Wildcard-Zertifikate von Drittanbietern zur Verwendung mit Microsoft NPS / RADIUS / PEAP

7

Ich möchte das SSL-Zertifikat ersetzen, das für PEAP auf unserem NPS-Server verwendet wird, der die RADIUS-Authentifizierung für unsere Cisco WLCs durchführt. Das aktuelle Zertifikat ist ein SSL-Zertifikat, das die Clientauthentifizierung und Serverauthentifizierung durchführt. Wir möchten es durch einen Platzhalter ersetzen, den wir an anderer Stelle in unserer Domäne verwenden, um die Verwaltung unserer SSL-Zertifikate zu optimieren.

Ich las das Microsoft - Dokument hier , dass Umrisse die Voraussetzungen für ein 3rd - Party - Zertifikat mit PEAP verwenden. Der von uns verwendete Platzhalter erfüllt alle. Der Microsoft-Support konnte dieses Problem seit zwei Werktagen nicht mehr beheben. Die einzige Antwort lautet: "Es muss ein Problem mit dem Zertifikat sein". Sie können mir jedoch nicht genau sagen, was daran falsch ist, da alle diese Anforderungen erfüllt sind .

Während mein Fall eskaliert wird, habe ich einige Nachforschungen angestellt und andere Personen hatten Probleme bei der Verwendung von Zertifikaten von Drittanbietern mit PEAP auf einem IAS / NPS-Server, der RADIUS ausführt. Soweit ich das beurteilen kann, hat Microsoft keine offizielle Antwort erhalten. Weiß jemand sicher, ob ein Platzhalterzertifikat für PEAP verwendet werden kann?

MDMarra
quelle

Antworten:

5

Ich konnte keine klare Antwort von Microsoft erhalten, aber alle Anzeichen deuteten auf das Zertifikat hin. Am Ende habe ich ein SSL-2048-Bit-Zertifikat mit einer einzelnen Domäne gekauft, das die Client- und Serverauthentifizierung durchführt, und es auf dem NPS-Server installiert. Zu diesem Zeitpunkt normalisierten sich die Dinge wieder.

Die Implementierung von PEAP / RADIUS / NPS durch Microsoft funktioniert mit Wildcard-Zertifikaten anscheinend nicht gut, obwohl diese Einschränkung nirgendwo aufgeführt ist.

Bearbeiten:

Nachdem ich mit jemandem im Microsoft PKI-Team gesprochen hatte, wurde mir mitgeteilt, dass die Windows-Clients diesen Betreff ablehnen, da unsere Platzhalterduplikate den Betreff * .OurSchool.edu und nicht den Server haben. Der Server wird vom FQDN explizit im Feld Alternativer Antragstellername des Zertifikats aufgeführt, aber das macht anscheinend keinen Unterschied.

Der Support-Techniker hat bestätigt, dass aus diesem Grund Probleme mit vielen Platzhalterzertifikaten auftreten. Wenn Sie eine Zertifizierungsstelle eines Drittanbieters verwenden, mit der Sie Duplikate Ihres Platzhalters mit dem Feld Betreffname Ihres NPS-Servers abrufen und den Platzhalter in das SAN verschieben können, sollte dies problemlos funktionieren. Wir haben diese Theorie nicht getestet, nehmen Sie sie also mit einem Körnchen Salz.

MDMarra
quelle