Доверять корневому или листовому сертификату в настройке 802.1x?

3211
Jan Fabry

Я устанавливаю 802.1x через проводные или беспроводные (WPA2 Enterprise) соединения в нашем офисе, поддерживаемые сервером OneLogin RADIUS. Сертификат не является самозаверяющим, поэтому мне неясно, безопасно ли его импортировать в хранилище доверенных корневых центров сертификации, но это единственный способ включить проверку сертификата.

Цепочка сертификатов выглядит так:

  • *.us.onelogin.com
  • RapidSSL SHA256 CA - G3
  • GeoTrust Global CA (уже в хранилище доверенных корневых центров Windows)

Листовые и промежуточные сертификаты передаются сервером RADIUS (проверено с помощью eapol_test).

Если я включаю GeoTrust Global CA только в окне настроек защищенного EAP, я все равно получаю предупреждение в Windows 10, как будто проверка сертификата не включена ( «Продолжить подключение? Если вы ожидаете найти в этом месте, продолжайте и подключайтесь». В противном случае это может быть другая сеть с тем же именем. " ). Предупреждение не отображается, если я импортирую сертификат OneLogin в хранилище доверенных корневых центров сертификации и включаю его в настройках EAP. Поле «Подключиться к этим серверам» установлено на radius.us.onelogin.com, так что атака MitM не представляется возможной, если включен только настоящий корневой сертификат GeoTrust?

Это ожидаемое поведение? В этой (не связанной) статье поддержки Lync говорится, что хранилище Trusted Root CA должно хранить только самозаверяющие сертификаты (что имеет смысл) и в противном случае может вызвать проблемы. Кроме того, в этом ответе на аналогичный вопрос я вижу: «Некоторые клиенты могут быть убеждены в том, что они доверяют [конечному сертификату] напрямую, но не все из них допускают такое прямое доверие, и это может привести к проблемам при истечении срока действия этого сертификата».

1
Действительно ли сервер RADIUS отправляет правильные промежуточные продукты (например, сертификат RapidSSL)? Без этого клиент не смог бы создать цепочку с отсутствующими ссылками. Веб-браузеры часто решают эту проблему, кэшируя ранее замеченные промежуточные продукты, поэтому это очень распространенная неверная конфигурация. grawity 8 лет назад 0
@grawity Это хороший вопрос, но я не контролирую сервер OneLogin RADIUS и не знаю, как просмотреть сертификаты - я думаю, что `openssl s_client` здесь бесполезен, так как RADIUS работает по UDP? Jan Fabry 8 лет назад 0
И что еще более важно, это не будет RADIUS-in-TLS, в любом случае, но TLS _inside_ RADIUS ... wpa_supplicant должен показывать цепочку в своем отладочном выводе, а также поставляется с "eapol_test", который может использоваться для непосредственного тестирования сервера. grawity 8 лет назад 0
@grawity Я протестировал его с помощью `eapol_test`, и промежуточный сертификат также отправляется сервером. Jan Fabry 8 лет назад 1

0 ответов на вопрос

Похожие вопросы