我想替换 NPS 服务器上用于 PEAP 的 SSL 证书,该证书正在为我们的 Cisco WLC 执行 RADIUS 身份验证。当前证书是执行客户端身份验证和服务器身份验证的 SSL 证书。我们想用我们在域中其他地方使用的通配符替换它,以简化 SSL 证书的管理。
我读过微软文档这里概述了使用第三方证书与 PEAP 的要求。我们使用的通配符满足所有要求。Microsoft 支持人员已经两个工作日无法解决此问题,他们唯一的回应是:“这一定是证书的问题”,但他们无法具体告诉我问题出在哪里,因为它满足所有这些要求。
在我案件升级的同时,我做了一些研究,其他人在执行 RADIUS 的 IAS/NPS 服务器上使用第三方证书与 PEAP 时遇到了问题。据我所知,微软尚未对此做出官方回应。有谁知道通配符证书是否可以用于 PEAP?
答案1
我无法从微软那里得到直接的答案,但所有迹象都指向证书。我最终购买了一个可进行客户端和服务器身份验证的单域 SSL 2048 位证书,并将其安装在 NPS 服务器上。此时一切恢复正常。
尽管微软没有在任何地方列出这个限制,但他们实施的 PEAP/RADIUS/NPS 显然与通配符证书不太兼容。
编辑:
在与 Microsoft PKI 团队的某人交谈后,我被告知,由于我们的通配符重复项的主题名称为 *.OurSchool.edu,而不是服务器的主题名称,因此 Windows 客户端在协商 PEAP 时会拒绝它。服务器在证书的主题备用名称字段中通过 FQDN 明确列出,但显然这没有什么区别。
支持工程师确实确认许多通配符证书因此存在问题。如果您使用第三方 CA,该 CA 允许您使用 NPS 服务器的“主题名称”字段获取通配符的副本,并将通配符移动到 SAN,那么应该效果很好。我们没有测试过这个理论,所以对此持怀疑态度。