
2 issues<br>1) is there a listing somewhere of all OIDs and what they all mean to windows (XP) ?<br><br>2) Issuing client certs isn't that difficult.  with windows vista/7, installing a cert is a simple double-click operation, so if they have a usb flash, you can use linux to zip a copy of their private key and a .doc with instructions (including screenies!) on configuring their OS in a matter of seconds, all they have to do is stop by IT to request a key once, and it's good for as long as you honour it.<br>

<br><div class="gmail_quote">On Thu, Jan 20, 2011 at 3:10 PM, Alan Buxey <span dir="ltr"><<a href="mailto:A.L.M.Buxey@lboro.ac.uk">A.L.M.Buxey@lboro.ac.uk</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin: 0pt 0pt 0pt 0.8ex; border-left: 1px solid rgb(204, 204, 204); padding-left: 1ex;">

Hi,<br>

<div class="im"><br>

> > To clarify, they can pretend to be a valid server, because *anyone* signed by Verisign is a valid server.<br>

><br>

> > To go one step further, they can have verisign sign a CA, and then use that CA to create *any* certificate they want,<br>

> > including one which pretends to be your server.  Most users won't bother reading the entire certificate chain.<br>

> > They'll just see "<a href="http://mit.edu" target="_blank">mit.edu</a>" (or >whatever) and click "OK".<br>

><br>

> Ahh , I see what you mean.  Thank you for the clarification.  The masses of undereducated and/or apathetic users out there are the biggest challenges facing IT pros.<br>

<br>

</div>aye. this is why a self-signed cert can be beneficial...its a closed-loop system<br>

then - only your own users ever authenticate against your server (ie use the<br>

SSL cert to create an EAP tunnel to do things) - external users/visitors would<br>

be proxied off to their home site (eg if using eduroam) - so you dont need to<br>

worry about them getting the CA onto their system.<br>

<br>

you can shore things up a bit by ensuring that the clients are configured to<br>

only trust the CA you've chosen...and filled in the RADIUS server name (well,<br>

its CN from the SSL cert it provides when making the tunnel). but, once<br>

again, thats getting things done right... most users with most OS's will<br>

just click on the SSID and fill in basic details when prompted  (I guess<br>

at least a lot of pain is now gone from 802.1X network connections....quick<br>

and dirty).<br>

<br>

PS dealing with public CA's isnt always so clear cut and quick - sometimes<br>

the OS needs to be updated/patched before the CA is available...or updated<br>

CA is supplied...and sometimes the train of trust changes so what was a CA<br>

becomes an intermediary etc - so you have to deal with those cases too.<br>

<br>

PS as already said, the extensions you need are documented and provided<br>

in the 'xpextensions' file - they're basically how windows decides 'purpose'<br>

of the cert. tiresome really.<br>

<font color="#888888"><br>

alan<br>

</font><div><div></div><div class="h5">-<br>

List info/subscribe/unsubscribe? See <a href="http://www.freeradius.org/list/users.html" target="_blank">http://www.freeradius.org/list/users.html</a><br>

</div></div></blockquote></div><br>