Доверять корневому или листовому сертификату в настройке 802.1x?
Я устанавливаю 802.1x через проводные или беспроводные (WPA2 Enterprise) соединения в нашем офисе, поддерживаемые сервером OneLogin RADIUS. Сертификат не является самозаверяющим, поэтому мне неясно, безопасно ли его импортировать в хранилище доверенных корневых центров сертификации, но это единственный способ включить проверку сертификата.
Цепочка сертификатов выглядит так:
*.us.onelogin.com
- RapidSSL SHA256 CA - G3
- GeoTrust Global CA (уже в хранилище доверенных корневых центров Windows)
Листовые и промежуточные сертификаты передаются сервером RADIUS (проверено с помощью eapol_test
).
Если я включаю GeoTrust Global CA только в окне настроек защищенного EAP, я все равно получаю предупреждение в Windows 10, как будто проверка сертификата не включена ( «Продолжить подключение? Если вы ожидаете найти в этом месте, продолжайте и подключайтесь». В противном случае это может быть другая сеть с тем же именем. " ). Предупреждение не отображается, если я импортирую сертификат OneLogin в хранилище доверенных корневых центров сертификации и включаю его в настройках EAP. Поле «Подключиться к этим серверам» установлено на radius.us.onelogin.com
, так что атака MitM не представляется возможной, если включен только настоящий корневой сертификат GeoTrust?
Это ожидаемое поведение? В этой (не связанной) статье поддержки Lync говорится, что хранилище Trusted Root CA должно хранить только самозаверяющие сертификаты (что имеет смысл) и в противном случае может вызвать проблемы. Кроме того, в этом ответе на аналогичный вопрос я вижу: «Некоторые клиенты могут быть убеждены в том, что они доверяют [конечному сертификату] напрямую, но не все из них допускают такое прямое доверие, и это может привести к проблемам при истечении срока действия этого сертификата».
0 ответов на вопрос
Похожие вопросы
-
6
Как закрепить ярлык или командный файл на новой панели задач Windows 7, 8 и 10 и в меню «Пуск»?
-
6
рекурсивно сменить владельца windows 7
-
4
Как поменять местами клавиши Windows и Control в Windows?
-
-
1
Почему osx 10.5.8 не подключается к WPA2
-
2
WPA2 AES PEAP не будет работать на новой Windows 7 DELL
-
1
Использование WPA2 с Acer Aspire 1450 в Windows XP Home Edition SP3
-
2
Windows WiFi с WPA2-Enterprise + EAP-TTLS + PAP
-
0
DD-WRT + TekRADIUS: проблемы с запуском
-
1
DD-WRT: Кто-нибудь знает, как получить RADIUS на маршрутизаторе, поэтому мне не нужно полагаться на...
-
1
Отключить, когда мышь находится на краю экрана в Windows 7, показывает рабочий стол.