Я устанавливаю 802.1x через проводные или беспроводные (WPA2 Enterprise) соединения в нашем офисе, поддерживаемые сервером OneLogin RADIUS. Сертификат не является самозаверяющим, поэтому мне неясно, безопасно ли его импортировать в хранилище доверенных корневых центров сертификации, но это единственный способ включить проверку сертификата.
Цепочка сертификатов выглядит так:
*.us.onelogin.com
- RapidSSL SHA256 CA - G3
- GeoTrust Global CA (уже в хранилище доверенных корневых центров Windows)
Листовые и промежуточные сертификаты передаются сервером RADIUS (проверено с помощью eapol_test
).
Если я включаю GeoTrust Global CA только в окне настроек защищенного EAP, я все равно получаю предупреждение в Windows 10, как будто проверка сертификата не включена («Продолжить подключение?Если вы ожидаете найти в этом месте, идти вперед и подключиться. В противном случае это может быть другая сеть с тем же именем. "). Предупреждение не отображается, если я импортирую сертификат OneLogin в хранилище доверенных корневых центров сертификации и включаю его в настройках EAP. Поле "Подключиться к этим серверам" имеет значение radius.us.onelogin.com
, поэтому атака MitM не представляется возможной, если включен только настоящий корневой сертификат GeoTrust?
Это ожидаемое поведение? В этой (не связанной) статье поддержки Lync говорится, что хранилище Trusted Root CA должно хранить только самозаверяющие сертификаты (что имеет смысл) и в противном случае может вызвать проблемы. Кроме того, в этом ответе на аналогичный вопрос я вижу:«Некоторые клиенты могут быть убеждены в том, что они доверяют [конечному сертификату] напрямую, но не все из них допускают такое прямое доверие, и это может привести к проблемам при истечении срока действия этого сертификата».