我正在办公室通过有线或无线(WPA2 Enterprise)连接设置 802.1x,由 OneLogin RADIUS 服务器支持。该证书不是自签名的,因此我不清楚将其导入受信任的根 CA 存储是否安全,但这似乎是启用证书检查的唯一方法。
证书链如下所示:
*.us.onelogin.com
- RapidSSL SHA256 CA - G3
- GeoTrust Global CA(已在 Windows 受信任的根 CA 存储中)
叶证书和中间证书由 RADIUS 服务器传递(使用 进行验证eapol_test
)。
如果我仅在受保护的 EAP 设置窗口中启用 GeoTrust Global CA,我仍然会在 Windows 10 中收到警告,就好像没有启用证书检查一样(“继续连接吗?如果您希望在此位置找到,请继续连接。否则,它可能是具有相同名称的其他网络。”)。如果我将 OneLogin 证书导入受信任的根 CA 存储区并在 EAP 设置中启用它,则不会显示警告。“连接到这些服务器”字段设置为radius.us.onelogin.com
,那么仅启用实际的 GeoTrust 根证书似乎就不可能发生 MitM 攻击?
这是预期的行为吗?此(不相关的)Lync 支持文章表示受信任的根 CA 存储应仅存储自签名证书(这是有道理的),否则可能会导致问题。此外,在对类似问题的回答, 我懂了“一些客户可能会被说服直接信任[叶证书],但并非所有客户都允许这种直接信任,而且当证书过期时,这将意味着麻烦。”