Wie kann ich ein Serverzertifikat für 802.1x PEAP angeben, ohne es als vertrauenswürdige Zertifizierungsstelle installieren zu müssen?

701
foo

Mein Arbeitsplatz hat die 802.1x-Authentifizierung für unsere Ethernet-Ports implementiert.

Ich möchte wissen, dass ich mich gegen den echten RADIUS-Server und nicht gegen einen Schurken-Server authentifiziere. Normalerweise wird dazu eine Unternehmenszertifizierungsstelle im Windows-Zertifikatspeicher unter „Vertrauenswürdige Stammzertifizierungsstellen“ installiert und im folgenden Bildschirm nur ausgewählt:

Geschützte EAP-Eigenschaften

Ich möchte das nicht tun, weil dies bedeutet, dass ich dieser CA vollständig vertraue. Ich nicht. Ich möchte nicht, dass mein Arbeitgeber Google Mail mit dieser Zertifizierungsstelle annimmt.

Ich möchte dieser Zertifizierungsstelle nur zum Zwecke der Authentifizierung des 802.1x-RADIUS-Servers (und zur Authentifizierung des WPA2-Enterprise-Servers für diese Angelegenheit) vertrauen .

Wie kann ich das machen?

0
Ich habe dies nicht getan, deshalb werde ich keine Antwort posten, es sei denn, es funktioniert tatsächlich: Die Lösung besteht darin, das tatsächliche Zertifikat zu erhalten, das für die 802.1x-Authentifizierung verwendet wird, und dieses Zertifikat in Ihren vertrauenswürdigen Zertifizierungsstellen zu installieren. Dies ist ein Blattzertifikat und kein Stammzertifikat, sodass keine Vertrauenswürdigkeit für andere Zertifikate entsteht. Als Randbemerkung sollte Ihr Unternehmen die Verwendung eines von einer öffentlichen Zertifizierungsstelle ausgestellten Zertifikats anstelle eines internen Zertifikats in Betracht ziehen, wenn nicht firmeneigene Geräte eine Verbindung herstellen. Dann würde es keinen Streit geben. Twisty Impersonator vor 6 Jahren 0
@ TwistyImpersonator: Danke. Ich vermute, Sie meinten _Intermediate Certificate Authorities_, da ich nichts als "vertrauenswürdige Zertifizierungsstellen" sehe. Wenn ich das Zertifikat jedoch in einem anderen Speicher als den Stammzertifizierungsstellen platziere, wird es nicht in den PEAP-Eigenschaften angezeigt. Beachten Sie die Beschriftung über den Kontrollkästchen. Re. Hinweis: Das Vertrauen von Zertifikaten, die von öffentlichen Zertifizierungsstellen für 802.1 signiert wurden, ist wahrscheinlich falsch. Siehe https://depthsecurity.com/blog/when-802-1x-peap-eap-ttls-isworse-than-no-wireless-security - Wir möchten nicht, dass ein unberechtigter RADIUS-Server die TLS-Authentifizierung besteht was die Verwendung öffentlicher CAs erlaubt. foo vor 6 Jahren 0
Entschuldigung, ich bin mit * vertrauenswürdigen Stammzertifizierungsstellen gemeint. Es geht nicht so sehr darum, in welches Geschäft Sie das cert legen müssen, sondern * welchem ​​cert * Sie vertrauen. Sie können entweder der von Ihrem Arbeitsplatz verwendeten Stammzertifizierungsstelle vertrauen (was Sie nicht möchten) oder dem tatsächlichen Zertifikat, das vom Server verwendet wird, der die 802.1x-Verbindung authentifiziert. Ich schlage das letztere vor. Twisty Impersonator vor 6 Jahren 0
Und danke für den anderen Link. Immer eine gute Erinnerung daran, dass eine gute Sicherheit das Fenster verlässt, wenn Sie die Benutzer entscheiden lassen, wem / was sie vertrauen möchten. : - / Twisty Impersonator vor 6 Jahren 0
Ich verstehe. Sie schlagen vor, anstatt mir der CA, die das TLS-Zertifikat des RADIUS-Servers signiert, zu vertrauen, sollte ich eher dem Zertifikat des RADIUS-Servers selbst vertrauen. Das klingt sehr vernünftig, aber ich bin nicht sicher, ob Windows das unterstützt. Die GUI scheint etwas anderes vorzuschlagen, aber ich versuche zu sehen, ob ich es schaffen kann. foo vor 6 Jahren 0

0 Antworten auf die Frage

Verwandte Probleme