可能有点混乱,所以让我解释一下情况。
我们公司想实施LAN带PEAP身份验证的企业无线网络。不幸的是,10 年前有人在我们的 Active Directory 设计中犯了一个大错误。
我们正在使用的域名company.ch,不是我们公司所有,而是其他人所有。这使得无法SSL为服务器颁发公共证书RADIUS,并且我们的 Active Directory 域太大而无法重命名。
我们已经考虑过使用我们的私有PKI证书并推出 CA 生成的证书,GPO但这只会覆盖我们公司管理的客户端,而不是我们 BYOD 政策中我们环境中的任何设备(智能手机、平板电脑、笔记本电脑..)
有没有办法添加二级域名,如company2.ch,针对它颁发公共证书并加入RADIUS该二级域,以便我们可以DHCP为所有客户端池配置二级域?
或者是否有另一种方式,例如,RADIUS在其自己的域 ( company2.ch) 上的新服务器与域的某种信任相关联company.ch?
我不是客户端-服务器人员,但希望您能理解我的意思。
首先,我要说您(好吧,也许是您的老板)真的需要停止使用您不拥有的域。你说现在这样做太大了,但你是短视的。如果它现在“太大”而无法改变,那么将来会发生什么,当它变得更大时?你只是让问题越来越大,直到(如果公司确实成功并继续增长)你最终会遇到一个真的“太大”而无法处理的问题,你会花费大量的钱金钱和时间,并产生大量用户影响来更正您现在可能更省力的更正内容。至少,您应该看看是否可以从其当前所有者那里购买您的 AD 使用的域,这是纠正此问题的最快方法。
不管怎么说,假设你的老板实际上不愿意变得合理、聪明,或者比他们的下一张奖金支票更深入地思考未来,实际上有一个非常东方的方法来解决这个问题,你在你的问题中提到了这一点。
你想要做的是:
RADIUS/NPS服务器,它有权对旧域进行身份验证,或者可能只是你的支持 RADIUS 的设备,并允许它们对旧域进行身份验证(或者你想这样做)。SSL您为该域购买的任何证书都将被旧域接受,如果这是您的路线。