RADIUS poslužitelji obrađuju zahtjeve koji dolaze putem RADIUS protokola, te u svom radu mogu upotrebljavati certifikate. Certifikati se koriste u slučaju korištenja 802.1x/EAP autentikacijskih procedura EAP-TLS i EAP-TTLS, te sa stanovišta RADIUS poslužitelja služe kako bi se na siguran način zatvorio/kriptirao tunel kojim se prenose autentikacijski parametri.
RADIUS poslužitelji obrađuju zahtjeve koji dolaze putem RADIUS protokola, te u svom radu mogu upotrebljavati certifikate.
Certifikati se koriste u slučaju korištenja 802.1x/EAP autentikacijskih procedura EAP-TLS i EAP-TTLS, te sa stanovišta RADIUS poslužitelja služe kako bi se na siguran način zatvorio/kriptirao tunel kojim se prenose autentikacijski parametri.
EAP-TLS
EAP-TLS u svom radu koristi isključivo certifikate i smatra se jednim od najsigurnijih autentikacijskih protokola.
Certifikati se koriste kako bi se prvo provjerio sam RADIUS poslužitelj od strane klijenta pri uspostavi kriptiranog tunela između klijenta i RADIUS poslužitelj. Nakon ove provjere slijedi autentikacijska procedura u kojoj se korisnik putem svog klijenta predstavlja svojim certifikatom (PKI), a RADIUS poslužitelj obavlja autentikaciju istoga. Uobičajeno je da se korisnički certifikat nalazi na prenosivom mediju kao što su SMART kartice ili sigurne USB memorije.
EAP-TTLS
EAP-TTLS u svom radu koristi certifikat za uspostavu sigurnog i provjerenoga tunela između klijenta RADIUS poslužitelja koji će provjeriti autentikacijske elemente, slično EAP-TLS proceduri.
Za razliku od EAP-TLS, autentikacijski parametri mogu biti jako različiti (PAP, PEAP, MSCHAP, MSCHAP2, GTC, ...) što je glavna prednost pred EAP-TLS procedurom. Ovo omogućuje da se autentikacijski parametri provjere putem različitih baza podataka, čime se postiže veća fleksibilnost sa stajališta korisnika i same administracije.
Kriptiranje tunela certifikatom obavezan je element autentikacije unutar sustava eduroam.
Potrebne informacije u radu s certifikatima
Pri radu s certifikatima koriste se sljedeći pojmovi:
- privatni ključ - privatni (tajni) ključ kojim je potpisan zahtjev za certifikatom;
- zahtjev za certifikatom - tekstualna datoteka u kojoj su navedeni potrebni podaci koji će se naći u samom certifikatu, te je ista potpisana privatnim ključem koji će se koristiti u radu s certifikatom;
- certifikat - datoteka u kojoj se nalazi certifikat nastao uporabom datoteke zahtjeva za certifikatom i potpisan odgovarajućim vršnim (root CA) certifikatom. Ova datoteka se koristi u radu uz korištenje privatnog ključa;
- vršni certifikat (root CA) - javni certifikat vjerodostojnog izdavatelja certifikata (CA) kojim je potpisan certifikat;
- povezni certifikati - datoteka poveznih certifikata s vršnim certifikatom; opisuju nadcertifikate (koristi se u strukturiranim certifikatima);
Da bi mogli uspješno implementirati certifikate u rad RADIUS poslužitelja potrebne su nam sljedeće komponente, tj. datoteke:
- privatni ključ
- certifikat
- vršni certifikat (pri radu s EAP-TLS)
Sve navedene datoteke moraju biti odgovarajućeg formata zapisa (uobičajeno se koristi PEM). Više o formatima zapisa certifikata može se pronaći na linku X.509 Certificate_filename_extensions.
Provjera certifikata RADIUS poslužitelja na strani klijenta
Kako bi se spriječila mogućnost zlouporabe sustava metodom MITM napada, poželjno je da klijent provjerava certifikat RADIUS poslužitelja.
Provjera se obavlja na način da se provjeri izdavatelj certifikata s root CA certifikatom kojeg ima klijent na svom popisu te se usporedi CN polje u certifikatu s unaprijed definiranom vrijednošću koju je specificirao održavatelj RADIUS poslužitelja, a zapisana je u samom certifikatu RADIUS poslužitelja.
Ove provjere se definiraju na klijentima u području za certifikate i razlikuju se od klijenta do klijenta.