我想替换正在为我们的Cisco WLC进行RADIUS身份验证的NPS服务器上用于PEAP的SSL证书.当前证书是执行客户端身份验证和服务器身份验证的SSL证书.我们希望将其替换为我们在域中其他地方使用的通配符,以简化SSL证书的管理.
我阅读了Microsoft文档here,其中概述了在PEAP中使用第三方证书的要求.我们使用的通配符符合所有这些通配符. Microsoft支持现在无法在两个工作日内解决此问题,他们唯一的回答是:“它必须是证书的问题”,但他们无法具体告诉我它是什么错误,因为它满足所有这些要求.
虽然我的案例正在升级,但我做了一些研究,其他人在使用RADIUS的IAS / NPS服务器上使用PEAP的第三方证书时遇到了问题.据我所知,微软没有官方回应.有没有人知道是否可以将通配符证书用于PEAP?
我无法直接从微软那里得到答案,但所有迹象都指向了证书.我最终购买了一个域名SSL 2048位证书,该证书执行客户端和服务器身份验证并将其安装在NPS服务器上.事情在这一点上恢复正常.
微软对PEAP / RADIUS / NPS的实现显然对Wildcard证书不起作用,即使他们没有在任何地方列出这个约束.
编辑:
在与Microsoft PKI团队的某个人交谈后,我被告知由于我们的通配符副本的主题名称为* .OurSchool.edu而不是服务器,因此Windows客户端在协商PEAP时会拒绝它.服务器在证书的“使用者备用名称”字段中由FQDN明确列出,但显然没有区别.
支持工程师确实证实了许多通配符证书存在问题.如果您使用第三方CA,它将允许您使用NPS服务器的“使用者名称”字段获取通配符的副本并将通配符移动到SAN,那么它应该可以正常工作.我们没有对这个理论进行测试,所以不要尝试一下.
