Конфигурация NPS Radius EAP-Мисс-Chapv2
. Я пытаюсь исправить конфигурацию сервера политики сети Microsoft Server 2016 в качестве сервера радиуса с помощью PEAP-MSChapv2.
Как хорошо известно некоторые современные устройства не могут «не проверять» сертификат сервера, потому что эта опция слишком слабая и была отключена (например, некоторые устройства Android 11)
Насколько я знаю, должен быть Решение для добавления внутреннего сертификата ЦС к этим (не доменным)устройствам, чтобы они могли аутентифицировать сертификат сервера nps (и избежать управления клиентскими сертификатами).
Я нашел сервер nps сертификат, выданный внутренним ЦС, и сертификат этого внутреннего ЦС является самоподписанным (, выданным им самим). Я пытался экспортировать сертификат ca (без закрытого ключа )и импортировать его в устройства, но пока безуспешно. Я получил ошибку 22 :Тип Eap не может быть обработан сервером. или ошибка 265 :цепочка сертификатов была выдана ненадежным автором
Неясно, получил ли я 265 только тогда, когда я изменил поле домена на клиенте только на домен полного доменного имени в имени cn сертификата сервера nps.
Как я могу правильно реализовать (PEAP-MSchapv2 с аутентификацией сервера на не доменном клиенте)?
Примечание:Теперь это работает нормально, для «старых» беспроводных клиентов:они правильно аутентифицируются как пользователи AD и получают доступ к сети, поэтому я хочу исправить настройки только для этих более новых устройств, не меняя их радикально.
Что ж, я решил проблему:
Моя конкретная версия Android 11 содержит ошибки, поэтому конфигурация WPA-E с nps на w.server 2016 (PEAP-MS-Chapv2)аутентификация сервера требует особого внимания:
необходимо настроить соединениепередустановкой сертификата ЦС (в нашем случае это пип с machapv2), и часть домена важна (пример:если сертификат сервера - radius.mycompany.com, вы должны заполнить это поле как mycompany.com, иначе он никогда не будет успешным), и оставьте вариант сертификата CA как «использовать системные сертификаты». Также заполните имя пользователя и пароль, а также любой другой параметр, кроме CA, в соответствии с инструкциями системного администратора. После сохранения произойдет сбой, но на данный момент этого следует ожидать. Затем вы должны отключить Wi-Fi, потому что в ванильном андроиде 11 есть ошибка, из-за которой он в противном случае сотрет ЦС, и только затем импортирует ЦС в настройках шифрования как ЦС Wi-Fi. После этого, все еще с выключенным Wi-Fi, перейдите к сохраненным подключениям, нажмите на подключение, отредактируйте его (значок карандаша в правом верхнем углу)и измените параметр сертификата ЦС, чтобы он соответствовал ЦС вашей компании, который вы только что импортировали. Только после этого включите вайфай и все должно заработать.