[HS] Comment diffusez-vous les certificats aux utilisateurs WiFi ?

2 réponses
Avatar
Olivier
Hello,

J'envisage de mettre en place un réseau WiFi WPA2 Entreprise auprès
d'utilisateurs :
- dont les connaissances informatiques varient du tout au tout (depuis
l'expert jusqu'au néophite),
- qui possèdent et gèrent leurs propres appareils (des smartphones
Android et PC sous Windows 10, en grande majorité, mais aussi quelques
Mac/iphone/machines Linux).

Avec Android 11 a disparu la possibilité de se connecter Í  un réseau
WiFi WPA2 Entreprise sans validation des certificats.
Aussi j'imaginais utiliser un certificat auto-signé auprès des
utilisateurs avec le workflow suivant:

- avant leur arrivée, les utilisateurs téléchargent le certificat
depuis le site web institutionnel,
- ils ajoutent ce certificat Í  leur trousseau en double-cliquant sur
ce certificat,
- une fois sur place, ils se connectent au réseau WiFi en désignant le
certificat préalablement téléchargé.

En y réfléchissant de plus près:

- je ne suis pas sͻr que sur Windows/Android 10/11, il existe une
application "gérant les certificats"
- j'imagine qu'une (grande) majorité des utilisateurs ne téléchargera
rien Í  l'avance et s'attendra Í  télécharger depuis le réseau cible, ce
qu'il faut pour se connecter au réseau cible (on se mord la queue),
- les appareils acceptent-ils tous des durées de validité des
certificats du même ordre de grandeur ?

1. Avez-vous de l'expérience Í  partager sur le sujet ?
2. Connaissez-vous un certificat commercial miraculeux universel qui
évite le chargement préalable ?
3. Conseils ? Suggestions ?

Slts

2 réponses

Avatar
Baptiste Chappe
--000000000000f22dd605dad033c2
Content-Type: text/plain; charset="UTF-8"
Content-Transfer-Encoding: quoted-printable
Hello,
Je pense que tu parles de 802.1X ?
Mise en place sur du Windows pour 2000 postes. 600 switchs et 3000 devices
exotiques (iphone).
Pour windows, tu utilises une PKI qui ̓©met un certificat
machine+utilisateur.
Ton radius se base sur ce cert et sur la PKI interne pour valider les auth.
Pour les iphones, tu enrolls dans un MDM et tu push un certificat. Ton t̓©l
aura le cert et pourras se connecter ̓  ton wifi.
Conseil : Pr̓©pare ton process et ton int̓©r̓ªt ̓  avoir du poste carr̓© pour
̓©viter les probl̓¨mes. Bonne chance :)
++
On Tue, Mar 22, 2022 at 4:11 PM Olivier wrote:
Hello,
J'envisage de mettre en place un r̓©seau WiFi WPA2 Entreprise aupr̓¨s
d'utilisateurs :
- dont les connaissances informatiques varient du tout au tout (depuis
l'expert jusqu'au n̓©ophite),
- qui poss̓¨dent et g̓¨rent leurs propres appareils (des smartphones
Android et PC sous Windows 10, en grande majorit̓©, mais aussi quelques
Mac/iphone/machines Linux).
Avec Android 11 a disparu la possibilit̓© de se connecter ̓  un r̓©seau
WiFi WPA2 Entreprise sans validation des certificats.
Aussi j'imaginais utiliser un certificat auto-sign̓© aupr̓¨s des
utilisateurs avec le workflow suivant:
- avant leur arriv̓©e, les utilisateurs t̓©l̓©chargent le certificat
depuis le site web institutionnel,
- ils ajoutent ce certificat ̓  leur trousseau en double-cliquant sur
ce certificat,
- une fois sur place, ils se connectent au r̓©seau WiFi en d̓©signant le
certificat pr̓©alablement t̓©l̓©charg̓©.
En y r̓©fl̓©chissant de plus pr̓¨s:
- je ne suis pas s̓»r que sur Windows/Android 10/11, il existe une
application "g̓©rant les certificats"
- j'imagine qu'une (grande) majorit̓© des utilisateurs ne t̓©l̓©chargera
rien ̓  l'avance et s'attendra ̓  t̓©l̓©charger depuis le r̓©seau cible, ce
qu'il faut pour se connecter au r̓©seau cible (on se mord la queue),
- les appareils acceptent-ils tous des dur̓©es de validit̓© des
certificats du m̓ªme ordre de grandeur ?
1. Avez-vous de l'exp̓©rience ̓  partager sur le sujet ?
2. Connaissez-vous un certificat commercial miraculeux universel qui
̓©vite le chargement pr̓©alable ?
3. Conseils ? Suggestions ?
Slts

