4. 在 EAP 中使用 TLS 自举
在 EAP 使用场景中, RFC 9966 使用 RFC 9965 的 NAI 机制. 用户名 "tls-pok-dpp" 必须包含在内, 从而形成初始身份 "[email protected]". 该标识符必须包含在 EAP Identity response 中, 用于指示 TEAP.
EAP Peer EAP Server
-------- ----------
<- EAP-Request/
Identity
EAP-Response/
Identity
([email protected]) ->
<- EAP-Request/
EAP-Type=TEAP
(TLS Start)
EAP-Response/
EAP-Type=TEAP
(TLS client_hello with
tls_cert_with_extern_psk
and pre_shared_key) ->
TLS 完成后, 客户端和服务器建立相互信任. 服务器随后可以使用 TEAP 等机制为客户端配置凭据. BSK 仅用于自举阶段, 不用于后续 EAP 认证.