憑證授權單位(Certificate Authority)

憑證授權 Certificate Authority（簡稱為 CA）。一個 CA，基本上應該 要有： a、產生憑證 b、驗證憑證 c、憑證管理的基本功能。最後我認 為 Openssl 應該可以符合需求，至少在 a、b 兩項。至於第三項的憑證管 理功能，可以再區分出有效憑證的管理、失效憑證的管理、延長憑證的

有效期限等等。我認為這些功能在使用者的使用需求上比較沒有那麼必 Self-signed CA。這兩種 CA 的差異在於自己所使用的憑證是否需要其 他 CA 的認證。所以，Signed CA 所使用的憑證是被別的 CA 所認證；

而認證 signed CA 的 CA 我們稱為上層 CA。通常這個上層 CA 都會找比 較有名的 CA，例如 VeriSign（www.verisign.com）。

另外，Self-signed CA 的憑證就是由自己替自己簽發的憑證，也就是 由自己所認證。於是 Self-signed CA 沒有上一層的 CA，則自己就是 的系統上執行，執行的時機有兩種：一種是第一次起動 Embedded CA 時，這個第一次起動不是每次開關機後的第一次起動，而是當系統設定 值完全沒有存在任何憑證的時候。而且只要這一次開機後，產生的憑證

就會存在系統設定值當中，在以後的開機過程中，經過讀取系統設定 Windows 所顯示的就是 Common Name，藉由不同的 MAC Address 產生不同的 Common Name，以避免互相干擾。

下圖列出已經輸入在使用者電腦上的 RootCA 的憑證範例：

圖 12、使用者輸入的 RootCA 憑證範例

4.5.2 產生給 RADIUS Server 的憑證

當 Root CA 簽發完自己的憑證之後，它就可以簽發憑證給在相同機 器上的 RADIUS Server，也可以簽發憑證給不同機器上的 RADIUS Server。給自己機器上的 RADIUS Server，只要將檔案存在的路徑傳給 RADIUS Server 即可。但是簽發憑證給不同機器上的 RADIUS Server，

必須要由使用者透過手動將 RootCA 的憑證與 RADIUS Server 的憑證，

透過檔案以及 WEB GUI 的方式輸入。

以下是 Root CA 對兩種不同 RADIUS Server 的憑證的產生方式：

第一種是簽發憑證給自己機器上的 RADIUS Server，它是在 Root CA 產 生 完 自 己 的 憑 證 之 後 自 動 產 生 的 ， 系 統 使 用 預 設

的”username”以及預設的”password”來產生，產生完的憑證再自動 儲存在內部 RADIUS Server 可以存取的路徑上，然後修改 RADIUS Server 的 Configure file，對其發出重新啟動的訊號，等到 RADIUS Server 重新啟動完成之後，RADIUS Server 就會自動讀取 RootCA 以及自己的憑證，在有需要使用到 802.1x 傳輸憑證與驗證憑證的時 候。

第二種是不同機器上的 RADIUS Server，通常是由系統管理者 從 WEB GUI 輸 入 外 部 RADIUS server 的 ”Username”

及”Password”來產生，然後將產生出來的憑證透過 WEB GUI 的輸出 功能存成檔案，再拿給外部 RADIUS server 做輸入的動作。這個透 過 WEB GUI 的輸出動作，可以再區分為幾種可能： 外洩出去的可能，而這外洩的憑證有可能會被假冒的 RADIUS Server 或 使用者拿去使用，造成安全上的問題。

不過，只要系統管理者能做好產出憑證的管理工作，事實上，並不 會存在安全的問題。

4.5.3 產生給 Wireless Client 的憑證

目前新的系統只有一種方式來產生給 Wireless Client 端的憑證。它 也是透過系統管理者從 WEB GUI 輸入 Wireless Client 端的”Username”

及”Password”來產生，然後將產生出來的憑證存成檔案，再拿給外部 Wireless Client 端的機器做 Import 的動作。在傳輸憑證的安全考量上，

與前一節所探討的是相同的問題。