Назад | Перейти на главную страницу

Центр сертификации - RADIUS / WPA

У нас проблема с нашим центром сертификации, он ежедневно удаляет собственный сертификат компьютера. Я использую этот компьютер для обеспечения безопасности беспроводной сети WPA по стандарту RADIUS. Поэтому каждый день мне приходится обновлять сертификат компьютера. Когда я проверяю программу просмотра событий, отображаются три журнала:

Источник: IAS. Код события: 3

Запрос на доступ для пользователя User1 был отклонен. Fully-Qualified-User-Name = domain.com/Users/User1 NAS-IP-Address = 192.168.0.66 NAS-Identifier = Wireless Called-Station-Identifier = 001d.45d3.4190 Calling-Station-Identifier = 0023.df15. 1483 Client-Friendly-Name = IP-адрес беспроводного клиента = 192.168.0.66 NAS-Port-Type = Wireless - IEEE 802.11 NAS-Port = 5113 Proxy-Policy-Name = Использовать проверку подлинности Windows для всех пользователей Authentication-Provider = Windows
Сервер аутентификации = Код-причины = 23 Причина = Неожиданная ошибка. Возможная ошибка в конфигурации сервера или клиента.

Источник: IAS Код события: 20168

Не удалось получить сертификат сервера удаленного доступа из-за следующей ошибки: не удается найти объект или свойство.

Источник: IAS Код события: 20168

Поскольку для клиентов, подключающихся по протоколу EAP-TLS, не настроен сертификат, сертификат по умолчанию отправляется пользователю Domain \ User1. Перейдите к политике удаленного доступа пользователя и настройте протокол расширенной аутентификации (EAP).

Что могло вызвать проблему?

Вот настоящее решение.

Чтобы более четко описать процесс копирования шаблона и выдачи сертификата, я хотел бы предоставить более точный план действий, как показано ниже.

  1. В CA создайте дубликат «шаблона сертификата сервера RAS и IAS». Введите «Аутентификация сервера RAS и IAS» в поле «Отображаемое имя шаблона» на вкладке «Общие» свойств нового шаблона.

  2. На вкладке «Расширения» убедитесь, что политики приложений включают только проверку подлинности сервера (OID 1.3.6.1.5.5.7.3.1).

  3. Также на вкладке «Расширения» отредактируйте политики выдачи и добавьте политику средней гарантии.

  4. На вкладке Subject Name выберите Build from this Active Directory information. Кроме того, убедитесь, что для формата имени субъекта установлено значение Общее имя и что выбрано только DNS-имя в разделе «Включить эту информацию в альтернативное имя субъекта».

  5. На вкладке «Обработка запросов» нажмите кнопку «CSP», убедитесь, что для запроса выбран один из следующих CSP и выбран только поставщик криптографических служб Microsoft RSA SChannel.

  6. На вкладке «Безопасность» добавьте группу безопасности сертификата аутентификации сервера AutoEnroll RAS и IAS с разрешениями на чтение, регистрацию и автоматическую регистрацию.

  7. Добавьте шаблоны сертификатов в ЦС.

  8. В оснастке MMC центра сертификации щелкните правой кнопкой мыши папку «Шаблоны сертификатов», выберите «Создать», а затем «Шаблон сертификата для выдачи». Выберите следующие сертификаты и нажмите ОК.

«Аутентификация сервера RAS и IAS»

  1. Войдите на сервер IAS как член локальной группы администраторов.

  2. Откройте MMC и добавьте оснастку «Сертификаты». При появлении запроса выберите параметр «Учетная запись компьютера», а затем выберите «Локальный компьютер».

  3. Выберите «Сертификаты (локальный компьютер)» в дереве консоли, выберите «Все задачи» в меню «Действие» и нажмите «Автоматически регистрировать сертификаты».

Оно работает. Любой аргумент?

скорее всего сертификат удален каким-то приложением. Иногда сертификат не удаляется, а архивируется. Для проверки запустите certmgr.msc и откройте оснастку сертификата. Затем щелкните Сертификаты-> Просмотр-> Параметры и выберите Архивные сертификаты. сертификаты снова появляются.

Это может быть программа Live Sync, которая удаляет / архивирует сертификат. Чтобы проверить, пожалуйста, постарайтесь не использовать программу на машине и следить за тем, удаляется ли / архивируется сертификат. Я также обнаружил, что программное обеспечение FolderShare также может вызвать такого рода проблемы. Если у вас установлено это программное обеспечение, удалите или отключите его. Спасибо.

Чтобы решить эту проблему, я рекомендую выполнить чистую загрузку проблемной машины и проверить ее снова.

Чтобы выполнить чистую загрузку, выполните следующие действия.

  1. Введите MSCONFIG, чтобы открыть консоль конфигурации системы.

  2. Перейдите на вкладку «Службы», выберите параметр, чтобы скрыть все службы Microsoft, а затем нажмите кнопку «Отключить все».

  3. Перейдите на вкладку «Автозагрузка» и нажмите кнопку «Отключить все».

  4. Перезагрузите компьютер.