• Re: [HS] Comment diffusez-vous les certificats aux utilisateurs WiFi ?

    From Olivier@21:1/5 to All on Tue Mar 22 17:10:01 2022
    Le mar. 22 mars 2022 à 16:24, Baptiste Chappe
    <baptiste.chappe@gmail.com> a écrit :

    Hello,

    Je pense que tu parles de 802.1X ?
    Oui avec PEAP/MSCHAPv2

    Mise en place sur du Windows pour 2000 postes. 600 switchs et 3000 devices exotiques (iphone).

    Pour windows, tu utilises une PKI qui émet un certificat machine+utilisateur.
    Ton radius se base sur ce cert et sur la PKI interne pour valider les auth.

    Pour les iphones, tu enrolls dans un MDM
    Par curiosité, lequel ?

    et tu push un certificat. Ton tél aura le cert et pourras se connecter à ton wifi.
    Conseil : Prépare ton process et ton intérêt à avoir du poste carré pour éviter les problèmes. Bonne chance :)

    ++

    On Tue, Mar 22, 2022 at 4:11 PM Olivier <oza.4h07@gmail.com> wrote:

    Hello,

    J'envisage de mettre en place un réseau WiFi WPA2 Entreprise auprès
    d'utilisateurs :
    - dont les connaissances informatiques varient du tout au tout (depuis
    l'expert jusqu'au néophite),
    - qui possèdent et gèrent leurs propres appareils (des smartphones
    Android et PC sous Windows 10, en grande majorité, mais aussi quelques
    Mac/iphone/machines Linux).

    Avec Android 11 a disparu la possibilité de se connecter à un réseau
    WiFi WPA2 Entreprise sans validation des certificats.
    Aussi j'imaginais utiliser un certificat auto-signé auprès des
    utilisateurs avec le workflow suivant:

    - avant leur arrivée, les utilisateurs téléchargent le certificat
    depuis le site web institutionnel,
    - ils ajoutent ce certificat à leur trousseau en double-cliquant sur
    ce certificat,
    - une fois sur place, ils se connectent au réseau WiFi en désignant le
    certificat préalablement téléchargé.

    En y réfléchissant de plus près:

    - je ne suis pas sûr que sur Windows/Android 10/11, il existe une
    application "gérant les certificats"
    - j'imagine qu'une (grande) majorité des utilisateurs ne téléchargera
    rien à l'avance et s'attendra à télécharger depuis le réseau cible, ce >> qu'il faut pour se connecter au réseau cible (on se mord la queue),
    - les appareils acceptent-ils tous des durées de validité des
    certificats du même ordre de grandeur ?

    1. Avez-vous de l'expérience à partager sur le sujet ?
    2. Connaissez-vous un certificat commercial miraculeux universel qui
    évite le chargement préalable ?
    3. Conseils ? Suggestions ?

    Slts


    --- SoupGate-Win32 v1.05
    * Origin: fsxNet Usenet Gateway (21:1/5)
  • From Olivier@21:1/5 to All on Tue Mar 22 16:20:01 2022
    Hello,

    J'envisage de mettre en place un réseau WiFi WPA2 Entreprise auprès d'utilisateurs :
    - dont les connaissances informatiques varient du tout au tout (depuis
    l'expert jusqu'au néophite),
    - qui possèdent et gèrent leurs propres appareils (des smartphones
    Android et PC sous Windows 10, en grande majorité, mais aussi quelques Mac/iphone/machines Linux).

    Avec Android 11 a disparu la possibilité de se connecter à un réseau
    WiFi WPA2 Entreprise sans validation des certificats.
    Aussi j'imaginais utiliser un certificat auto-signé auprès des
    utilisateurs avec le workflow suivant:

    - avant leur arrivée, les utilisateurs téléchargent le certificat
    depuis le site web institutionnel,
    - ils ajoutent ce certificat à leur trousseau en double-cliquant sur
    ce certificat,
    - une fois sur place, ils se connectent au réseau WiFi en désignant le certificat préalablement téléchargé.

    En y réfléchissant de plus près:

    - je ne suis pas sûr que sur Windows/Android 10/11, il existe une
    application "gérant les certificats"
    - j'imagine qu'une (grande) majorité des utilisateurs ne téléchargera
    rien à l'avance et s'attendra à télécharger depuis le réseau cible, ce qu'il faut pour se connecter au réseau cible (on se mord la queue),
    - les appareils acceptent-ils tous des durées de validité des
    certificats du même ordre de grandeur ?

    1. Avez-vous de l'expérience à partager sur le sujet ?
    2. Connaissez-vous un certificat commercial miraculeux universel qui
    évite le chargement préalable ?
    3. Conseils ? Suggestions ?

    Slts

    --- SoupGate-Win32 v1.05
    * Origin: fsxNet Usenet Gateway (21:1/5)
  • From Baptiste Chappe@21:1/5 to oza.4h07@gmail.com on Tue Mar 22 16:30:01 2022
    Hello,

    Je pense que tu parles de 802.1X ?
    Mise en place sur du Windows pour 2000 postes. 600 switchs et 3000 devices exotiques (iphone).

    Pour windows, tu utilises une PKI qui émet un certificat
    machine+utilisateur.
    Ton radius se base sur ce cert et sur la PKI interne pour valider les auth.

