802.1xネットワーク（PEAP / MSCHAPv2）が証明書を持たないことは可能ですか？

802.1xネットワーク（PEAP/MSCHAPv2）が証明書（CA、ユーザー、またはその他）を持たないことは可能ですか？

PEAP/MSCHAPv2は通常、クライアント証明書を使用せず、TLS接続の確立にCA証明書を直接使用しません（*下記を参照）。ただし、サーバー証明書を使用する必要があります（PEAPはTLSトンネルEAPプロトコルです）。

もしそうなら、セキュリティの影響は何ですか？

あなたが提供した画像は、2つの証明書オプションを提供する何らかの形式の* nixを使用している可能性があることを示しています。

最初に2番目のオプション（クライアント証明書）に対処します。PEAP/ MSCHAPv2を使用してネットワークでワイヤレスに接続するユーザーの大多数は、このフィールドを必要としません（私は多くの環境で何千ものAPを構成/展開しており、これが個人的に使用されたことはありません）。 。

重要なオプションは、最初のオプションであるCA証明書フィールドです。どうして？これは、接続しようとしているネットワークになりすまそうとする偽のまたは不正なワイヤレスネットワークに接続する可能性を大幅に減らすのに役立つためです。

これは、CA証明書がどのように役立つかという疑問を引き起こします。ネットワークへの認証が成功するまで、クライアントはネットワークまたはネットワーク上のリソースにアクセスできないことに注意してください。 NAS（ネットワークアクセスサーバー）として機能するAPまたはワイヤレスコントローラは、クライアントデバイスのEAPサプリカントからRADIUS認証サーバーに接続をプロキシしています。CA証明書は、EAPサプリカントが認証しているRADIUS認証サーバーのIDを検証するために使用されています。

一般的に、EAPサプリカントは、ネットワークに接続せずにユーザー名/パスワードを認証サーバーに送信するかどうかを決定する必要があります。つまり、認証サーバーから提供された情報と提供された情報のみを処理できます。認証が完了し、ユーザー名を保留するのが遅すぎるまで、インターネット上で別のソースをチェックすることはできません。パスワード。

EAPサプリカントは、主に2つのことをチェックすることでこれを実行します（WindowsやOSXなどの多くのEAPサプリカントにいくつかのオプションが存在しますが、タブレットや電話などのモバイルデバイスにはありません）。

1. 認証サーバーによって提供された証明書は、クライアントデバイスによって信頼されたCAから発行された有効な証明書ですか？
2. （オプション）証明書はEAPサプリカントの指定されたCAから発行されますか？
3. 証明書に記載されているホスト名は、認証サーバーによって指定されたホスト名と一致していますか？
4. （オプション）認証サーバーによって指定されたホスト名は、EAPサプリカントの構成で許可されているホスト名の1つですか？

EAPサプリカントの他のオプションは、ユーザー名/パスワードを送信する前に、OSにユーザーに証明書を「確認および承認」させる（悪い考え）か、証明書をまったく検証しない（悪い考え）ことです。

したがって、EAPサプリカント構成でCA証明書を提供すると、上記の＃2を使用して、RADIUSサーバーに加えて＃1と＃3に加えて、サーバーのIDを検証できるようになります。 IT部門から正しいCA情報や証明書を取得する。

注：この回答の一部がコピーされました 別の私の回答から 。