Como posso especificar um certificado de servidor para o PEAP 802.1x sem instalá-lo como uma CA confiável?

0

Meu local de trabalho implantou a autenticação 802.1x para nossas portas Ethernet.

Eu quero saber que estou autenticando contra o servidor RADIUS real e não um servidor desonesto. A maneira usual de fazer isso é instalar uma CA corporativa no repositório de certificados do Windows em “Autoridades de Certificação Raiz Confiáveis” e selecioná-la somente na seguinte tela:

Protected EAP Properties

Eu não quero fazer isso porque isso significa que eu confio completamente nessa CA. Eu não. Não quero que meu empregador represente o Gmail usando essa CA.

Eu quero confiar nessa CA para fins de autenticação do servidor RADIUS 802.1x (e para autenticação de servidor WPA2-Enterprise, para o assunto).

Como eu posso fazer isso?

foo
fonte
Eu não fiz isso para não postar como uma resposta a menos que ele realmente funcione: A solução é obter o certificado real usado para a autenticação 802.1xe instalar esse certificado em suas autoridades de certificação confiáveis. Isso será um certificado de folha e não uma raiz, por isso não criará confiança para nenhum outro certificado. Como uma nota lateral, sua empresa deve considerar o uso de um certificado emitido por uma CA pública em vez de uma interna, se os dispositivos não pertencentes à empresa estiverem se conectando. Então não haveria nenhum desses problemas.
Twisty Impersonator
@TwistyImpersonator: Obrigado. Eu acho que você quis dizer Autoridades de Certificação Intermediárias , já que não vejo nada chamado "autoridades de certificação confiáveis". De qualquer forma, se eu colocar o certificado em qualquer loja diferente das CAs Raiz, ele não aparecerá nas propriedades PEAP. Observe o rótulo acima das caixas de seleção. Ré. Nota: Confiar em um certificado assinado por CAs públicas para 802.1 provavelmente está errado. Vejo depthsecurity.com/blog/… - Não queremos que um servidor RADIUS desonesto seja capaz de passar pela autenticação TLS, o que permite o uso de CAs públicas.
foo
desculpe, eu estou destinado raiz confiável autoridades de certificação. O problema não é tanto em qual loja você deve colocar o certificado, mas qual cert você confia. Você pode confiar na CA raiz usada pelo seu local de trabalho (o que não deseja) ou pode confiar no certificado real que está sendo usado pelo servidor que autentica a conexão 802.1x. Eu estou sugerindo o último.
Twisty Impersonator
E obrigado pelo outro link. Sempre é um bom lembrete de que uma boa segurança sai pela janela se você permitir que os usuários tomem decisões sobre quem ou o que confiar. : - /
Twisty Impersonator
Ah eu vejo. Você está sugerindo que, em vez de eu confiar na CA que assina o certificado TLS do servidor RADIUS, devo confiar no certificado do próprio servidor RADIUS. Isso parece muito razoável, mas não tenho certeza se o Windows suporta isso. A GUI parece sugerir o contrário, mas vou tentar ver se consigo fazer funcionar.
foo