将第三方根CA证书添加到NTAuth商店有哪些风险?
将第三方根CA证书导入到Windows域中的企业NTAuth存储区之后,除了可信CA颁发证书外,还有哪些相关风险?
这是为了testing目的,解决无线客户端连接到无线networking时获得Windows安全警报的问题,并通过WS2012 R2上运行的新NPS服务器进行身份validation。
根CA证书已存在于受信任的根证书颁发机构下的客户机的计算机存储中,但该窗口仍然出现在第一次连接尝试中。
目标是摆脱popup窗口:
- apache客户端证书身份validation错误:证书validation:错误(18):自签名证书
- Openssl:从证书链中提取根证书?
- 是否可以使用由comodo提供的免费SSL证书:即时SSL? 还是StartCom更好?
- 如何为同一个通用名称颁发多个证书?
- 什么“tlsv1警报未知的ca”是什么意思?
编辑:我会详细阐述一下。
目标:
- 允许join域的设备通过NPS进行身份validation;
- 使用第三方证书;
- 用户不应该得到安全警告popup窗口;
使用WS2012R2上的NPS。 PEAP / MsCHAPv2用于authentication。
问题有几点。
首先,NTAuth存储用于存储有资格颁发login证书的颁发 CA证书(当客户端证书在authentication过程中映射到Active Directory中的用户帐户时)。 如果在此商店中提供了CA证书,它将能够颁发可模拟任何用户帐户的证书。 风险是显而易见的,我不会相信任何不在公司控制之下的CA。
提示对话框通知所提供的RADIUS证书的颁发者未在* wireless / VPN *configuration文件中configuration。
你应该做的是configuration无线连接如下: 
在字段2中,您可以指定可信RADIUS服务器的硬编码列表。 在字段3中,您可以指定允许向此configuration文件的RADIUS服务器颁发证书的受信任根授权。
换句话说,如果连接到在字段2中指定的RADIUS,并且RADIUS证书链直到字段3中的任何选定的根CA,那么您将静默地连接(没有警告对话框)。 如果有任何的要求不符合,那么你会收到警告对话框。
在域环境中,您可以使用组策略预configuration无线configuration文件: http : //blogs.technet.com/b/networking/archive/2012/05/30/creating-a-secure-802-1x-wireless-infrastructure-使用微软-windows.aspx
NTAuth存储是存储在Active Directory中的证书的中央存储库,可供所有林/域成员信任。
您select信任的每个证书都有一定的风险。 它通常是一个非常小的数额,但它是非零的。
有风险的原因是,与现实生活类似,任何时候你信任某人,都有可能背叛你的信任,或者被certificate是错误的。 这可能会发生恶意或意外。
证书颁发机构可能会被黑客入侵,或者以其他方式泄露私钥,那么黑客就有能力冒充证书颁发机构 – 你可以信任它。
但是,正如我所说,风险通常很小,每天我们每个人都有风险。