O Windows 7 aparece para selecionar a âncora inconsistente durante a conexão sem fio

4

Temos um servidor de autenticação sem fio (Windows 2003 SP2 com IAS). Está configurado com um certificado DigiCert. A cadeia de certificados é assim:

Entrust.net Secure Server Certification Authority
  DigiCert High Assurance EV Root CA
    DigiCert High Assurance CA-3
      ourserver.ourdomain.com

Quando um cliente Windows 7 se conecta à rede sem fio pela primeira vez, eles recebem um aviso sobre o certificado. Será assim:

The server "ourserver.ourdomain.com" presented a valid certificate issued by "Entrust.net Secure Server Certification Authority", but "Entrust.net Secure Server Certification Authority" is not configured as a valid trust anchor for this profile.

Isso não é grande coisa, já que deve ser único. Mas o certificado raiz que reclama é inconsistente . Metade do tempo, eles pegam isso:

The server "ourserver.ourdomain.com" presented a valid certificate issued by "DigiCert High Assurance EV Root CA", but "DigiCert High Assurance EV Root CA" is not configured as a valid trust anchor for this profile.

A razão pela qual isso é um problema é que significa que o cliente será solicitado uma segunda vez em algum momento posterior quando se reconectar à rede sem fio, onde a conexão parece escolher arbitrariamente o "outro" certificado na cadeia como a âncora ausente, ao invés do primeiro. A seleção parece ser aleatória.

Para ser claro, isso foi reproduzido onde:

  • 2 Os laptops do Windows 7 estão no mesmo local físico (no mesmo AP).
  • Um, quando configurado inicialmente, solicitado com o certificado raiz Entrust.
  • O outro, quando configurado inicialmente, é solicitado com o certificado raiz EV.
  • Ambos estavam se conectando ao mesmo servidor IAS, que possui apenas um certificado instalado.

Alguma idéia sobre a causa dessa inconsistência e como posso pará-lo?

    
por Neobyte 25.03.2011 / 04:12

3 respostas

2

Eu tive exatamente esse problema e resolvi isso baixando o Verificador de Certificado SSL DigiCert e o executando nos meus servidores IAS. A ferramenta afirmou que um dos certificados intermediários, estava incorreto e se ofereceu para instalar um novo. Observando o armazenamento de certificados, a ferramenta instalou um novo CA-3 DigiCert High Assurance, mesmo que um certificado aparentemente válido estivesse presente. Eu verifiquei o novo certificado em relação ao que ele substituiu, ambos tinham o mesmo número de versão e data de validade, apenas um número de série diferente. Não sei o que estava errado com o anterior, mas tudo funcionou com o novo.

    
por 24.02.2012 / 01:03
0

Isso é apenas um palpite, mas acho que ambos

  • "Autoridade de Certificação do Servidor Seguro Entrust.net"
  • "CA raiz de EV de alta garantia DigiCert"

são instalados como "Autoridades de Certificação Raiz Confiáveis".

Quando o certificado "ourserver.ourdomain.com" é verificado em relação ao perfil de âncora confiável, por algum motivo (provavelmente devido a um problema específico com a implementação), ele arbitrariamente escolherá como raiz.

Eu acho que remover "RaiCert High Assurance EV Root CA" das autoridades de certificação raiz confiáveis pode resolver o problema. É assinado pelo outro, por isso ainda vai verificar ok.

    
por 05.04.2011 / 08:58
-1

Tente

Primeiro, vá para o Painel de controle > Rede e Internet > Gerenciar redes sem fio.

Abra a rede sem fio. Ou clique no botão "Adicionar" para criar uma nova rede e, em seguida, abra-a.

A janela Propriedades da rede sem fio é exibida. Clique na guia Segurança.

Em "Escolha um método de autenticação de rede", selecione "Microsoft: Smart Card ou outro certificado". Eu suponho que isso já esteja selecionado.

Clique no botão "Configurações".

A janela "Cartão inteligente ou outras propriedades do certificado" é exibida.

Aqui está a resposta. Na lista "Autoridades de certificação raiz confiáveis", você precisa selecionar manualmente a CA raiz da sua empresa. Por padrão, todos estão em branco. É por isso que a mensagem de aviso é exibida na primeira vez se você não selecionar a CA raiz da sua empresa. Se você se conectar apesar do aviso, a CA raiz da sua empresa será selecionada e você não receberá mais o aviso nas conexões subsequentes. Assim, para evitar o aviso, basta selecionar esta caixa quando você configurar a rede, antes de se conectar pela primeira vez.

Se você não vir a CA de raiz da sua empresa aqui, isso provavelmente se deve ao fato de que, por padrão, clicar duas vezes no certificado para instalá-lo provavelmente o coloca na guia "Autoridades de certificação intermediárias". Você precisa selecionar a guia "Autoridades de Certificação Raiz Confiáveis". Você pode ver onde os certificados vão abaixo: Internet Explorer > Opções da Internet > Conteúdo > Certificados

    
por 29.03.2011 / 14:51