我正在尝试使用 PEAP-MSChapv2 将我的 Microsoft Server 2016 网络策略服务器配置修复为半径服务器。
众所周知,一些现代设备无法“验证”服务器证书,因为该选项太弱并且已被禁用(例如某些android 11 设备)
据我所知,应该有向这些(非域)设备添加内部 CA 证书的解决方案,以便它们可以验证 nps 服务器证书(并避免管理客户端证书)。
我发现由内部 CA 颁发的 nps 服务器证书,并且该内部 CA 的证书是自签名的(由自己颁发)。我尝试导出 ca 证书(不带私钥),并将其导入设备中,但现在,没有成功我收到错误 22:服务器无法处理 Eap 类型或错误 265:颁发了证书链由不受信任的权威
不清楚我是否仅在将客户端上的字段域更改为仅在 nps 服务器证书的 cn 名称中的 FQDN 的域时才获得 265。
我怎样才能正确实现这一点(PEAP-MSchapv2 在非域客户端上具有服务器身份验证)?
注意:现在它可以正常工作,对于“旧”无线客户端:它们正确地作为 AD 用户进行身份验证,并获得网络访问权限,所以我希望只为这些较新的设备更正设置,而不是从根本上改变它。
好吧,我已经解决了这个问题:
我的特定 Android 11 版本出现错误,因此在 w.server 2016 (PEAP-MS-Chapv2) 上使用 nps 配置 WPA-E 来验证服务器需要特别注意:
您必须先配置连接安装 CA 证书(在我们的例子中它是 machapv2 的 peap),并且域部分很重要(例如:如果服务器证书是 radius.mycompany.com,则必须将该字段填写为 mycompany.com,否则它将永远不会成功),并将 CA 证书选项保留为“使用系统证书”。还要按照系统管理员的说明填写用户名和密码,以及除 CA 之外的所有其他参数。保存后,它将失败,但此时这是可以预料的。然后你必须关闭wifi,因为vanilla android 11有一个错误,否则它将擦除CA,然后才将加密设置中的CA作为wifi CA导入。之后,仍然关闭wifi,转到保存的连接,单击连接,编辑它(右上角的铅笔图标)并更改CA证书选项以匹配您的公司' s 刚刚导入的 CA。只有然后打开wifi,它应该可以工作。