证书颁发机构 - RADIUS/WPA

证书颁发机构 - RADIUS/WPA

我们的证书颁发机构存在问题,它每天都会删除自己的计算机证书。我使用该计算机通过 RADIUS 标准实施 WPA 无线安全。因此,我每天都必须更新计算机证书。当我检查事件查看器时,会显示三个日志:

来源:IAS 事件 ID:3

用户 User1 的访问请求已被丢弃。Fully-Qualified-User-Name = domain.com/Users/User1 NAS-IP-Address = 192.168.0.66 NAS-Identifier = Wireless Called-Station-Identifier = 001d.45d3.4190 Calling-Station-Identifier = 0023.df15.1483 Client-Friendly-Name = Wireless Client-IP-Address = 192.168.0.66 NAS-Port-Type = Wireless - IEEE 802.11 NAS-Port = 5113 Proxy-Policy-Name = 对所有用户使用 Windows 身份验证 Authentication-Provider = Windows
Authentication-Server = Reason-Code = 23 Reason = 意外错误。服务器或客户端配置中可能存在错误。

来源:IAS 事件 ID:20168

由于以下错误,无法检索远程访问服务器的证书:找不到对象或属性。

来源:IAS 事件 ID:20168

由于尚未为使用 EAP-TLS 拨入的客户端配置证书,因此将向用户 Domain\User1 发送默认证书。请转到用户的远程访问策略并配置可扩展身份验证协议 (EAP)。

什么可能导致这个问题?

答案1

它有效。有什么争论吗?

最有可能的是证书被某个应用程序删除了。有时证书并没有被删除,而是被存档了。要验证,请运行 certmgr.msc 并打开证书管理单元。然后单击证书->查看->选项并选择存档证书。证书会再次显示。

可能是 Live Sync 程序删除/存档了证书。要验证,请尝试不要在机器上使用该程序,并监视证书是否被删除/存档。我还发现 FolderShare 软件也会导致此类问题。如果您安装了此软件,请删除或禁用此软件。谢谢。

为了解决问题,我建议我们对有问题的机器进行干净启动并再次检查。

要执行干净启动,请按照以下步骤操作。

  1. 键入 MSCONFIG 打开系统配置控制台。

  2. 转到“服务”选项卡,单击隐藏所有 Microsoft 服务的选项,然后单击“全部禁用”按钮。

  3. 转到启动选项卡,单击全部禁用按钮。

  4. 重新启动计算机。

答案2

这是真正的解决方案。

为了更清楚地描述复制模板和颁发证书的过程,我想提供以下更精确的行动计划。

  1. 在 CA 上,创建“RAS 和 IAS 服务器证书模板”的副本。在新模板属性的常规选项卡上的模板显示名称字段中键入 RAS 和 IAS 服务器身份验证。

  2. 在“扩展”选项卡上,确保应用程序策略仅包括服务器身份验证(OID 1.3.6.1.5.5.7.3.1)。

  3. 同样在“扩展”选项卡上,编辑颁发策略并添加中等保证策略。

  4. 在“主题名称”选项卡上,选择“根据此 Active Directory 信息构建”。此外,确保“主题名称格式”设置为“通用名称”,并在“将此信息包含在主题备用名称中”下仅选择“DNS 名称”。

  5. 在“请求处理”选项卡上,单击“CSP”按钮,确保选择了“请求必须使用以下 CSP 之一”,并且仅选择了“Microsoft RSA SChannel 加密提供程序”。

  6. 在“安全”选项卡上,添加具有“读取”、“注册”和“自动注册”权限的“自动注册 RAS”和“IAS 服务器身份验证证书”安全组。

  7. 将证书模板添加到 CA。

  8. 在证书颁发机构 MMC 管理单元中,右键单击“证书模板”文件夹,选择“新建”,然后选择“要颁发的证书模板”。选择以下证书,然后单击“确定”。

“RAS 和 IAS 服务器身份验证”

  1. 以本地管理员组成员的身份登录到 IAS 服务器。

  2. 打开 MMC,然后添加证书管理单元。出现提示时,选择计算机帐户选项,然后选择本地计算机。

  3. 从控制台树中选择“证书(本地计算机)”,从“操作”菜单中选择“所有任务”,然后单击“自动注册证书”

相关内容