我已经使用微软 nps 服务器、组策略证书自动注册和组策略 wifi 配置配置了 WiFi 连接到公司网络的计算机身份验证。几年来一直运行良好。
最近我的笔记本电脑每次重启/重新连接时都会显示此提示:“继续连接吗?如果您希望在此位置找到 X,请继续连接”
因此,我检查了 CA 颁发的证书中的服务器指纹,它与分配给 NPS 服务器的当前有效证书的指纹相匹配。
此外,此相同的证书(具有相同的到期日期)在 NPS 服务器中配置为用于证明身份的证书:
此外,根 CA 在 GPO 中配置为 NPS 身份验证的受信任根:
此外,STL-SVRADMIN-CA 被添加为笔记本电脑上的受信任根 CA,显示需要执行的操作提示:
SVRADMIN 上的 IIS 服务器使用了相同的证书,并且验证正常:
那么问题是:为什么这台笔记本电脑提示我继续?似乎它应该能够通过配置的 CA 和提示中显示的服务器指纹来验证 NPS 身份。
答案1
好吧,我找到了解决方案,@GregAskew 也为我指明了正确的方向。
显然当你进入完整限定域名 (FQDN)在“受保护的 EAP 属性”中,此 FQDN区分大小写。 (你相信吗?)
在我将域后缀从小写 stl.local 更改为大写 STL.local 之后,发出gpupdate /force并重新启动笔记本电脑,一切都恢复如前。