Каковы риски добавления стороннего Корня сертификат CA в Хранилище NTAuth?
Что риски связаны с импортом стороннего Корня сертификат CA в домен Enterprise NTAuth Store in Windows за исключением того, что CA затем доверен для издания сертификатов?
Это для тестовой цели устранить проблему с беспроводными клиентами, получающими сигнал безопасности Windows, соединяясь с беспроводной сетью и будучи аутентифицируемым через новый сервер NPS, работающий на WS2012 R2.
Корневой сертификат CA уже присутствует в компьютерном магазине клиентских машин под Доверяемыми Корневыми центрами сертификации, но окно все еще появляется на первой попытке подключения.
Цель состоит в том, чтобы избавиться от всплывающего окна:
Править: Я уточню немного.
Цели:
- позвольте присоединенным доменом устройствам проходить проверку подлинности через NPS;
- используйте сторонний сертификат;
- пользователи не должны получать всплывающее окно Security Warning;
NPS на WS2012R2 используется. PEAP/MsCHAPv2 используется для аутентификации.
В вопросе есть несколько моментов.
Во-первых, NTAuth store используется для хранения *издающих* CA сертификатов, которые могут выдавать сертификаты входа (когда клиентский сертификат сопоставляется с учетной записью пользователя в Active Directory во время аутентификации). Если CA сертификат представлен в этом хранилище, он сможет выпустить сертификаты, которые могут выдавать себя за любую пользовательскую учетную запись. Риск очевиден, и я бы не стал доверять любому ЦС, который не контролируется компанией.
Представленное диалоговое окно информирует о том, что эмитент представленного RADIUS сертификата не настроен в профиле *wireless/VPN*.
Вам нужно настроить беспроводное подключение следующим образом:
в поле 2 можно указать жестко закодированный список доверенных серверов RADIUS. В поле 3 вы можете указать доверенные корневые центры, которым разрешено выдавать сертификаты серверам RADIUS для данного профиля.
Другими словами, если вы подключаетесь к RADIUS, указанному в поле 2, и цепочкам сертификатов RADIUS до любого выбранного корневого центра сертификации в поле 3, то вы будете подключаться бесшумно (без предупреждения в диалоговом окне). Если какое-либо из требований не будет выполнено, вы получите диалоговое окно с предупреждением.
В доменном окружении, вы можете предварительно настроить беспроводные профили с помощью групповых политик: http://blogs.technet.com/b/networking/archive/2012/05/30/creating-a-secure-802-1x-wireless-infrastructure-using-microsoft-windows.aspx
Хранилище NTAuth - это центральное хранилище для сертификатов, хранящихся в Active Directory, которым должны доверять все члены леса/домена.
С каждым сертификатом, которому вы решили доверять, связана определенная степень риска. Обычно это очень небольшая сумма, но ненулевая.
Причина риска заключается в том, что, как и в реальной жизни, каждый раз, когда вы доверяете кому-либо, существует риск того, что ваше доверие может быть либо предано, либо доказано, что оно было утеряно. Это может произойти либо злоумышленно, либо случайно.
Сертификационный центр может быть взломан или иным образом утечка его частного ключа, и в этот момент хакеры могут выдать себя за Сертификационный центр - которому вы доверяете неявно.
Однако, как я уже говорил, риск обычно небольшой, и это риск, который каждый из нас берет каждый день.