請教各位前輩
因為要架設內部RADIUS EAP-TLS測試環境,目前驗證過EAP-PEAP是OK的,所以確定排除 DNS, AD, IIS, DHCP, IAS 與無線AP之因素。唯有在使用EAP-TLS(憑證)的部分Event log就會出現"IAS 伺服器無法處理可延伸的驗證"。由於TLS在連現實需要做server 與client的認證,請問有方法用手動加入憑證然後再去連線嗎? 或是要從Certificate Services匯出那些憑證給client才行?
目前已試過Client安裝 http://server/certsrv/ 的認證也是無效
如果有缺少的資訊,我再補上,謝謝。
測試環境:
測試Server 2003 (DNS, AD, IIS, DHCP, CA,IAS)
IAS 主要設定: EAP方法[智慧卡或憑證]>編輯>憑證發給[tls.xxx.com]
測試Client win10 RS1 Pro/Enterprise
手動新增連線或是自動都會出現"Can't connect because you need a certificate to sign in. Contact your IT support person"
或是"Can't connect because the sign-in requirements for your device and the network aren't compatible. Contact your IT support person."
參考資料 :
我這裡802.1x是以Windows2008 NPS建置
憑證是利用GPO派送到用戶端(自簽憑證)
WiFi Controller也需要有信任憑證
Windows 2008 NPS只信任SAN型態憑證 (wildcard會有問題)
(Win2012 NPS設定也相同-已測試)
服務已運作多時