[HS] Comment diffusez-vous les certificats aux utilisateurs WiFi ?
2 réponses
Olivier
Hello,
J'envisage de mettre en place un réseau WiFi WPA2 Entreprise auprès
d'utilisateurs :
- dont les connaissances informatiques varient du tout au tout (depuis
l'expert jusqu'au néophite),
- qui possèdent et gèrent leurs propres appareils (des smartphones
Android et PC sous Windows 10, en grande majorité, mais aussi quelques
Mac/iphone/machines Linux).
Avec Android 11 a disparu la possibilité de se connecter Í un réseau
WiFi WPA2 Entreprise sans validation des certificats.
Aussi j'imaginais utiliser un certificat auto-signé auprès des
utilisateurs avec le workflow suivant:
- avant leur arrivée, les utilisateurs téléchargent le certificat
depuis le site web institutionnel,
- ils ajoutent ce certificat Í leur trousseau en double-cliquant sur
ce certificat,
- une fois sur place, ils se connectent au réseau WiFi en désignant le
certificat préalablement téléchargé.
En y réfléchissant de plus près:
- je ne suis pas sͻr que sur Windows/Android 10/11, il existe une
application "gérant les certificats"
- j'imagine qu'une (grande) majorité des utilisateurs ne téléchargera
rien Í l'avance et s'attendra Í télécharger depuis le réseau cible, ce
qu'il faut pour se connecter au réseau cible (on se mord la queue),
- les appareils acceptent-ils tous des durées de validité des
certificats du même ordre de grandeur ?
1. Avez-vous de l'expérience Í partager sur le sujet ?
2. Connaissez-vous un certificat commercial miraculeux universel qui
évite le chargement préalable ?
3. Conseils ? Suggestions ?
Le mar. 22 mars 2022 Í 16:24, Baptiste Chappe a écrit :
Hello, Je pense que tu parles de 802.1X ?
Oui avec PEAP/MSCHAPv2
Mise en place sur du Windows pour 2000 postes. 600 switchs et 3000 devices exotiques (iphone). Pour windows, tu utilises une PKI qui émet un certificat machine+utilisateur. Ton radius se base sur ce cert et sur la PKI interne pour valider les auth. Pour les iphones, tu enrolls dans un MDM
Par curiosité, lequel ?
et tu push un certificat. Ton tél aura le cert et pourras se connecter Í ton wifi. Conseil : Prépare ton process et ton intérêt Í avoir du poste carré pour éviter les problèmes. Bonne chance :) ++ On Tue, Mar 22, 2022 at 4:11 PM Olivier wrote:
Hello, J'envisage de mettre en place un réseau WiFi WPA2 Entreprise auprès d'utilisateurs : - dont les connaissances informatiques varient du tout au tout (depuis l'expert jusqu'au néophite), - qui possèdent et gèrent leurs propres appareils (des smartphones Android et PC sous Windows 10, en grande majorité, mais aussi quelques Mac/iphone/machines Linux). Avec Android 11 a disparu la possibilité de se connecter Í un réseau WiFi WPA2 Entreprise sans validation des certificats. Aussi j'imaginais utiliser un certificat auto-signé auprès des utilisateurs avec le workflow suivant: - avant leur arrivée, les utilisateurs téléchargent le certificat depuis le site web institutionnel, - ils ajoutent ce certificat Í leur trousseau en double-cliquant sur ce certificat, - une fois sur place, ils se connectent au réseau WiFi en désignant le certificat préalablement téléchargé. En y réfléchissant de plus près: - je ne suis pas sÍ»r que sur Windows/Android 10/11, il existe une application "gérant les certificats" - j'imagine qu'une (grande) majorité des utilisateurs ne téléchargera rien Í l'avance et s'attendra Í télécharger depuis le réseau cible, ce qu'il faut pour se connecter au réseau cible (on se mord la queue), - les appareils acceptent-ils tous des durées de validité des certificats du même ordre de grandeur ? 1. Avez-vous de l'expérience Í partager sur le sujet ? 2. Connaissez-vous un certificat commercial miraculeux universel qui évite le chargement préalable ? 3. Conseils ? Suggestions ? Slts
Le mar. 22 mars 2022 Í 16:24, Baptiste Chappe
<baptiste.chappe@gmail.com> a écrit :
Hello,
Je pense que tu parles de 802.1X ?
Oui avec PEAP/MSCHAPv2
Mise en place sur du Windows pour 2000 postes. 600 switchs et 3000 devices exotiques (iphone).
Pour windows, tu utilises une PKI qui émet un certificat machine+utilisateur.
