主页 / server / 问题 / 800773
Accepted
I say Reinstate Monica
Asked: 2016-09-03 08:39:30 +0800 CST

控制自动续订证书时 NPS 网络策略选择哪个证书

  • 772

我有多个使用带有自签名证书的 Microsoft PEAP 的 NPS 网络策略。当我们的内部 CA 自动更新证书时,所有网络策略都会切换到 NPS 服务器上安装的另一个(看起来是随机的)证书。发生这种情况时,无线客户端无法进行身份验证,从而对我们的基础架构造成严重破坏。

自签名证书所基于的证书模板会在证书到期前 6 周自动更新证书。为了缓解此问题,我为自己设置了一个提醒,以编辑 NPS 策略并选择续订的证书。但我是一名 IT 消防员,有时火灾让我无法完成日常任务,甚至是重要的任务。

有没有办法告诉 NPS 使用更新的证书而不是随机选择一些证书?

windows ssl-certificate windows-server-2008-r2 nps

2 个回答

  1. Best Answer

    当配置为由网络策略使用的证书自动续订时,无法控制 NPS 将选择哪个证书。因此,最好的做法是执行以下操作:

    1. 在证书自动续订之前手动续订自签名证书,然后
    2. 立即编辑所有受影响的 NPS 网络策略以使用续订的证书。
    • 1

  2. 这个问题困扰了我多年。我想我终于找到了一个涉及修改 ias.xml 配置文件文本的解决方案。我编写了一个 PS 函数,将 xml 文件中的证书指纹替换为 nps 证书的指纹。如果 System32\ias 中的配置文件日期早于证书的 notbefore 日期,我们将在主服务器上运行此函数。在导入配置之前,我们还在每个同步主配置的从服务器上运行例程。我们使用 PEAP MSCHAPv2,因此请确认指纹在您的配置文件中的相同位置。带有配置的 xml 元素称为 msEAPConfiguration。我们所有的 PEAP 配置的长度都是 1728。证书指纹从索引 72 开始,长度为 40 个字符。有些配置较短,但我还没有调查过它们。

    function replace-certThumbprint {
    param (
        $srcNPSConfigPath, $newThumbprint
    )
    # read xml file for iteration
    [xml]$npsXmlFile = Get-Content -path $srcNPSConfigPath

    # read raw xml file for overwrite
    $rawXML = Get-Content -Path $srcNPSConfigPath -Raw

    # get eap config part of xml file
    $eapNodes = $npsXmlFile.getelementsbytagname("msEAPConfiguration")

    # find certificate thumbprint in nodes
    foreach ($node in $eapNodes) {
        # confirm node is 1728 char long
        if ($node.'#text'.Length -eq 1728) {
            # save original node text
            $origNode = $node.'#text'
            # get thumbprint from node
            $thumbprint = $node.'#text'.substring(72, 40)
            # replace thumbprint of old cert with new cert if not present
            if ($origNode.indexof($newThumbprint) -eq -1) {
                # node text does not contain new thumbprint
                # replace node text in raw xml file with new node text
                $rawXML = $rawXML -replace $origNode, ($origNode -replace $thumbprint, $newThumbprint)
            }
        }
        # $node | fl *
    }



    $rawXML | set-content -Path $srcNPSConfigPath -Force

}
    • 1

相关问题