Windows 7无线networking证书信任锚点

当尝试连接到我们公司的无线而不在域上时,我收到一条消息,说我们的RADIUS服务器提供了由我们的根CA颁发的有效证书,但是根CA没有configuration为有效的信任锚(在一个窗口7机)。

为了删除此消息,必须根据无线networking连接的安全性手动检查根CA. 手动告诉系统信任根CA有什么意义? 是不是有一个可信的根CA的点? 有没有办法解决? 当用户认为我们的连接不安全或证书过期时,就成为一个问题。 我无法手动configuration每台可能使用无线的机器。

这与在这里看到的问题是一样的 。

考虑一下你的问题。

“根CA”是您的域的“根CA”。 所以是的,它将被你的域名成员所信任,而不是被没有join你的域名的机器所信任。 事实上,如果你可以自动获取机器,任意信任你的CA,这将是一个相当大的安全漏洞,而不是一个安全function(而且正是Stuxnet和Flame自己安装 – 通用信任CA的伪造证书)。

您应该通过GPO(自动注册)分发证书和CA信任,这意味着您不必手动configuration每台需要使用无线的机器,只需允许域join,您就可以使生活变得轻松许多机器(将这些证书和信任推送给他们)到公司的无线networking上,这样就不必手动发放证书和信任。 当然,您可以决定允许任何没有信任和证书的设备使用无线networking,但您所看到的症状是您为此付出的代价。

您还可以设置一个辅助无线SSID,使用密码进行保护,并从公司networking中分离出来,以便您的用户使用个人设备(而且是我们所做的)在网上冲浪,如果您无法制定法律并在办公室对个人无线设备说“不”。

请记住,无线安全有三个部分。

首先是networking想知道设备是否被允许在networking上。 要做到这一点,它需要能够准确地识别设备,并因此将为每个设备颁发唯一的证书。 但是,为了能够为每个设备创build新的证书,networking不仅要获取自己的证书,还要运行一个完整的证书颁发机构(CA)。

第二部分是客户端设备也想知道接入点是合法的,而不是使用相同的SSID试图通过一些随机的数据包嗅探器发送stream量到其目的地的隧道stream量的stream氓。 这是通过使SSID上的每个合法AP使用客户端设备可以validation的公共证书来实现的。

最后,证书中的密钥将用作无线stream量的encryption密钥。 链路两端的伪造证书意味着中间的设备可以解密并以纯文本查看通信。

这是我们要在这里关注的第二部分。 证书是链中的一部分,为了让客户端validation访问点证书,它必须validation链中的每个证书,一直到顶部的CA。 只有在连接到无线networking之前,链路顶部的CA已经被客户端所知和信任时,该检查才能成功。 1为了使这个和其他证书场景成为可能,操作系统和一些浏览器提供了一个预先configuration的可信CA列表。

如您所述,也可以使join域的Windows计算机信任由其域控制器指定的CA. 但是,其他设备(例如BYOD或没有Windows域的设备)不会知道您的域控制器或networkingCA来自街上的随机黑客,因为networking上的CA不在预configuration的受信任CA列表。

这不是无线pipe理员的错误或疏忽。 知名和可信的根CA相对较less,这是devise的。 如果任何人都可以成为受信任的根CA,那么整个系统就会崩溃,因为发行真实的伪造证书会很容易。

不幸的是,这给无线networking留下了一个空隙。 无线pipe理员必须拥有CA才能正确authentication设备,但这可能不是受信任的根CA,以保护证书系统的完整性。 对于企业内的设备(例如802.1x的原始设想),预先configuration设备以信任networkingCA很容易。 对于BYODscheme,这里有一些问题……以及哪些networking不需要支持BYOD了?

有些服务可以解决这个问题,并将您的CA包含在客户的可信列表中,这对您的用户和访客是透明的。 2它被称为入门 ,主要的玩家是CloudPath XpressConnect , Aruba Clearpass和SecureW2 JoinNow 。 思科也有ISE ,大多数无线厂商都会在这方面有所作为。


今天的大多数操作系统将允许用户在连接到无线networking时忽略无效的服务器证书,只要接受任何提供的服务器证书即可。 但是,这不是好的做法。 除了如上所述使客户易受MitM攻击之外,还可以在用户面前看到一条可怕的警告信息,那就是避免更好。

2对于什么是值得的,这种情况并不能使我满意,因为它是最好的解决办法。 我不喜欢允许随机wifi提供商调整我的计算机的可信authentication机构名单的想法。 例如,如果我是美国国家安全局,攻击CloudPath应用程序/脚本将是我的优先级列表中相当高的。 另外,与服务提供商合作的猫鼠游戏总是支持最新的设备和操作系统,特别是在移动设备上。 我预计未来将包括一种新的有限证书权威,可能必须向现有的知名/可信证书颁发机构进行注册,并且只能颁发有限的“无线”证书。