我正在尝试使用 PEAP-MSChapv2 将我的 Microsoft Server 2016 网络策略服务器配置修复为 radius 服务器。
作为众所周知一些现代设备无法“不验证”服务器证书,因为这个选项太弱而且已经被禁用(例如一些Android 11 设备)
据我所知,应该有一个解决方案,即向这些(非域)设备添加内部 CA 证书,以便它们可以验证 nps 服务器证书(并避免管理客户端证书)。
我发现 nps 服务器证书是由内部 CA 颁发的,并且此内部 CA 的证书是自签名的(由其自身颁发)。我尝试导出 CA 证书(不带私钥),并将其导入设备,但目前没有成功,我收到错误 22:服务器无法处理 Eap 类型或错误 265:证书链由不受信任的机构颁发
不清楚仅当我在客户端上将字段域更改为 nps 服务器证书的 cn 名称中的 FQDN 域时,我是否才获得 265。
我该如何正确实现此功能(非域客户端上使用服务器身份验证的 PEAP-MSchapv2)?
注意:现在对于“旧”无线客户端来说,它运行良好:它们正确地作为 AD 用户进行身份验证并获得网络访问权限,因此我希望仅针对这些较新的设备更正设置,而不会从根本上改变它。
答案1
嗯,我已经解决了问题:
我的特定 Android 11 版本出现了错误,因此在 w.server 2016(PEAP-MS-Chapv2)上使用 nps 配置 WPA-E 对服务器进行身份验证需要特别注意:
你必须配置连接前安装 CA 证书(在我们的例子中,它是带有 machapv2 的 peap),域部分很重要(例如:如果服务器证书是 radius.mycompany.com,则必须将该字段填写为 mycompany.com,否则它永远不会成功),并将 CA 证书选项保留为“使用系统证书”。还要按照系统管理员的说明填写用户名和密码以及除 CA 之外的所有其他参数。保存后,它将失败,但这是此时可以预料到的。然后你必须关闭 wifi,因为 vanilla android 11 有一个错误,否则它会删除 CA,然后才将加密设置中的 CA 导入为 wifi CA。之后,仍然关闭 wifi,转到已保存的连接,单击连接,编辑它(右上角的铅笔图标)并更改 CA 证书选项以匹配你刚刚导入的公司 CA。只有这样打开 wifi,它才应该可以工作。