Vertrauen Sie Stamm- oder Blattzertifikat im 802.1x-Setup?

3350
Jan Fabry

Ich baue in unserem Büro 802.1x über verkabelte oder drahtlose Verbindungen (WPA2 Enterprise) auf, die von einem OneLogin-RADIUS-Server unterstützt werden. Das Zertifikat ist nicht selbstsigniert, daher ist mir nicht klar, ob es sicher ist, es in den Speicher der vertrauenswürdigen Stammzertifizierungsstelle zu importieren. Dies scheint jedoch die einzige Möglichkeit zu sein, die Zertifikatprüfung zu aktivieren.

Die Zertifikatskette sieht folgendermaßen aus:

  • *.us.onelogin.com
  • RapidSSL SHA256 CA - G3
  • GeoTrust Global CA (bereits im Windows Trusted Root CA Store)

Die Blatt- und Zwischenzertifikate werden vom RADIUS-Server übergeben (mit verifiziert eapol_test).

Wenn ich die globale GeoTrust-Zertifizierungsstelle nur im Fenster "Protected EAP-Einstellungen " aktiviere, wird in Windows 10 immer noch eine Warnung angezeigt, als wäre keine Zertifikatsüberprüfung aktiviert ( "Verbindung fortsetzen?". Wenn Sie an dieser Position suchen, fahren Sie fort und verbinden Sie sich. Andernfalls kann es sich um ein anderes Netzwerk mit demselben Namen handeln. " ). Die Warnung wird nicht angezeigt, wenn ich das OneLogin-Zertifikat im Speicher der vertrauenswürdigen Stammzertifizierungsstelle importiere und in den EAP-Einstellungen aktivieren. Das Feld "Mit diesen Servern verbinden" ist auf festgelegt radius.us.onelogin.com, sodass ein MitM-Angriff nicht möglich ist, wenn nur das eigentliche GeoTrust-Stammzertifikat aktiviert ist.

Ist das erwartete Verhalten? In diesem (nicht zusammenhängenden) Lync-Supportartikel heißt es, dass der Speicher der vertrauenswürdigen Stammzertifizierungsstelle nur selbstsignierte Zertifikate speichern sollte (was sinnvoll ist), und ansonsten Probleme verursachen könnten. In dieser Antwort auf eine ähnliche Frage sehe ich außerdem: "Einige Kunden sind vielleicht überzeugt, [dem Blattzertifikat] direkt zu vertrauen, aber nicht alle erlauben ein solches direktes Vertrauen, und es würde Ärger bedeuten, wenn das Zertifikat abläuft."

1
Sendet der RADIUS-Server tatsächlich die richtigen Zwischenprodukte (dh das RapidSSL-Zertifikat)? Ohne sie könnte der Client die Kette möglicherweise nicht mit fehlenden Gliedern erstellen. Webbrowser behandeln dieses Problem häufig, indem sie zuvor gesehene Intermediates zwischenspeichern. Dies ist eine sehr häufige Fehlkonfiguration. grawity vor 8 Jahren 0
@grawity Das ist eine gute Frage, aber ich kontrolliere den OneLogin-RADIUS-Server nicht, und ich weiß nicht, wie ich die Zertifikate sehen kann. Jan Fabry vor 8 Jahren 0
Und was noch wichtiger ist, es wäre sowieso nicht RADIUS-in-TLS, aber TLS _inside_ RADIUS ... wpa_supplicant sollte die Kette in seiner Debug-Ausgabe zeigen und enthält außerdem "eapol_test", mit dem ein Server direkt getestet werden kann. grawity vor 8 Jahren 0
@grawity Ich habe es mit `eapol_test` getestet, und das Zwischenzertifikat wird auch vom Server gesendet. Jan Fabry vor 8 Jahren 1

0 Antworten auf die Frage

Verwandte Probleme