Windows 7 Wifi证书信托锚

Question

当我试图连接到我们公司的无线(而不是在域上)时，我收到一条消息，消息说我们的RADIUS服务器提供了由根CA颁发的有效证书，但是根CA没有配置为有效的信任锚(在windows 7机器上)。

为了删除此消息，必须在安全的情况下手动检查根CA以进行无线网络连接。手动告诉系统信任根CA有什么意义？这不是有一个可信的根CA的意义吗？有办法绕过这件事吗？当用户认为我们的连接不安全或者证书过期时，这就成了一个问题。我不能手动配置每台可能使用无线的机器。

它和这里看到的问题一样。

Answer 1

考虑一下你的问题。

“根CA”是您的域的“根CA”。因此，是的，它将被您的域的成员所信任，而不是被不与您的域连接的机器所信任。事实上，如果您能够让机器自动地、任意地信任您的CA，那将是一个相当大的安全漏洞，而不是一个安全特性(这正是Stuxnet和Flame安装自己的方式--使用来自普遍信任的CA的伪造证书)。

您应该通过GPO (自动注册)分发证书和CA信任(自动注册)，这意味着您不必手动配置每台需要使用无线的机器，而且您可以通过只允许加入域的计算机(这些证书和信任推送到公司无线网络)来简化您的生活，这样您就不必手动发出证书和信任。当然，您可以决定允许任何没有信任和证书的设备使用无线.但你看到的症状是你为此付出的代价。

您还可以设置一个由密码保护的二级无线SSID，并将其与公司网络分割开来，以便您的用户可以使用他们的个人设备(这就是我们所做的)在网上冲浪，如果您不能制定法律，只需在办公室对个人无线设备说“不”就行了。