Windows 7, кажется, выбирает несогласованную привязку во время беспроводного соединения
У нас есть беспроводной сервер аутентификации (Windows 2003 SP2 с IAS). Это настроено с сертификатом DigiCert. Цепочка сертификатов выглядит следующим образом:
Entrust.net Secure Server Certification Authority
DigiCert High Assurance EV Root CA
DigiCert High Assurance CA-3
ourserver.ourdomain.com
Когда клиент Windows 7 подключается к беспроводной сети в первый раз, он получает предупреждение о сертификате. Это будет выглядеть так:
Сервер "ourserver.ourdomain.com" представил действительный сертификат, выданный "Центром сертификации защищенного сервера Entrust.net", но "Центр сертификации защищенного сервера Entrust.net" не настроен в качестве действительного якоря доверия для этого профиля.
Это не имеет большого значения, поскольку это должно быть одноразовым. Но корневой сертификат, на который он жалуется, противоречив. В половине случаев они получают это вместо:
Сервер "ourserver.ourdomain.com" предоставил действительный сертификат, выданный "Корневым CA DigiCert High Assurance EV", но "Корневой CA DigiCert High Assurance EV" не настроен в качестве действительной привязки доверия для этого профиля.
Причина, по которой это проблема, заключается в том, что это означает, что клиент получает запрос во второй раз в какой-то более поздний момент, когда он повторно подключается к беспроводной сети, где соединение, кажется, произвольно выбирает "другой" сертификат в цепочке в качестве отсутствующей привязки, скорее чем первый. Выбор кажется случайным.
Чтобы было ясно, это было воспроизведено где:
- 2 ноутбука с Windows 7 находятся в одном физическом месте (на одной точке доступа).
- Один, при первоначальной настройке, запрашивается с корневым сертификатом Entrust.
- Другой, при первоначальной настройке, запрашивается с корневым сертификатом EV.
- Оба подключались к одному серверу IAS, на котором установлен только один сертификат.
Какие-нибудь идеи относительно причины этого несоответствия, и как я могу остановить это?
3 ответа
У меня была именно эта проблема, и я решил ее, загрузив программу проверки сертификатов SSL DigiCert и запустив ее на своих серверах IAS. В инструменте указывалось, что один из сертификатов-посредников был неверным, и предлагалось установить новый. Посмотрев на хранилище сертификатов, инструмент установил новый DigiCert High Assurance CA-3, несмотря на наличие явно действующего сертификата. Я сравнил новый сертификат с тем, который он заменил, оба имели одинаковый номер версии и срок действия, просто другой серийный номер. Не уверен, что было не так с предыдущим, но все работало с новым.
Это всего лишь предположение, но я думаю, что оба
- "Entrust.net Безопасный центр сертификации серверов"
- "DigiCert High Assurance EV Root CA"
установлены как "Доверенные корневые центры сертификации".
Когда сертификат "ourserver.ourdomain.com" проверяется по доверенному профилю привязки, по какой-то причине (возможно, из-за конкретной проблемы с реализацией) он произвольно выберет любой из них в качестве корневого.
Я думаю, что удаление "DigiCert High Assurance EV Root CA" из доверенных корневых центров сертификации может решить эту проблему. Он подписан другим, так что все равно будет подтверждено.
Пытаться
Сначала перейдите в Панель управления> Сеть и Интернет> Управление беспроводными сетями.
Откройте беспроводную сеть. Или нажмите кнопку "Добавить", чтобы создать новую сеть, а затем откройте ее.
Откроется окно Свойства беспроводной сети. Перейдите на вкладку "Безопасность".
В разделе "Выберите способ сетевой аутентификации" выберите "Microsoft: смарт-карта или другой сертификат". Я предполагаю, что это уже выбрано.
Нажмите кнопку "Настройки".
Откроется окно "Смарт-карта или другие свойства сертификата".
Вот ответ. В списке "Доверенные корневые центры сертификации" необходимо вручную выбрать корневой центр сертификации вашей компании. По умолчанию все они пустые. Вот почему предупреждающее сообщение появляется впервые, если вы не выбрали Root CA вашей компании. Если вы подключаетесь, несмотря на предупреждение, то теперь выбран Root CA вашей компании, и вы больше не получаете предупреждение о последующих подключениях. Поэтому, чтобы избежать предупреждения, просто установите этот флажок при настройке сети перед первым подключением.
Если вы не видите здесь корневой центр сертификации вашей компании, это, вероятно, связано с тем, что по умолчанию двойной щелчок по сертификату для его установки, вероятно, помещает его на вкладку "Промежуточные центры сертификации". Вместо этого вам нужно выбрать вкладку "Доверенные корневые центры сертификации". Вы можете увидеть, где находятся сертификаты: Internet Explorer > Свойства обозревателя> Содержимое> Сертификаты