Windows 7は、ワイヤレス接続中に一貫性のないアンカーを選択しているように見えます
ワイヤレス認証サーバー(Windows 2003 SP2とIAS)があります。 DigiCert証明書で構成されています。証明書チェーンは次のようになります。
Entrust.net Secure Server Certification Authority
DigiCert High Assurance EV Root CA
DigiCert High Assurance CA-3
ourserver.ourdomain.com
Windows 7クライアントが初めてワイヤレスに接続すると、証明書に関する警告が表示されます。次のようになります。
サーバー "ourserver.ourdomain.com"は、"Entrust.net Secure Server認証局"によって発行された有効な証明書を提示しましたが、"Entrust.net Secure Server認証局"はこのプロファイルの有効なトラストアンカーとして構成されていません。
それは一回限りであるはずなので、それは大したことではありません。しかしそれが文句を言うルート証明書は一貫性がありません。半分の時間、彼らは代わりにこれを手に入れます:
サーバー "ourserver.ourdomain.com"は、"DigiCert High Assurance EVルートCA"によって発行された有効な証明書を提示しましたが、"DigiCert High Assurance EVルートCA"は構成されていませんこのプロファイルの有効なトラストアンカーとして。
これが問題である理由は、クライアントは2回目のプロンプトが表示されますワイヤレスネットワークに再接続した後のある時点で、接続が任意に「その他」の証明書を選択しているように見えることを意味するためです。最初ではなく、欠落しているアンカーとしてのチェーン。選択はランダムに見えます。
明確にするために、これは次の場所で再現されています。
- 2台のWindows7ラップトップが同じ物理的な場所(同じAP上)にあります。
- 1つは、最初に構成されたときに、Entrustルート証明書でプロンプトが表示されます。
- もう1つは、最初に構成されたときに、EVルート証明書でプロンプトが表示されます。
- どちらも、証明書が1つだけインストールされている同じIASサーバーに接続していました。
この不一致の原因について、そしてどうすればそれを止めることができるかについてのアイデアはありますか?
私はまさにこの問題を抱えていて、DigiCert SSL証明書チェッカーをダウンロードしてIASサーバーで実行することで解決しました。ツールは、中間証明書の1つが正しくなく、新しい証明書をインストールするように提案されたと述べました。証明書ストアを見ると、明らかに有効な証明書が存在していても、ツールは新しいDigiCert High AssuranceCA-3をインストールしました。新しい証明書を交換した証明書と照合しました。どちらもバージョン番号と有効期限が同じで、シリアル番号が異なります。以前の問題はわかりませんが、すべて新しい問題で機能しました。
これは単なる推測ですが、両方
- 「Entrust.netセキュアサーバー認証局」
- 「DigiCertHighAssurance EVRootCA」
「信頼されたルート認証局」としてインストールされます。
「ourserver.ourdomain.com」証明書が信頼できるアンカープロファイルに対してチェックされると、何らかの理由で(おそらく実装の特定の問題が原因で)、ルートとしていずれかを任意に選択します。
信頼されたルート認証局から「DigiCert高保証EVルートCA」を削除するで問題が解決する可能性があると思います。もう一方が署名しているので、問題がないことを確認します。