    Pour les iphones, tu enrolls dans un MDM et tu push un certificat. Ton tél aura le cert et pourras se connecter à ton wifi.
    Conseil : Prépare ton process et ton intérêt à avoir du poste carré pour éviter les problèmes. Bonne chance :)

    ++

    On Tue, Mar 22, 2022 at 4:11 PM Olivier <oza.4h07@gmail.com> wrote:

    Hello,

    J'envisage de mettre en place un réseau WiFi WPA2 Entreprise auprès d'utilisateurs :
    - dont les connaissances informatiques varient du tout au tout (depuis l'expert jusqu'au néophite),
    - qui possèdent et gèrent leurs propres appareils (des smartphones
    Android et PC sous Windows 10, en grande majorité, mais aussi quelques Mac/iphone/machines Linux).

    Avec Android 11 a disparu la possibilité de se connecter à un réseau
    WiFi WPA2 Entreprise sans validation des certificats.
    Aussi j'imaginais utiliser un certificat auto-signé auprès des
    utilisateurs avec le workflow suivant:

    - avant leur arrivée, les utilisateurs téléchargent le certificat
    depuis le site web institutionnel,
    - ils ajoutent ce certificat à leur trousseau en double-cliquant sur
    ce certificat,
    - une fois sur place, ils se connectent au réseau WiFi en désignant le certificat préalablement téléchargé.

    En y réfléchissant de plus près:

    - je ne suis pas sûr que sur Windows/Android 10/11, il existe une application "gérant les certificats"
    - j'imagine qu'une (grande) majorité des utilisateurs ne téléchargera
    rien à l'avance et s'attendra à télécharger depuis le réseau cible, ce qu'il faut pour se connecter au réseau cible (on se mord la queue),
    - les appareils acceptent-ils tous des durées de validité des
    certificats du même ordre de grandeur ?

    1. Avez-vous de l'expérience à partager sur le sujet ?
    2. Connaissez-vous un certificat commercial miraculeux universel qui
    évite le chargement préalable ?
    3. Conseils ? Suggestions ?

    Slts



    <div dir="ltr"><div dir="ltr">Hello,</div><div dir="ltr"><br></div><div>Je pense que tu parles de 802.1X ?</div><div>Mise en place sur du Windows pour 2000 postes. 600 switchs et 3000 devices exotiques (iphone).<br></div><div dir="ltr"><br></div><div
    dir="ltr">Pour windows, tu utilises une PKI qui émet un certificat machine+utilisateur.</div><div dir="ltr">Ton radius se base sur ce cert et sur la PKI interne pour valider les auth.<br clear="all"><div><div dir="ltr" class="gmail_signature" data-
    smartmail="gmail_signature"><div dir="ltr"><div><br></div><div>Pour les iphones, tu enrolls dans un MDM et tu push un certificat. Ton tél aura le cert et pourras se connecter à ton wifi.</div><div>Conseil : Prépare ton process et ton intérêt à
    avoir du poste carré pour éviter les problèmes. Bonne chance :)<br></div><div><br></div><div>++ </div></div></div></div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Tue, Mar 22, 2022 at 4:11 PM Olivier &lt;<a href="mailto:
    oza.4h07@gmail.com">oza.4h07@gmail.com</a>&gt; wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">Hello,<br>

    J&#39;envisage de mettre en place un réseau WiFi WPA2 Entreprise auprès<br> d&#39;utilisateurs :<br>
    - dont les connaissances informatiques varient du tout au tout (depuis<br> l&#39;expert jusqu&#39;au néophite),<br>
    - qui possèdent et gèrent leurs propres appareils (des smartphones<br> Android et PC sous Windows 10, en grande majorité, mais aussi quelques<br> Mac/iphone/machines Linux).<br>

    Avec Android 11 a disparu la possibilité de se connecter à un réseau<br> WiFi WPA2 Entreprise sans validation des certificats.<br>
    Aussi j&#39;imaginais utiliser un certificat auto-signé auprès des<br> utilisateurs avec le workflow suivant:<br>

    - avant leur arrivée, les utilisateurs téléchargent le certificat<br>
    depuis le site web institutionnel,<br>
    - ils ajoutent ce certificat à leur trousseau en double-cliquant sur<br>
    ce certificat,<br>
    - une fois sur place, ils se connectent au réseau WiFi en désignant le<br> certificat préalablement téléchargé.<br>

    En y réfléchissant de plus près:<br>

    - je ne suis pas sûr que sur Windows/Android 10/11, il existe une<br> application &quot;gérant les certificats&quot;<br>
    - j&#39;imagine qu&#39;une (grande) majorité des utilisateurs ne téléchargera<br>
    rien à l&#39;avance et s&#39;attendra à télécharger depuis le réseau cible, ce<br>
    qu&#39;il faut pour se connecter au réseau cible (on se mord la queue),<br>
    - les appareils acceptent-ils tous des durées de validité des<br>
    certificats du même ordre de grandeur ?<br>

    1. Avez-vous de l&#39;expérience à partager sur le sujet ?<br>
    2. Connaissez-vous un certificat commercial miraculeux universel qui<br>
    évite le chargement préalable ?<br>
    3. Conseils ? Suggestions ?<br>

    Slts<br>

    </blockquote></div></div>

    --- SoupGate-Win32 v1.05
    * Origin: fsxNet Usenet Gateway (21:1/5)