Windows-Server-2012-R2

將第三方 Root CA 證書添加到 NTAuth Store 有哪些風險?

  • August 15, 2015

將第三方根 CA 證書導入 Windows 域中的企業 NTAuth 儲存區有哪些風險,除非 CA 被信任頒發證書?

這是出於測試目的,以解決無線客戶端在連接到無線網路並通過在 WS2012 R2 上執行的新 NPS 伺服器進行身份驗證時收到 Windows 安全警報的問題。

Root CA 證書已經存在於Trusted Root Certificate Authorities下客戶端電腦的電腦儲存中,但在第一次連接嘗試時仍會出現該視窗。

目標是擺脫彈出視窗:

在此處輸入圖像描述

**編輯:**我會詳細說明一下。

目標:

  • 允許加入域的設備通過 NPS 進行身份驗證;
  • 使用第三方證書;
  • 使用者不應收到安全警告彈出視窗;

使用了 WS2012R2 上的 NPS。PEAP/MsCHAPv2 用於身份驗證。

問題有幾點。

首先,NTAuth 儲存用於儲存有資格頒發登錄證書的頒發 CA 證書(當客戶端證書在身份驗證期間映射到 Active Directory 中的使用者帳戶時)。如果此儲存中提供 CA 證書,它將能夠頒發可以模擬任何使用者帳戶的證書。風險是顯而易見的,我不會相信任何不受公司控制的 CA。

顯示的對話框通知顯示的 RADIUS 證書的頒發者未在無線/VPN配置文件中配置。

您要做的是配置無線連接,如下所示: 在此處輸入圖像描述

在欄位 2 中,您可以指定受信任的 RADIUS 伺服器的硬編碼列表。在欄位 3 中,您可以指定允許為該配置文件向 RADIUS 伺服器頒發證書的受信任的根權限。

換句話說,如果您連接到欄位 2 中指定的 RADIUS,並且 RADIUS 證書連結到欄位 3 中任何選定的根 CA,那麼您將靜默連接(沒有警告對話框)。如果任何要求不滿足,那麼您將收到警告對話框。

在域環境中,您可以使用組策略預先配置無線配置文件:http: //blogs.technet.com/b/networking/archive/2012/05/30/creating-a-secure-802-1x-wireless-infrastructure-使用-microsoft-windows.aspx

引用自:https://serverfault.com/questions/714172