Центр сертификации - RADIUS/WPA

У нас есть проблема с нашим центром сертификации, он ежедневно удаляет свой собственный сертификат компьютера. С помощью этого компьютера я реализую беспроводную безопасность WPA через стандарт RADIUS. Поэтому каждый день мне приходится обновлять компьютерный сертификат. Когда я проверяю Event Viewer, три журнала отображаются как:

Источник: IAS Код события: 3

Запрос на доступ для пользователя User1 был отклонен. Полное имя пользователя = domain.com/Users/User1 NAS-IP-адрес = 192.168.0.66 NAS-идентификатор = идентификатор беспроводной вызываемой станции = 001d.45d3.4190 Идентификатор вызывающей станции = 0023.df15.1483 Client-Friendly-Name = Беспроводной IP-адрес клиента = 192.168.0.66 NAS-Port-Type = Беспроводной - IEEE 802.11 NAS-Port = 5113 Proxy-Policy-Name = Использовать проверку подлинности Windows для всех пользователей Authentication-Provider = Windows
Сервер аутентификации = Код причины = 23 Причина = Неожиданная ошибка. Возможная ошибка в конфигурации сервера или клиента.

Источник: IAS Код события: 20168

Не удалось получить сертификат сервера удаленного доступа из-за следующей ошибки: Не удается найти объект или свойство.

Источник: IAS Код события: 20168

Поскольку для клиентов, подключающихся по протоколу EAP-TLS, не настроен сертификат, сертификат по умолчанию отправляется пользователю Домен \ Пользователь1. Перейдите к Политике удаленного доступа пользователя и настройте Расширяемый протокол аутентификации (EAP).

Что может вызвать проблему?

Источник

2 ответа

Решение

Вот реальное решение.

Чтобы более четко описать процесс дублирования шаблона и выдачи сертификата, я хотел бы предоставить более точный план действий, как изложено ниже.

  1. В ЦС создайте дубликат "Шаблон сертификата RAS и IAS-сервера". Введите RAS и IAS Server Authentication в поле отображаемого имени шаблона на вкладке Общие свойств нового шаблона.

  2. На вкладке "Расширения" убедитесь, что политики приложений включают только проверку подлинности сервера (OID 1.3.6.1.5.5.7.3.1).

  3. Также на вкладке Расширения измените политики выдачи и добавьте политику Medium Assurance.

  4. На вкладке "Имя субъекта" выберите "Построить из этой информации Active Directory". Кроме того, убедитесь, что для формата имени субъекта установлено значение "Общее имя" и выбран только DNS-объект, включите эту информацию в альтернативное имя субъекта.

  5. На вкладке "Обработка запросов" нажмите кнопку "CSP", убедитесь, что в "Запросе" должен быть использован один из следующих CSP, и выбран только поставщик криптографии Microsoft RSA SChannel.

  6. На вкладке Безопасность добавьте группу безопасности AutoEnroll RAS и IAS Server Authentication Certificate с разрешениями "Чтение", "Регистрация" и "Автоматическая регистрация".

  7. Добавьте шаблоны сертификатов в CA.

  8. В оснастке MMC Центра сертификации щелкните правой кнопкой папку "Шаблоны сертификатов", выберите "Создать", а затем "Шаблон сертификата для выпуска". Выберите следующие сертификаты и нажмите кнопку ОК.

"Аутентификация сервера RAS и IAS"

  1. Войдите на сервер IAS как член локальной группы администраторов.

  2. Откройте MMC, а затем добавьте оснастку "Сертификаты". При появлении запроса выберите параметр "Учетная запись компьютера", а затем выберите "Локальный компьютер".

  3. Выберите "Сертификаты (локальный компьютер)" в дереве консоли, выберите "Все задачи" в меню "Действие" и нажмите "Автоматическая регистрация сертификатов".

Источник

Оно работает. Есть аргумент?

скорее всего сертификат удален каким-то приложением. Иногда сертификат не удаляется, а архивируется. Для проверки запустите certmgr.msc и откройте оснастку сертификата. Затем нажмите Сертификаты-> Вид-> Параметры и выберите Архив сертификатов. сертификаты появляются снова.

Это может быть программа Live Sync, которая удаляет / архивирует сертификат. Для проверки, пожалуйста, не используйте программу на компьютере и следите за удалением / архивированием сертификата. Я также обнаружил, что программное обеспечение FolderShare также может вызвать такую ​​проблему. Если у вас установлено это программное обеспечение, удалите или отключите это программное обеспечение. Спасибо.

Чтобы устранить его, я рекомендую запустить чистую загрузку проблемного компьютера и проверить его еще раз.

Чтобы выполнить чистую загрузку, выполните следующие действия.

  1. Введите MSCONFIG, чтобы открыть консоль конфигурации системы.

  2. Перейдите на вкладку "Службы", выберите параметр, чтобы скрыть все службы Microsoft, а затем нажмите кнопку "Отключить все".

  3. Перейдите на вкладку "Автозагрузка", нажмите кнопку "Отключить все".

  4. Перезагрузите компьютер.

Источник
Другие вопросы по тегам