circle-info
Este artigo foi traduzido automaticamente. A tradução pode conter imprecisões.
Alternar para a versão original em inglês.chevron-right
search

Autenticação de Rede baseada em Certificado

Recomendamos usar nosso RADIUS-como-um-Serviço como Controlador de Acesso à Rede (NAC) para implementar autenticação baseada em certificados para WiFi, LAN ou VPN, pois permite uma configuração com um clique. No entanto, certificados SCEPman geralmente funcionam com todos os NACs que suportam autenticação baseada em certificados 802.1x padrão.

Este artigo descreve características notáveis de alguns dos NACs mais comuns.

hashtag
RADIUS-como-um-Serviço

Consulte o documentação do RADIUS-como-um-Serviçoarrow-up-right para ver como usar certificados SCEPman no RADIUS-como-um-Serviço.

hashtag
Cisco ISE

circle-info

Isso não é mais necessário para o Cisco

  • ISE Release 3.3 Patch 5 ou posterior,

  • ISE Release 3.4 Patch 2 ou posterior

O Cisco ISE comumente não suporta HTTP 1.1, apenas HTTP 1.0 para solicitações OCSP. Isso exige um Proxy de Aplicação adicional à frente do SCEPman. Consulte nosso Artigo de Solução de Problemas para ISE para detalhes.

Pelo menos algumas versões do Cisco ISE 3.x exigem uma extensão Extended Key Usage contendo o OCSP Responder Extended Key Usage para aceitar respostas OCSP, mesmo que venham de uma CA onde isso não é exigido pela RFC. As versões do SCEPman até a 1.7 não adicionavam Extended Key Usage por padrão ao seu certificado CA. A versão 1.8 permite que você adicione essa extensão por meio de uma configuração. No SCEPman 1.9, o padrão da configuração já adiciona o Extended Key Usage. Se você já tiver um certificado CA sem a extensão Extended Key Usage e tiver problemas com o Cisco ISE 3.x, pode ser necessário criar um novo certificado Root CA do SCEPman com a extensão Extended Key Usage.

hashtag
Aruba ClearPass

circle-info

Isto é não é mais necessário para o ClearPass 6.9.6 ou posterior.

Analogamente ao Cisco ISE, o Aruba ClearPass usa HTTP 1.0 para solicitações OCSP e, portanto, requer passos de configuração adicionais adicionando um Proxy de Aplicação para funcionar com o SCEPman.

hashtag
Microsoft Network Policy Server (NPS)

O NPS mapeia certificados para entidades de dispositivo ou usuário no AD (não no AAD). Como não há sincronização de dispositivos pronta para uso entre AAD e AD, normalmente não é possível usar o NPS com certificados de dispositivo distribuídos via Intune com SCEPman ou qualquer outra PKI. Certificados de usuário podem funcionar para usuários sincronizados entre AAD e AD. Os certificados devem conter os UPNs dos usuários, que o NPS usa para mapear para objetos de usuário do AD com o mesmo UPN.

hashtag
Outros

Em geral, você precisa adicionar o certificado Root CA do SCEPman como uma CA confiável no NAC.

Possivelmente, você terá que adicionar manualmente a URL OCSP do SCEPman. Você pode encontrar a URL OCSP na extensão Authority Information Access (AIA) de qualquer certificado de cliente.

Last updated

Was this helpful?