我们有一台无线身份验证服务器(带有 IAS 的 Windows 2003 SP2)。它配置了 DigiCert 证书。证书链如下所示:
Entrust.net Secure Server Certification Authority
DigiCert High Assurance EV Root CA
DigiCert High Assurance CA-3
ourserver.ourdomain.com
当 Windows 7 客户端首次连接到无线网络时,他们会收到有关证书的警告。它看起来像这样:
服务器“ourserver.ourdomain.com”提供了由以下机构颁发的有效证书:“Entrust.net 安全服务器认证机构”, 但 “Entrust.net 安全服务器认证机构”未配置为该配置文件的有效信任锚。
这不是什么大问题,因为它应该是一次性的。但是它抱怨的根证书不一致有一半的时间,他们得到的却是这样的:
服务器“ourserver.ourdomain.com”提供了由以下机构颁发的有效证书:“DigiCert 高保证 EV 根 CA”, 但 “DigiCert 高保证 EV 根 CA”未配置为该配置文件的有效信任锚。
这是一个问题,因为这意味着客户端被第二次提示稍后,当他们重新连接到无线网络时,连接似乎会任意选择链中的“其他”证书作为缺失锚点,而不是第一个。选择似乎是随机的。
需要明确的是,此内容已被复制:
- 2 台 Windows 7 笔记本电脑位于同一物理位置(在同一 AP 上)。
- 一、初始配置时,提示使用 Entrust 根证书。
- 另一个在初始配置时会提示 EV 根证书。
- 两者都连接到同一个 IAS 服务器,该服务器仅安装了一个证书。
对于这种不一致的原因您有什么想法吗?我该如何阻止它?
答案1
我遇到了这个问题,我通过下载 DigiCert SSL 证书检查器并在我的 IAS 服务器上运行它解决了这个问题。该工具指出其中一个中间证书不正确,并建议安装一个新的证书。查看证书存储,该工具安装了一个新的 DigiCert High Assurance CA-3,尽管存在一个看似有效的证书。我将新证书与它所替换的证书进行了检查,两者的版本号和到期日期相同,只是序列号不同。不确定之前的证书出了什么问题,但新证书一切正常。
答案2
这只是猜测,但我认为两个都
- “Entrust.net 安全服务器认证机构”
- “DigiCert 高保证 EV 根 CA”
被安装为“受信任的根证书颁发机构”。
当根据受信任的锚点配置文件检查“ourserver.ourdomain.com”证书时,由于某种原因(可能是由于实施过程中的特定问题),它将任意选择作为根。
我觉得从受信任的根证书颁发机构中删除“DigiCert High Assurance EV Root CA”可能会解决问题。它由另一个签名,因此仍会验证成功。
答案3
尝试
首先,转到控制面板>网络和 Internet>管理无线网络。
打开无线网络。或者,点击“添加”按钮创建一个新网络,然后打开它。
出现“无线网络属性”窗口。单击“安全”选项卡。
在“选择网络身份验证方法”下,选择“Microsoft:智能卡或其他证书”。我假设它已被选中。
点击“设置”按钮。
出现“智能卡或其他证书属性”窗口。
答案如下。在“受信任的根证书颁发机构”列表下,您必须手动选择公司的根 CA。默认情况下,这些都是空白的。这就是为什么如果您不选择公司的根 CA,第一次就会出现警告消息。如果您不顾警告进行连接,则现在已选择公司的根 CA,并且您在后续连接中不再收到警告。因此,为了避免出现警告,只需在第一次连接之前设置网络时选中此框即可。
如果您在此处没有看到贵公司的根 CA,这可能是因为默认情况下,双击证书进行安装可能会将其置于“中级证书颁发机构”选项卡下。您需要改为选择“受信任的根证书颁发机构”选项卡。您可以在以下位置查看证书的位置:Internet Explorer > Internet 选项 > 内容 > 证书