У нас есть беспроводной сервер аутентификации (Windows 2003 SP2 с IAS). Он настроен с сертификатом DigiCert. Цепочка сертификатов выглядит так:
Entrust.net Secure Server Certification Authority
DigiCert High Assurance EV Root CA
DigiCert High Assurance CA-3
ourserver.ourdomain.com
Когда клиент Windows 7 подключается к беспроводной сети в первый раз, он получает предупреждение о сертификате. Это будет выглядеть так:
Сервер "ourserver.ourdomain.com" представил действующий сертификат, выданный "Центр сертификации защищенных серверов Entrust.net", но "Центр сертификации защищенных серверов Entrust.net" не настроен в качестве допустимого якоря доверия для этого профиля.
Это не имеет большого значения, поскольку предполагается, что это будет разовый раз. Но корневой сертификат, на который он жалуется, несовместим. В половине случаев вместо этого они получают следующее:
Сервер "ourserver.ourdomain.com" представил действующий сертификат, выданный "DigiCert High Assurance EV Root CA", но "DigiCert High Assurance EV Root CA" не настроен в качестве допустимого якоря доверия для этого профиля.
Причина в том, что это означает клиенту предлагается второй раз в какой-то более поздний момент, когда они повторно подключаются к беспроводной сети, где соединение, кажется, произвольно выбирает «другой» сертификат в цепочке в качестве недостающего якоря, а не первого. Выбор кажется случайным.
Для ясности, это было воспроизведено где:
Есть идеи относительно причины этого несоответствия, и как я могу это остановить?
У меня была именно эта проблема, и я решил ее, загрузив DigiCert SSL Certificate Checker и запустив его на своих серверах IAS. Инструмент заявил, что один из промежуточных сертификатов был неверным, и предложил установить новый. Посмотрев на хранилище сертификатов, инструмент установил новый DigiCert High Assurance CA-3, хотя явно действующий сертификат присутствовал. Я проверил новый сертификат по сравнению с тем, который он заменил, оба имели одинаковый номер версии и дату истечения срока действия, только разные серийные номера. Не уверен, что было не так с предыдущим, но все сработало с новым.
Это всего лишь предположение, но я думаю, что обе
устанавливаются как «Доверенные корневые центры сертификации».
Когда сертификат «ourserver.ourdomain.com» проверяется на соответствие профилю доверенной привязки, по какой-то причине (возможно, из-за конкретной проблемы с реализацией) он произвольно выбирает любой из них в качестве корневого.
я так думаю удаление корневого ЦС DigiCert High Assurance EV из доверенных корневых центров сертификации может решить проблему. Он подписан другим, поэтому он все равно будет проверять нормально.
Пытаться
Сначала перейдите в Панель управления> Сеть и Интернет> Управление беспроводными сетями.
Откройте беспроводную сеть. Или нажмите кнопку «Добавить», чтобы создать новую сеть, а затем откройте ее.
Откроется окно свойств беспроводной сети. Щелкните вкладку Безопасность.
В разделе «Выберите метод сетевой аутентификации» выберите «Microsoft: смарт-карта или другой сертификат». Я предполагаю, что это уже выбрано.
Нажмите кнопку «Настройки».
Откроется окно «Смарт-карта или другие свойства сертификата».
Вот и ответ. В списке «Доверенные корневые центры сертификации» вы должны вручную выбрать корневой центр сертификации вашей компании. По умолчанию все они пустые. Вот почему предупреждающее сообщение появляется в первый раз, если вы не выбрали корневой ЦС своей компании. Если вы подключаетесь, несмотря на предупреждение, то теперь выбран корневой центр сертификации вашей компании, и вы больше не получаете предупреждение при последующих подключениях. Итак, чтобы избежать предупреждения, просто установите этот флажок при настройке сети перед первым подключением.
Если вы не видите здесь корневой центр сертификации своей компании, это, вероятно, связано с тем, что по умолчанию двойной щелчок по сертификату для его установки, вероятно, помещает его на вкладку «Промежуточные центры сертификации». Вместо этого вам нужно выбрать вкладку «Доверенные корневые центры сертификации». Вы можете увидеть, где находятся сертификаты: Internet Explorer> Свойства обозревателя> Содержимое> Сертификаты.