Ton radius se base sur ce cert et sur la PKI interne pour valider les auth.
Pour les iphones, tu enrolls dans un MDM
Par curiosité, lequel ?
et tu push un certificat. Ton tél aura le cert et pourras se connecter Í ton wifi.
Conseil : Prépare ton process et ton intérêt Í avoir du poste carré pour éviter les problèmes. Bonne chance :)
++
On Tue, Mar 22, 2022 at 4:11 PM Olivier <oza.4h07@gmail.com> wrote:
Hello,
J'envisage de mettre en place un réseau WiFi WPA2 Entreprise auprès
d'utilisateurs :
- dont les connaissances informatiques varient du tout au tout (depuis
l'expert jusqu'au néophite),
- qui possèdent et gèrent leurs propres appareils (des smartphones
Android et PC sous Windows 10, en grande majorité, mais aussi quelques
Mac/iphone/machines Linux).
Avec Android 11 a disparu la possibilité de se connecter Í un réseau
WiFi WPA2 Entreprise sans validation des certificats.
Aussi j'imaginais utiliser un certificat auto-signé auprès des
utilisateurs avec le workflow suivant:
- avant leur arrivée, les utilisateurs téléchargent le certificat
depuis le site web institutionnel,
- ils ajoutent ce certificat Í leur trousseau en double-cliquant sur
ce certificat,
- une fois sur place, ils se connectent au réseau WiFi en désignant le
certificat préalablement téléchargé.
En y réfléchissant de plus près:
- je ne suis pas sͻr que sur Windows/Android 10/11, il existe une
application "gérant les certificats"
- j'imagine qu'une (grande) majorité des utilisateurs ne téléchargera
rien Í l'avance et s'attendra Í télécharger depuis le réseau cible, ce
qu'il faut pour se connecter au réseau cible (on se mord la queue),
- les appareils acceptent-ils tous des durées de validité des
certificats du même ordre de grandeur ?
1. Avez-vous de l'expérience Í partager sur le sujet ?
2. Connaissez-vous un certificat commercial miraculeux universel qui
évite le chargement préalable ?
3. Conseils ? Suggestions ?
Le mar. 22 mars 2022 Í 16:24, Baptiste Chappe a écrit :
Hello, Je pense que tu parles de 802.1X ?
Oui avec PEAP/MSCHAPv2
Mise en place sur du Windows pour 2000 postes. 600 switchs et 3000 devices exotiques (iphone). Pour windows, tu utilises une PKI qui émet un certificat machine+utilisateur. Ton radius se base sur ce cert et sur la PKI interne pour valider les auth. Pour les iphones, tu enrolls dans un MDM
Par curiosité, lequel ?
et tu push un certificat. Ton tél aura le cert et pourras se connecter Í ton wifi. Conseil : Prépare ton process et ton intérêt Í avoir du poste carré pour éviter les problèmes. Bonne chance :) ++ On Tue, Mar 22, 2022 at 4:11 PM Olivier wrote:
Hello, J'envisage de mettre en place un réseau WiFi WPA2 Entreprise auprès d'utilisateurs : - dont les connaissances informatiques varient du tout au tout (depuis l'expert jusqu'au néophite), - qui possèdent et gèrent leurs propres appareils (des smartphones Android et PC sous Windows 10, en grande majorité, mais aussi quelques Mac/iphone/machines Linux). Avec Android 11 a disparu la possibilité de se connecter Í un réseau WiFi WPA2 Entreprise sans validation des certificats. Aussi j'imaginais utiliser un certificat auto-signé auprès des utilisateurs avec le workflow suivant: - avant leur arrivée, les utilisateurs téléchargent le certificat depuis le site web institutionnel, - ils ajoutent ce certificat Í leur trousseau en double-cliquant sur ce certificat, - une fois sur place, ils se connectent au réseau WiFi en désignant le certificat préalablement téléchargé. En y réfléchissant de plus près: - je ne suis pas sÍ»r que sur Windows/Android 10/11, il existe une application "gérant les certificats" - j'imagine qu'une (grande) majorité des utilisateurs ne téléchargera rien Í l'avance et s'attendra Í télécharger depuis le réseau cible, ce qu'il faut pour se connecter au réseau cible (on se mord la queue), - les appareils acceptent-ils tous des durées de validité des certificats du même ordre de grandeur ? 1. Avez-vous de l'expérience Í partager sur le sujet ? 2. Connaissez-vous un certificat commercial miraculeux universel qui évite le chargement préalable ? 3. Conseils ? Suggestions ? Slts