windows-server-2008-r2 – 与Microsoft NPS / RADIUS / PEAP一

我想替换正在为我们的Cisco WLC进行RADIUS身份验证的NPS服务器上用于PEAP的SSL证书.当前证书是执行客户端身份验证和服务器身份验证的SSL证书.我们希望将其替换为我们在域中其他地方使用的通配符,以简化SSL证书的管理.

我阅读了Microsoft文档here,其中概述了在PEAP中使用第三方证书的要求.我们使用的通配符符合所有这些通配符. Microsoft支持现在无法在两个工作日内解决此问题,他们唯一的回答是：“它必须是证书的问题”,但他们无法具体告诉我它是什么错误,因为它满足所有这些要求.

虽然我的案例正在升级,但我做了一些研究,其他人在使用RADIUS的IAS / NPS服务器上使用PEAP的第三方证书时遇到了问题.据我所知,微软没有官方回应.有没有人知道是否可以将通配符证书用于PEAP？

微软对PEAP / RADIUS / NPS的实现显然对Wildcard证书不起作用,即使他们没有在任何地方列出这个约束.

编辑：

在与Microsoft PKI团队的某个人交谈后,我被告知由于我们的通配符副本的主题名称为* .OurSchool.edu而不是服务器,因此Windows客户端在协商PEAP时会拒绝它.服务器在证书的“使用者备用名称”字段中由FQDN明确列出,但显然没有区别.

支持工程师确实证实了许多通配符证书存在问题.如果您使用第三方CA,它将允许您使用NPS服务器的“使用者名称”字段获取通配符的副本并将通配符移动到SAN,那么它应该可以正常工作.我们没有对这个理论进行测试,所以不要尝试一下.

（编辑：南京站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!