Сторонние сертификаты подстановочных знаков для использования с Microsoft NPS / RADIUS / PEAP

Question

Сторонние сертификаты подстановочных знаков для использования с Microsoft NPS / RADIUS / PEAP

Я хочу заменить сертификат SSL, который используется для PEAP на нашем сервере NPS, который выполняет аутентификацию RADIUS для наших WLC Cisco. Текущий сертификат - это сертификат SSL, который выполняет аутентификацию клиента и сервера. Мы хотим заменить его подстановочным знаком, который мы используем в другом месте нашего домена, чтобы упростить управление нашими сертификатами SSL.

Я прочитал здесь документ Microsoft, в котором изложены требования для использования стороннего сертификата с PEAP. Подстановочный знак, который мы используем, встречает их всех. Служба поддержки Майкрософт не может решить эту проблему в течение двух рабочих дней, и их единственный ответ: "это должно быть проблема с сертификатом", но они не могут сказать мне конкретно, что в нем не так, поскольку он отвечает всем этим требованиям.,

В то время как мое дело обострялось, я провел некоторое исследование, и у других людей были проблемы с использованием сторонних сертификатов с PEAP на сервере IAS/NPS, выполняющем RADIUS. Насколько я могу судить, официального ответа от Microsoft не было. Кто-нибудь знает наверняка, можно ли использовать подстановочный сертификат для PEAP?

7

windows-server-2008-r2 tls radius nps peap

Источник

MDMarra 05 окт '11 в 20:15

1 ответ

Решение

Другие вопросы по тегам windows-server-2008-r2 tls radius nps peap

MDMarra 06 окт '11 в 13:03 2011-10-06 13:03 · Accepted Answer · 2011-10-06 13:03

Я не смог получить прямой ответ от Microsoft, но все признаки указывали на сертификат. В итоге я приобрел 2048-битный сертификат SSL для одного домена, который выполняет аутентификацию клиента и сервера, и установил его на сервере NPS. В этот момент все нормализовалось.

Реализация Microsoft PEAP/RADIUS/NPS, очевидно, просто не очень подходит для сертификатов Wildcard, хотя они нигде не перечисляют это ограничение.

Редактировать:

После разговора с кем-то из команды Microsoft PKI мне сказали, что, поскольку наши дубликаты с подстановочными знаками имеют имя субъекта *.OurSchool.edu, а не сервера, клиенты Windows будут отклонять его при согласовании PEAP. Сервер явно указан по полному доменному имени в поле Subject Alternative Name сертификата, но, очевидно, это не имеет значения.

Инженер службы поддержки подтвердил, что из-за этого существуют проблемы со многими подстановочными сертификатами. Если вы используете сторонний центр сертификации, который позволит вам получить дубликаты вашего шаблона с полем Subject Name вашего сервера NPS и переместить шаблон в SAN, то он должен работать нормально. Мы не проверяли эту теорию, поэтому возьмите ее с крошкой соли.