2 issues<br>1) is there a listing somewhere of all OIDs and what they all mean to windows (XP) ?<br><br>2) Issuing client certs isn't that difficult.  with windows vista/7, installing a cert is a simple double-click operation, so if they have a usb flash, you can use linux to zip a copy of their private key and a .doc with instructions (including screenies!) on configuring their OS in a matter of seconds, all they have to do is stop by IT to request a key once, and it's good for as long as you honour it.<br>
<br><div class="gmail_quote">On Thu, Jan 20, 2011 at 3:10 PM, Alan Buxey <span dir="ltr"><<a href="mailto:A.L.M.Buxey@lboro.ac.uk">A.L.M.Buxey@lboro.ac.uk</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin: 0pt 0pt 0pt 0.8ex; border-left: 1px solid rgb(204, 204, 204); padding-left: 1ex;">
Hi,<br>
<div class="im"><br>
> > To clarify, they can pretend to be a valid server, because *anyone* signed by Verisign is a valid server.<br>
><br>
> > To go one step further, they can have verisign sign a CA, and then use that CA to create *any* certificate they want,<br>
> > including one which pretends to be your server.  Most users won't bother reading the entire certificate chain.<br>
> > They'll just see "<a href="http://mit.edu" target="_blank">mit.edu</a>" (or >whatever) and click "OK".<br>
><br>
> Ahh , I see what you mean.  Thank you for the clarification.  The masses of undereducated and/or apathetic users out there are the biggest challenges facing IT pros.<br>
<br>
</div>aye. this is why a self-signed cert can be beneficial...its a closed-loop system<br>
then - only your own users ever authenticate against your server (ie use the<br>
SSL cert to create an EAP tunnel to do things) - external users/visitors would<br>
be proxied off to their home site (eg if using eduroam) - so you dont need to<br>
worry about them getting the CA onto their system.<br>
<br>
you can shore things up a bit by ensuring that the clients are configured to<br>
only trust the CA you've chosen...and filled in the RADIUS server name (well,<br>
its CN from the SSL cert it provides when making the tunnel). but, once<br>
again, thats getting things done right... most users with most OS's will<br>
just click on the SSID and fill in basic details when prompted  (I guess<br>
at least a lot of pain is now gone from 802.1X network connections....quick<br>
and dirty).<br>
<br>
PS dealing with public CA's isnt always so clear cut and quick - sometimes<br>
the OS needs to be updated/patched before the CA is available...or updated<br>
CA is supplied...and sometimes the train of trust changes so what was a CA<br>
becomes an intermediary etc - so you have to deal with those cases too.<br>
<br>
PS as already said, the extensions you need are documented and provided<br>
in the 'xpextensions' file - they're basically how windows decides 'purpose'<br>
of the cert. tiresome really.<br>
<font color="#888888"><br>
alan<br>
</font><div><div></div><div class="h5">-<br>
List info/subscribe/unsubscribe? See <a href="http://www.freeradius.org/list/users.html" target="_blank">http://www.freeradius.org/list/users.html</a><br>
</div></div></blockquote></div><br>