用於 Microsoft NPS / RADIUS / PEAP 的第三方萬用字元證書
我想替換為我們的 Cisco WLC 進行 RADIUS 身份驗證的 NPS 伺服器上用於 PEAP 的 SSL 證書。目前證書是進行客戶端身份驗證和伺服器身份驗證的 SSL 證書。我們希望將其替換為我們在域中其他地方使用的萬用字元,以簡化 SSL 證書的管理。
我在此處閱讀了 Microsoft 文件,其中概述了將第 3 方證書與 PEAP 一起使用的要求。我們使用的萬用字元滿足所有這些要求。微軟支持已經有兩個工作日無法解決這個問題,他們唯一的回應是:“肯定是證書有問題”,但他們無法具體告訴我哪裡出了問題,因為它滿足所有這些要求.
雖然我的案件正在升級,但我做了一些研究,其他人在執行 RADIUS 的 IAS/NPS 伺服器上使用帶有 PEAP 的 3rd 方證書時遇到了問題。據我所知,微軟沒有官方回應。有誰知道萬用字元證書是否可用於 PEAP?
我無法從 Microsoft 那裡得到直接的答案,但所有跡像都指向證書。我最終購買了一個執行客戶端和伺服器身份驗證的單域 SSL 2048 位證書,並將其安裝在 NPS 伺服器上。事情在這一點上恢復了正常。
微軟對 PEAP/RADIUS/NPS 的實現顯然與萬用字元證書不兼容,即使他們沒有在任何地方列出這個約束。
編輯:
在與 Microsoft PKI 團隊的某個人交談後,我被告知,由於我們的萬用字元副本的主題名稱為 *.OurSchool.edu 而不是伺服器的,Windows 客戶端在協商 PEAP 時將拒絕它。該伺服器由 FQDN 在證書的主題備用名稱欄位中明確列出,但顯然這沒有區別。
支持工程師確實因此確認了許多萬用字元證書存在問題。如果您使用第三方 CA,它允許您使用 NPS 伺服器的主題名稱欄位獲取萬用字元的副本並將萬用字元移動到 SAN,那麼它應該可以正常工作。我們沒有測試這個理論,所以對它持保留態度。