5.2.4. 使用 nm-connection-editor 为 Wired 配置 802.1X 安全性
流程
- 在终端中输入 nm-connection-editor。
~]$ nm-connection-editor
这时将显示Network Connections
窗口。 - 选择您要编辑的以太网连接并点击 gear wheel 图标,请参阅 第 3.4.6.2 节 “使用 nm-connection-editor 配置 Wired Connection”。
- 选择安全性并将符号链接电源按钮设置为 ON 以启用设置配置。
- 从以下验证方法中选择:
- 选择 TLS 用于传输层安全性,然后继续 “配置 TLS 设置”一节。
- 选择 FAST for Flexible Authentication via Secure Tunneling,再继续 “配置 Tunneled TLS 设置”一节;
- 为 Tunneled Transport Layer Security 选择 Tunneled TLS,否则称为 TTLS 或 EAP-TTLS,然后继续 “配置 Tunneled TLS 设置”一节 ;
- 选择 Protected EAP(PEAP) for Protected Extensible Authentication Protocol,再继续 “配置受保护的 EAP(PEAP)设置”一节。
配置 TLS 设置
通过传输层安全性(TLS),客户端和服务器使用 TLS 协议进行相互身份验证。服务器演示其持有数字证书、客户端使用其客户端证书证明自己的身份,并交换关键信息。身份验证完成后,不再使用 TLS 隧道。客户端和服务器使用交换密钥来使用 AES、TKIP 或 WEP 加密数据。
证书必须分发到希望进行身份验证的所有客户端的事实,这表示 EAP-TLS 身份验证方法非常强大,但设置起来也更为复杂。使用 TLS 安全性需要公钥基础架构(PKI)开销来管理证书。使用 TLS 安全性的好处是被泄露的密码不允许访问(W)LAN:入侵者还必须有权访问客户端的私钥。
NetworkManager 不决定支持 TLS 版本。NetworkManager 收集用户输入的参数,并将它们传递给守护进程 wpa_supplicant,该守护进程负责处理该过程。反过来,它使用 OpenSSL 来建立 TLS 隧道。OpenSSL 本身协商 SSL/TLS 协议版本。它使用最高版本的两端支持。
要配置 TLS 设置,请按照 第 5.2.4 节 “使用 nm-connection-editor 为 Wired 配置 802.1X 安全性” 中描述的步骤操作。可用的配置设置如下:
- 身份
- 提供此服务器的身份。
- 用户证书
- 单击可浏览并选择个人 X.509 证书文件,这些证书文件编码为 Distinguished Encoding Rules (DER) 或隐私增强邮件(PEM )。
- CA 证书
- 单击可浏览并选择 X.509 证书颁发机构证书文件,这些证书颁发机构文件编码为 Distinguished Encoding Rules (DER)或 Privacy Enhanced Mail(PEM )。
- 私钥
- 点击以浏览并选择使用 Distinguished Encoding Rules (DER )、隐私增强邮件(PEM) 或个人信息交换语法标准 (PKCS #12) 编码的私钥文件。
- 私钥密码
- 在 Private key 字段中输入私钥的密码。选择 Show password 使密码在您键入时可见。
配置 FAST 设置
要配置 FAST 设置,请遵循 第 5.2.4 节 “使用 nm-connection-editor 为 Wired 配置 802.1X 安全性” 中描述的步骤。可用的配置设置如下:
- 匿名身份
- 提供此服务器的身份。
- PAC 置备
- 选中要启用的复选框,然后从和 。
- PAC 文件
- 单击可浏览并选择受保护的访问凭据(PAC )文件。
- 内部身份验证
- username
- 输入要在身份验证过程中使用的用户名。
- 密码
- 输入要在身份验证过程中使用的密码。
配置 Tunneled TLS 设置
要配置 Tunneled TLS 设置,请按照 第 5.2.4 节 “使用 nm-connection-editor 为 Wired 配置 802.1X 安全性” 中所述的步骤操作。可用的配置设置如下:
- 匿名身份
- 这个值被用作未加密的身份。
- CA 证书
- 单击浏览并选择证书认证机构的证书。
- 内部身份验证
- username
- 输入要在身份验证过程中使用的用户名。
- 密码
- 输入要在身份验证过程中使用的密码。
配置受保护的 EAP(PEAP)设置
要配置受保护的 EAP(PEAP)设置,请按照 第 5.2.4 节 “使用 nm-connection-editor 为 Wired 配置 802.1X 安全性” 中描述的步骤操作。可用的配置设置如下:
- 匿名身份
- 这个值被用作未加密的身份。
- CA 证书
- 单击浏览并选择证书认证机构的证书。
- PEAP 版本
- 要使用的受保护 EAP 版本。自动、0 或 1.
- 内部身份验证
- username
- 输入要在身份验证过程中使用的用户名。
- 密码
- 输入要在身份验证过程中使用的密码。