MDM*_*rra 7 radius tls windows-server-2008-r2 peap nps
我想在我们的 NPS 服务器上替换用于 PEAP 的 SSL 证书,该服务器正在为我们的 Cisco WLC 进行 RADIUS 身份验证。当前的证书是一个 SSL 证书,它进行客户端身份验证和服务器身份验证。我们希望将其替换为我们在域中其他地方使用的通配符,以简化 SSL 证书的管理。
我在这里阅读了 Microsoft 文档,其中概述了在 PEAP 中使用 3rd 方证书的要求。我们使用的通配符满足所有这些要求。Microsoft 支持人员已经有两个工作日无法解决此问题,他们唯一的回应是:“这一定是证书有问题”,但他们无法具体告诉我它有什么问题,因为它满足所有这些要求.
虽然我的案例正在升级,但我做了一些研究,其他人在执行 RADIUS 的 IAS/NPS 服务器上使用带有 PEAP 的 3rd 方证书时遇到了问题。据我所知,微软还没有正式回应。有谁知道通配符证书是否可以用于 PEAP?
我无法从 Microsoft 得到直接答复,但所有迹象都指向证书。我最终购买了一个用于客户端和服务器身份验证的单域 SSL 2048 位证书,并将其安装在 NPS 服务器上。事情在这一点上恢复正常。
微软的 PEAP/RADIUS/NPS 实现显然不能很好地与通配符证书配合使用,即使他们没有在任何地方列出这个约束。
编辑:
在与 Microsoft PKI 团队的某个人交谈后,我被告知,由于我们的通配符副本的主题名称是 *.OurSchool.edu 而不是服务器的主题名称,Windows 客户端将在协商 PEAP 时拒绝它。服务器由 FQDN 在证书的主题备用名称字段中明确列出,但显然没有区别。
因此,支持工程师确实确认许多通配符证书存在问题。如果您使用第三方 CA 允许您使用 NPS 服务器的主题名称字段获取通配符的副本并将通配符移动到 SAN,那么它应该可以正常工作。我们没有测试这个理论,所以对它持保留态度。
| 归档时间: |
|
| 查看次数: |
14092 次 |
| 最近记录: |