Как я могу указать сертификат сервера для 802.1x PEAP, не устанавливая его в качестве доверенного центра сертификации?

532
foo

На моем рабочем месте развернута аутентификация 802.1x для наших портов Ethernet.

Я хочу знать, что я аутентифицируюсь на реальном сервере RADIUS, а не на мошенническом сервере. Обычный способ сделать это - установить ЦС компании в хранилище сертификатов Windows в разделе «Доверенные корневые центры сертификации» и выбрать только его на следующем экране:

Protected EAP Properties

Я не хочу этого делать, потому что это означает, что я полностью доверяю этому ЦС. Я не. Я не хочу, чтобы мой работодатель выдавал себя за gmail, используя этот CA.

Я хочу доверять только этой CA для целей аутентификации сервера RADIUS 802.1x (и для аутентификации сервера WPA2-Enterprise, к слову).

Как я могу это сделать?

0
Я этого не делал, поэтому не буду публиковать ответ, если он действительно не работает: решение состоит в том, чтобы получить действительный сертификат, используемый для аутентификации 802.1x, и установить этот сертификат в ваших доверенных центрах сертификации. Это будет листовой сертификат, а не корневой, поэтому он не будет создавать доверие для любых других сертификатов. В качестве примечания, вашей компании следует рассмотреть возможность использования сертификата, выданного общедоступным центром сертификации, вместо внутреннего сертификата, если подключаются устройства, не принадлежащие компании. Тогда не было бы ничего подобного. Twisty Impersonator 6 лет назад 0
@TwistyImpersonator: Спасибо. Я предполагаю, что вы имели в виду _Intermediate Certificate Authorities_, так как я не вижу ничего под названием "доверенные центры сертификации". В любом случае, если я помещу сертификат в любое хранилище, кроме корневых ЦС, он не появится в свойствах PEAP. Обратите внимание на ярлык над флажками. Число рейнольдса Примечание: доверять сертификатам, подписанным общедоступными центрами сертификации для 802.1, возможно, неправильно. См. Https://depthsecurity.com/blog/when-802-1x-peap-eap-ttls-is-worse-than-no-wireless-security - Мы не хотим, чтобы мошеннический RADIUS-сервер мог проходить проверку подлинности TLS , что позволяет использование публичных ЦС. foo 6 лет назад 0
извините, я имею в виду * доверенные корневые * центры сертификации. Вопрос не в том, в каком хранилище вы должны поставить сертификат, а в том, какой сертификат вы доверяете. Вы можете либо доверять корневому ЦС, используемому на вашем рабочем месте (что вам не нужно), либо доверять действительному сертификату, который используется сервером, аутентифицирующим соединение 802.1x. Я предлагаю последнее. Twisty Impersonator 6 лет назад 0
И спасибо за другую ссылку. Всегда хорошее напоминание о том, что хорошая безопасность выходит за рамки, если вы позволяете пользователям принимать решения о том, кому / чему доверять. : - / Twisty Impersonator 6 лет назад 0
О, я вижу. Вы предлагаете мне вместо того, чтобы доверять ЦС, подписывающему сертификат TLS сервера RADIUS, лучше доверять сертификату самого сервера RADIUS. Это звучит очень разумно, но я не уверен, что Windows поддерживает это. GUI, кажется, предлагает иное, но я постараюсь посмотреть, смогу ли я заставить его работать. foo 6 лет назад 0

0 ответов на вопрос

Похожие вопросы