web-dev-qa-db-ja.com

RADIUS=サーバー証明書がWindows 10で本当に検証されているかどうかを確認する方法は?

A RADIUSサーバーは_radius.example.com_の自己署名証明書を持っています(Windows Active Directory証明書サービスPKIもあるかもしれませんが、これは同様に機能するはずですよね?)

  • 自己署名証明書は、グループポリシーを使用してすべてのクライアントコンピューターにインストールされます(セキュリティ設定> 公開キーポリシー/信頼されたルート証明機関を使用)。
  • ネットワーク認証方法のプロパティ(--ワイヤレスネットワーク(802.11)ポリシー、IEEE 802.1X設定)では、SSIDに次の設定を適用することにより、この証明書を検証します:
    • 認証方法:Protected EAP (PEAP)
    • サーバー証明書を検証:Enabled
    • 次のサーバーに接続します:_radius\.example\.com_
    • 信頼されたルート証明機関:_[x] radius.example.com_(単独)
    • 新しいサーバーまたは信頼された証明機関Enabledを承認するようにユーザーに要求しないでください。

RADIUSサーバーが_radius.example.com_で署名されていないサーバーはevil twin APシナリオでは認証されないことを前提としています。ただし、これは難しいWindows 10のGUIから確認します。「一部の設定は組織によって非表示または管理されている」とだけ表示され、適用されている設定の詳細は表示されません。

クライアントコンピューターが実際に証明書を検証していることを確認する最も簡単な方法は何ですか? RSoPは、GPO自体が適用されていることを示しています。証明書はその場所にあります(_certmgr.msc_)。

radiusgroup-policy
1
Esa Jokinen

最初のアイデアは、evil twin攻撃とテストを実行することでしたが、これには重い調整が必要になります。はるかに簡単なのは、既存のネットワークを一時的に外部環境のように見せることです。これはクライアント側で行うことができます:

  1. Certificates(Local Computer)スナップインを使用してTrusted Root Certification Authoritiesからradius.example.comの証明書を手動で削除します偽の代替品を作成します。
  2. ワイヤレスネットワークに接続してみます。 これは失敗するはずです証明書の検証が失敗したため。
  3. 有線ネットワークを使用して、gpupdate /forceを実行し、必要に応じてコンピューターを再起動します。
  4. 証明書が再インストールされ、ワイヤレスネットワーク認証が再び機能するようになります。
0
Esa Jokinen