Estou configurando o 802.1x via conexões com ou sem fio (WPA2 Enterprise) em nosso escritório, apoiado por um servidor RADIUS OneLogin. O certificado não é auto-assinado, portanto não está claro para mim se é seguro importá-lo para o armazenamento da CA Raiz Confiável, mas essa parece ser a única maneira de ativar a verificação de certificados.
A cadeia de certificados é assim:
*.us.onelogin.com Os certificados folha e intermediário são passados pelo servidor RADIUS (verificado usando eapol_test ).
Se eu habilitar somente a CA GeoTrust Global na janela de configurações do EAP Protegido, ainda receberei um aviso no Windows 10, como se nenhuma verificação de certificado estivesse habilitada ( "Continuar conectando? Se você espera encontrar neste local , vá em frente e conecte-se. Caso contrário, pode ser uma rede diferente com o mesmo nome. "). O aviso não é exibido se eu importar o certificado OneLogin no armazenamento da CA Raiz Confiável e ativá-lo nas configurações do EAP. O campo "Conectar a estes servidores" está definido como radius.us.onelogin.com , portanto, um ataque MitM não parece possível apenas com o certificado raiz GeoTrust ativado?
Esse comportamento é esperado? Este artigo de suporte do Lync (não relacionado) diz que o repositório de CA raiz confiável deve armazenar somente certificados auto-assinados ( que faz sentido), e poderia causar problemas de outra forma. Além disso, em esta resposta a uma pergunta semelhante , vejo "Alguns clientes podem estar convencidos a confiar [ o certificado de folha] diretamente, mas nem todos eles permitem essa confiança direta, e isso significaria problemas quando esse certificado expirar. "