Ssl
Wifi 的 NPS/RAIDUS 身份驗證和非受信任伺服器的證書
我正在嘗試將 NPS 伺服器設置為我公司雇主 Wifi 網路的 RADIUS 伺服器。所有移動設備都可以使用其域使用者/通行證連接到該網路。我的問題是讓 Windows 電腦(不在域中!)使用這個網路,因為我從 NPS 日誌中得到這個錯誤:
"SERVERNAME", "IAS", 09/28/2015, 09:00:44, 3, ... "WIFI_STAFF_Policy", 265
使用日誌規範,我發現這個數據包是**“訪問拒絕”,“原因程式碼”是 265**(未在 MS 日誌規範中聲明)。Google搜尋發現“265 Reason code”是證書錯誤,但不明白是客戶端錯誤還是伺服器錯誤。
顯然我不能為所有非域電腦添加證書,而且我不想為我的 NPS 購買證書。
如果這是客戶端錯誤,我知道我可以將 PEAP 身份驗證設置為不驗證證書,但這是一個非常困難的選項,因為我應該手動設置每台電腦。
有什麼方法可以不使用 NPS 網路策略配置中的證書驗證?
您的非域客戶端無法連接的原因是您的客戶端不信任 NPS 伺服器上配置的網路策略所使用的證書。
有什麼方法可以不使用 NPS 網路策略配置中的證書驗證?
不,這就是原因。假設您可以配置 NPS 伺服器以更改客戶端的行為,即使您的客戶端不信任伺服器的證書。如果我是攻擊者,我可以使用您不信任的證書設置我的 NPS 伺服器,並將其配置為強制您的客戶端連接到我的伺服器,即使您不信任我的證書。那會很糟糕。
您有兩個選項可以使用客戶端不信任的證書將無線客戶端連接到受 PEAP 保護的無線網路: