Certificados curinga de terceiros para uso com o Microsoft NPS / RADIUS / PEAP

7

Eu quero substituir o certificado SSL que é usado para o PEAP em nosso servidor NPS que está fazendo a autenticação RADIUS para nossos WLCs da Cisco. O certificado atual é um certificado SSL que faz Autenticação de Cliente e Autenticação de Servidor. Queremos substituí-lo por um curinga que usamos em outro lugar em nosso domínio para otimizar o gerenciamento de nossos certificados SSL.

Eu li o documento da Microsoft aqui que descreve os requisitos para usar um certificado de terceiros com PEAP. O curinga que estamos usando atende a todos eles. O suporte da Microsoft não consegue resolver esse problema há dois dias úteis e sua única resposta é: "deve haver um problema com o certificado", mas eles não podem me dizer especificamente o que está errado, já que atende a todos esses requisitos .

Enquanto meu caso está sendo escalado, fiz algumas pesquisas e outras pessoas tiveram problemas usando certificados de terceiros com PEAP em um servidor IAS / NPS fazendo RADIUS. Não houve resposta oficial da Microsoft, tanto quanto eu posso dizer. Alguém sabe ao certo se um certificado curinga pode ser usado para o PEAP?

    
por MDMarra 05.10.2011 / 22:15

1 resposta

5

Não consegui uma resposta direta da Microsoft, mas todos os sinais apontavam para o certificado. Acabei de comprar um certificado SSL de 2048 bits de domínio único que faz autenticação de cliente e servidor e instalei-o no servidor NPS. As coisas voltaram ao normal neste momento.

A implementação de PEAP / RADIUS / NPS da Microsoft aparentemente não funciona bem com os certificados Wildcard, mesmo que eles não listem essa restrição em nenhum lugar.

Editar:

Depois de falar com alguém da equipe da Microsoft PKI, me disseram que, como as duplicatas curinga têm um Nome de Assunto * .OurSchool.edu e não do servidor, os clientes do Windows o rejeitarão quando estiverem negociando o PEAP. O servidor é listado explicitamente pelo FQDN no campo Subject Alternative Name do certificado, mas aparentemente isso não faz diferença.

O engenheiro de suporte confirmou que há problemas com muitos certificados curinga por causa disso. Se você usar uma CA de terceiros que permitirá a obtenção de duplicatas do curinga com o campo Nome da entidade do seu servidor NPS e mover o curinga para a SAN, então deve funcionar bem. Nós não testamos essa teoria, então leve com um pouco de sal.

    
por 06.10.2011 / 15:03