F1LinuxClientMacBook mschapv2-username="" mschapv2-password="" disable-pmkid=no static-algo-0=none static-key-0="" static-algo-1=none static-key-1="" static-algo-2=none static-key-2="" static-algo-3=none static-key-3="" static-transmit-key=key-0 static-sta-private-algo=none static-sta-private-key="" radius-mac-authentication=yes radius-mac-accounting=yes radius-eap-accounting=yes interim-update=0s radius-mac-format=XX:XX:XX:XX:XX:XX radius-mac-mode=as-username radius-called-format=mac:ssid radius-mac-caching=disabled group-key-update=5m management-protection=allowed management-protection-key=""

    对使用 EAP-TLS 进行身份验证的每个设备重复上述命令,记住更改证书的名称。

    第 3 部分:使用 EAP AUTH 配置虚拟 AP

    最后配置一个无线接口以使用服务器的 EAP-TLS 安全配置文件:

    /interface wireless name="wlan1010" mtu=1500 l2mtu=1600 mac-address=74:4D:28:XX:XX:XX arp=proxy-arp interface-type=virtual master-interface=wlan5ghz mode=ap-bridge ssid="240E83_F1_EAP" vlan-mode=no-tag vlan-id=1 wds-mode=disabled wds-default-bridge=none wds-ignore-ssid=no bridge-mode=enabled default-authentication=no default-forwarding=yes default-ap-tx-limit=0 default-client-tx-limit=0 hide-ssid=yes security-profile=24083_F1_EAP_TLS_Server

    备份配置和证书:

    现在您已经完成了所有这些工作,请确保备份配置。我对备份RBmodelNumber-YearMonthDay-Time_ROSversionNumber.rsc使用命名约定:

    /export compact file=RB4011-20191214-1644_ROSv6.46.0.rsc

    请注意*:虽然您可以将配置恢复到新的 MikroTik,但这些备份不会捕获您的证书。打开 Web 浏览器并通过 WebGUI 连接到 MikroTik。转到“文件”菜单,您可以将它们中的每一个下载到您的笔记本电脑上,然后将它们放在安全且合理的地方以进行长期存储。

    客户端配置

    要了解如何配置 IOS 和 OSX 客户端以使用 EAP-TLS 身份验证,请转到此处

    • 2

相关问题