Доверять корневому или листовому сертификату в настройке 802.1x?

Я устанавливаю 802.1x через проводные или беспроводные (WPA2 Enterprise) соединения в нашем офисе, поддерживаемые сервером OneLogin RADIUS. Сертификат не является самозаверяющим, поэтому мне неясно, безопасно ли его импортировать в хранилище доверенных корневых центров сертификации, но это единственный способ включить проверку сертификата.

Цепочка сертификатов выглядит следующим образом:

• *.us.onelogin.com
• RapidSSL SHA256 CA - G3
• GeoTrust Global CA (уже в хранилище доверенных корневых центров Windows)

Листовые и промежуточные сертификаты передаются сервером RADIUS (проверено с помощью eapol_test).

Если я включаю GeoTrust Global CA только в окне настроек защищенного EAP, я все равно получаю предупреждение в Windows 10, как будто проверка сертификата не включена ("Продолжить подключение? Если вы ожидаете найти в этом месте, продолжайте и подключитесь". В противном случае это может быть другая сеть с тем же именем. "). Предупреждение не отображается, если я импортирую сертификат OneLogin в хранилище Trusted Root CA и включаю его в настройках EAP. Поле "Подключиться к этим серверам" имеет значение radius.us.onelogin.com Таким образом, атака MitM не представляется возможной, если включен только настоящий корневой сертификат GeoTrust?

Это ожидаемое поведение? В этой (не связанной) статье поддержки Lync говорится, что хранилище Trusted Root CA должно хранить только самозаверяющие сертификаты (что имеет смысл) и в противном случае может вызвать проблемы. Кроме того, в этом ответе на аналогичный вопрос я вижу: "Некоторые клиенты могут быть убеждены в том, что они доверяют [листовому сертификату] напрямую, но не все из них допускают такое прямое доверие, и это может привести к проблемам при истечении срока действия этого сертификата".