Я хочу заменить сертификат SSL, который используется для PEAP на нашем сервере NPS, который выполняет аутентификацию RADIUS для наших WLC Cisco. Текущий сертификат - это сертификат SSL, который выполняет аутентификацию клиента и аутентификацию сервера. Мы хотим заменить его подстановочным знаком, который мы используем где-нибудь в нашем домене, чтобы упростить управление нашими сертификатами SSL.
Я прочитал документ Microsoft Вот в котором изложены требования к использованию стороннего сертификата с PEAP. Подстановочный знак, который мы используем, соответствует всем им. Служба поддержки Microsoft не может решить эту проблему в течение двух рабочих дней, и их единственный ответ: «это должно быть проблема с сертификатом», но они не могут сказать мне конкретно, что в нем не так, поскольку он соответствует всем этим требованиям. .
Пока мое дело находится на эскалации, я провел некоторое исследование, и у других людей были проблемы с использованием сторонних сертификатов с PEAP на сервере IAS / NPS, выполняющем RADIUS. Насколько я могу судить, официального ответа от Microsoft не последовало. Кто-нибудь знает наверняка, можно ли использовать подстановочный сертификат для PEAP?
Мне не удалось получить прямой ответ от Microsoft, но все знаки указывали на сертификат. В итоге я купил 2048-битный SSL-сертификат для одного домена, который выполняет аутентификацию клиента и сервера, и установил его на сервере NPS. К этому моменту все нормализовалось.
Реализация протокола PEAP / RADIUS / NPS от Microsoft явно не очень хорошо работает с сертификатами Wildcard, даже если они нигде не указывают это ограничение.
Редактировать:
После разговора с кем-то из команды Microsoft PKI мне сказали, что, поскольку наши дубликаты с подстановочными знаками имеют имя субъекта * .OurSchool.edu, а не имя сервера, клиенты Windows отклонят его при согласовании PEAP. Сервер явно указан по полному доменному имени в поле «Альтернативное имя субъекта» сертификата, но, очевидно, это не имеет значения.
Инженер службы поддержки подтвердил, что из-за этого возникают проблемы со многими сертификатами с подстановочными знаками. Если вы используете сторонний центр сертификации, который позволит вам получать дубликаты вашего подстановочного знака с полем имени субъекта вашего NPS-сервера и переместить подстановочный знак в SAN, тогда он должен работают нормально. Мы не проверяли эту теорию, так что относитесь к ней с недоверием.