將第三方 Root CA 證書添加到 NTAuth Store 有哪些風險?
將第三方根 CA 證書導入 Windows 域中的企業 NTAuth 儲存區有哪些風險,除非 CA 被信任頒發證書?
這是出於測試目的,以解決無線客戶端在連接到無線網路並通過在 WS2012 R2 上執行的新 NPS 伺服器進行身份驗證時收到 Windows 安全警報的問題。
Root CA 證書已經存在於Trusted Root Certificate Authorities下客戶端電腦的電腦儲存中,但在第一次連接嘗試時仍會出現該視窗。
目標是擺脫彈出視窗:
**編輯:**我會詳細說明一下。
目標:
- 允許加入域的設備通過 NPS 進行身份驗證;
- 使用第三方證書;
- 使用者不應收到安全警告彈出視窗;
使用了 WS2012R2 上的 NPS。PEAP/MsCHAPv2 用於身份驗證。
問題有幾點。
首先,NTAuth 儲存用於儲存有資格頒發登錄證書的頒發 CA 證書(當客戶端證書在身份驗證期間映射到 Active Directory 中的使用者帳戶時)。如果此儲存中提供 CA 證書,它將能夠頒發可以模擬任何使用者帳戶的證書。風險是顯而易見的,我不會相信任何不受公司控制的 CA。
顯示的對話框通知顯示的 RADIUS 證書的頒發者未在無線/VPN配置文件中配置。
您要做的是配置無線連接,如下所示:
在欄位 2 中,您可以指定受信任的 RADIUS 伺服器的硬編碼列表。在欄位 3 中,您可以指定允許為該配置文件向 RADIUS 伺服器頒發證書的受信任的根權限。
換句話說,如果您連接到欄位 2 中指定的 RADIUS,並且 RADIUS 證書連結到欄位 3 中任何選定的根 CA,那麼您將靜默連接(沒有警告對話框)。如果任何要求不滿足,那麼您將收到警告對話框。
在域環境中,您可以使用組策略預先配置無線配置文件:http: //blogs.technet.com/b/networking/archive/2012/05/30/creating-a-secure-802-1x-wireless-infrastructure-使用-microsoft-windows.aspx