--000000000000f22dd605dad033c2
Content-Type: text/html; charset="UTF-8"
Content-Transfer-Encoding: quoted-printable
<div dir="ltr"><div dir="ltr">Hello,</div><div dir="ltr"><br></div><div>Je pense que tu parles de 802.1X ?</div><div>Mise en place sur du Windows pour 2000 postes. 600 switchs et 3000͂ devices exotiques (iphone).<br></div><div dir="ltr"><br></div><div dir="ltr">Pour windows, tu utilises une PKI qui ̓©met un certificat machine+utilisateur.</div><div dir="ltr">Ton radius se base sur ce cert et sur la PKI interne pour valider les auth.<br clear="all"><div><div dir="ltr" class="gmail_signature" data-smartmail="gmail_signature"><div dir="ltr"><div><br></div><div>Pour les iphones, tu enrolls dans un MDM et tu push un certificat. Ton t̓©l aura le cert et pourras se connecter ̓  ton wifi.</div><div>Conseil : Pr̓©pare ton process et ton int̓©r̓ªt ̓  avoir du poste carr̓© pour ̓©viter les probl̓¨mes. Bonne chance :)<br></div><div><br></div><div>++͂ </div></div></div></div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Tue, Mar 22, 2022 at 4:11 PM Olivier &lt;<a href="mailto:"></a>&gt; wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">Hello,<br>
<br>
J&#39;envisage de mettre en place un r̓©seau WiFi WPA2 Entreprise aupr̓¨s<br>
d&#39;utilisateurs :<br>
- dont les connaissances informatiques varient du tout au tout (depuis<br>
l&#39;expert jusqu&#39;au n̓©ophite),<br>
- qui poss̓¨dent et g̓¨rent leurs propres appareils (des smartphones<br>
Android et PC sous Windows 10, en grande majorit̓©, mais aussi quelques<br>
Mac/iphone/machines Linux).<br>
<br>
Avec Android 11 a disparu la possibilit̓© de se connecter ̓  un r̓©seau<br>
WiFi WPA2 Entreprise sans validation des certificats.<br>
Aussi j&#39;imaginais utiliser un certificat auto-sign̓© aupr̓¨s des<br>
utilisateurs avec le workflow suivant:<br>
<br>
- avant leur arriv̓©e, les utilisateurs t̓©l̓©chargent le certificat<br>
depuis le site web institutionnel,<br>
- ils ajoutent ce certificat ̓  leur trousseau en double-cliquant sur<br>
ce certificat,<br>
- une fois sur place, ils se connectent au r̓©seau WiFi en d̓©signant le<br>
certificat pr̓©alablement t̓©l̓©charg̓©.<br>
<br>
En y r̓©fl̓©chissant de plus pr̓¨s:<br>
<br>
- je ne suis pas s̓»r que sur Windows/Android 10/11, il existe une<br>
application &quot;g̓©rant les certificats&quot;<br>
- j&#39;imagine qu&#39;une (grande) majorit̓© des utilisateurs ne t̓©l̓©chargera<br>
rien ̓  l&#39;avance et s&#39;attendra ̓  t̓©l̓©charger depuis le r̓©seau cible, ce<br>
qu&#39;il faut pour se connecter au r̓©seau cible (on se mord la queue),<br>
- les appareils acceptent-ils tous des dur̓©es de validit̓© des<br>
certificats du m̓ªme ordre de grandeur ?<br>
<br>
1. Avez-vous de l&#39;exp̓©rience ̓  partager sur le sujet ?<br>
2. Connaissez-vous un certificat commercial miraculeux universel qui<br>
̓©vite le chargement pr̓©alable ?<br>
3. Conseils ? Suggestions ?<br>
<br>
Slts<br>
<br>
</div></div>
--000000000000f22dd605dad033c2--
Avatar
Olivier
Le mar. 22 mars 2022 Í  16:24, Baptiste Chappe
a écrit :
Hello,
Je pense que tu parles de 802.1X ?

Oui avec PEAP/MSCHAPv2
Mise en place sur du Windows pour 2000 postes. 600 switchs et 3000 devices exotiques (iphone).
Pour windows, tu utilises une PKI qui émet un certificat machine+utilisateur.
Ton radius se base sur ce cert et sur la PKI interne pour valider les auth.
Pour les iphones, tu enrolls dans un MDM

Par curiosité, lequel ?
et tu push un certificat. Ton tél aura le cert et pourras se connecter Í  ton wifi.
Conseil : Prépare ton process et ton intérêt Í  avoir du poste carré pour éviter les problèmes. Bonne chance :)
++
On Tue, Mar 22, 2022 at 4:11 PM Olivier wrote:
Hello,
J'envisage de mettre en place un réseau WiFi WPA2 Entreprise auprès
d'utilisateurs :
- dont les connaissances informatiques varient du tout au tout (depuis
l'expert jusqu'au néophite),
- qui possèdent et gèrent leurs propres appareils (des smartphones
Android et PC sous Windows 10, en grande majorité, mais aussi quelques
Mac/iphone/machines Linux).
Avec Android 11 a disparu la possibilité de se connecter Í  un réseau
WiFi WPA2 Entreprise sans validation des certificats.
Aussi j'imaginais utiliser un certificat auto-signé auprès des
utilisateurs avec le workflow suivant:
- avant leur arrivée, les utilisateurs téléchargent le certificat
depuis le site web institutionnel,
- ils ajoutent ce certificat Í  leur trousseau en double-cliquant sur
ce certificat,
- une fois sur place, ils se connectent au réseau WiFi en désignant le
certificat préalablement téléchargé.
En y réfléchissant de plus près:
- je ne suis pas sͻr que sur Windows/Android 10/11, il existe une
application "gérant les certificats"
- j'imagine qu'une (grande) majorité des utilisateurs ne téléchargera
rien Í  l'avance et s'attendra Í  télécharger depuis le réseau cible, ce
qu'il faut pour se connecter au réseau cible (on se mord la queue),
- les appareils acceptent-ils tous des durées de validité des
certificats du même ordre de grandeur ?
1. Avez-vous de l'expérience Í  partager sur le sujet ?
2. Connaissez-vous un certificat commercial miraculeux universel qui
évite le chargement préalable ?
3. Conseils ? Suggestions ?
Slts