以下错误刚刚在运行 Windows 7 Ultimate 的个人笔记本电脑上发生。我无法使用已安装的、未过期的证书连接到私人无线网络。IT 部门最近没有做出任何可以解释此问题的更改。几周前它运行正常,并且发生在我的两台笔记本电脑上。
详细信息和一些屏幕截图可供查看这里:
我们不明白的错误是这样的:
无法验证服务器提供的凭据。我们建议您终止连接并使用详细信息中提供的信息联系您的管理员。您仍可以连接,但这样做可能会使您面临来自潜在恶意服务器的安全风险。
服务器 XYZ 出示了由公司名称证书颁发机构颁发的有效证书,但公司名称证书颁发机构未配置为此配置文件的有效信任锚。
我们不知道如何在不忽略错误的情况下解决问题(也不知道哪些变化可以解释这个新错误)。
新的信息是我们有自己的根 CA,并且证书最近没有更新,也没有过期。
答案1
我遇到了同样的问题。找到了答案。
转到控制面板 > 网络和 Internet > 管理无线网络。
打开无线网络。或者,点击“添加”按钮创建一个新网络,然后打开它。
出现“无线网络属性”窗口。单击“安全”选项卡。
在“选择网络身份验证方法”下,选择“Microsoft:智能卡或其他证书”。我假设它已被选中。
点击“设置”按钮。
出现“智能卡或其他证书属性”窗口。
答案如下。在“受信任的根证书颁发机构”列表下,您必须手动选择公司的根 CA。默认情况下,这些都是空白的。这就是为什么如果您不选择公司的根 CA,第一次就会出现警告消息。如果您不顾警告进行连接,则现在已选择公司的根 CA,并且您在后续连接中不再收到警告。因此,为了避免出现警告,只需在第一次连接之前设置网络时选中此框即可。
如果您在此处没有看到贵公司的根 CA,这可能是因为默认情况下,双击证书进行安装可能会将其置于“中级证书颁发机构”选项卡下。您需要改为选择“受信任的根证书颁发机构”选项卡。您可以在以下位置查看证书的位置:Internet Explorer > Internet 选项 > 内容 > 证书
答案2
SSL 证书的有效性验证方式是遵循信任链。无论您的公司使用什么证书来保护 wifi,都会通过(至少)一个中间证书进行验证,以验证其合法性。然后,该中间证书会通过经过验证和信任的公司提供的根证书进行验证。
根证书被验证为真实且可信任的方式是 Microsoft 在 Windows 中为某些证书建立了信任,但这些根证书通常已过时,并且在 SSL 证书游戏中没有一些主要参与者。Verisign 和 Thawt 通常没有问题,但 Digicert (Entrust.net) 是一家大型 SSL 证书公司,Windows 本身并不信任其 802.1x(根据提供的屏幕截图,我假设您的 wifi 正在使用它进行身份验证)。这意味着证书可能有效,但您的计算机不知道信任它。您当然可以将该根证书导入为受信任的证书,这样您就不会再被提示此问题。我会联系您的系统管理员了解如何执行此操作。
如果您的公司使用自己的 CA,则这可能是由于中间证书或根证书过期造成的,或者是他们颁发了新的根证书但没有将其部署给您造成的。
答案3
我得到了完全相同的结果。如果我接受证书警告,则会出现用户名/密码提示。如果我输入我的用户名(客户端证书的通用名称 - 我不应该输入它),并将密码留空,我就可以成功连接。非常奇怪,与以前不一样。
编辑。全部整理好。我手动输入了无线网络配置文件,并使用了小写名称,而公司无线网络以大写字母开头。我之前提到的成功连接根本没有使用我手动创建的配置文件。一旦我定义了正确命名的配置文件,一切就都像以前一样工作了。