web-dev-qa-db-ja.com

Microsoft NPSで使用するサードパーティのワイルドカード証明書/ RADIUS / PEAP

Cisco WLCでRADIUS認証を実行しているNPSサーバーでPEAPに使用されているSSL証明書を置き換えます。現在の証明書は、クライアント認証とサーバー認証を行うSSL証明書です。 SSL証明書の管理を効率化するために、ドメインの他の場所で使用するワイルドカードに置き換えたいと考えています。

PEAPでサードパーティの証明書を使用するための要件の概要を示すMicrosoftのドキュメント こちら を読みました。私たちが使用しているワイルドカードはそれらすべてに適合します。マイクロソフトサポートはこの2営業日の間この問題を解決できず、唯一の対応は「証明書に問題があるはずです」ですが、それらはすべての要件を満たしているため、何が問題であるかを具体的に知ることはできません。 。

私のケースがエスカレートされている間、私はいくつかの調査を行い、他の人々はRADIUSを実行するIAS/NPSサーバーでPEAPでサードパーティの証明書を使用する際に問題を抱えていました。私の知る限り、マイクロソフトからの公式な返答はありません。誰かがワイルドカード証明書をPEAPに使用できるかどうかを確実に知っていますか?

7
MDMarra

マイクロソフトから直接回答を得ることができませんでしたが、すべての兆候が証明書を指しています。クライアントとサーバーの認証を行う単一ドメインのSSL 2048ビット証明書を購入して、NPSサーバーにインストールしました。この時点で正常に戻りました。

MicrosoftのPEAP/RADIUS/NPSの実装では、この制約がどこにもリストされていなくても、ワイルドカード証明書でNiceを実行できないようです。

編集:

マイクロソフトのPKIチームの担当者と話した後、ワイルドカードの重複にはサーバーではなく* .OurSchool.eduというサブジェクト名があるため、WindowsクライアントはPEAPのネゴシエーション時に拒否するように言われました。サーバーは、証明書の[サブジェクトの別名]フィールドにFQDNによって明示的にリストされていますが、明らかに違いはありません。

サポートエンジニアは、このため、多くのワイルドカード証明書に問題があることを確認しました。 NPSサーバーのサブジェクト名フィールドを使用してワイルドカードの重複を取得し、ワイルドカードをSANに移動できるサードパーティCAを使用している場合は、必要が正常に機能します。私たちはこの理論をテストしなかったので、一粒の塩でそれを取ってください。

5
MDMarra