NPS 半徑配置 EAP-Ms-Chapv2
我正在嘗試使用 PEAP-MSChapv2 將我的 Microsoft Server 2016 網路策略伺服器配置修復為半徑伺服器。
眾所周知,一些現代設備無法“驗證”伺服器證書,因為該選項太弱並且已被禁用(例如某些android 11 設備)
據我所知,應該有向這些(非域)設備添加內部 CA 證書的解決方案,以便它們可以驗證 nps 伺服器證書(並避免管理客戶端證書)。
我發現由內部 CA 頒發的 nps 伺服器證書,並且該內部 CA 的證書是自簽名的(由自己頒發)。我嘗試導出 ca 證書(不帶私鑰),並將其導入設備中,但現在,沒有成功我收到錯誤 22:伺服器無法處理 Eap 類型或錯誤 265:頒發了證書鏈由不受信任的權威
不清楚我是否僅在將客戶端上的欄位域更改為僅在 nps 伺服器證書的 cn 名稱中的 FQDN 的域時才獲得 265。
我怎樣才能正確實現這一點(PEAP-MSchapv2 在非域客戶端上具有伺服器身份驗證)?
注意:現在它可以正常工作,對於“舊”無線客戶端:它們正確地作為 AD 使用者進行身份驗證,並獲得網路訪問權限,所以我希望只為這些較新的設備更正設置,而不是從根本上改變它。
好吧,我已經解決了這個問題:
我的特定 Android 11 版本出現錯誤,因此在 w.server 2016 (PEAP-MS-Chapv2) 上使用 nps 配置 WPA-E 來驗證伺服器需要特別注意:
您必須先配置連接安裝 CA 證書(在我們的例子中它是 machapv2 的 peap),並且域部分很重要(例如:如果伺服器證書是 radius.mycompany.com,則必須將該欄位填寫為 mycompany.com,否則它將永遠不會成功),並將 CA 證書選項保留為“使用系統證書”。還要按照系統管理員的說明填寫使用者名和密碼,以及除 CA 之外的所有其他參數。保存後,它將失敗,但此時這是可以預料的。然後你必須關閉wifi,因為vanilla android 11有一個錯誤,否則它將擦除CA,然後才將加密設置中的CA作為wifi CA導入。之後,仍然關閉wifi,轉到保存的連接,點擊連接,編輯它(右上角的鉛筆圖示)並更改CA證書選項以匹配您的公司’ s 剛剛導入的 CA。只有然後打開wifi,它應該可以工作。