iT邦幫忙

0

RADIUS EAP-TLS "伺服器無法處理可延伸的驗證"

請教各位前輩
因為要架設內部RADIUS EAP-TLS測試環境,目前驗證過EAP-PEAP是OK的,所以確定排除 DNS, AD, IIS, DHCP, IAS 與無線AP之因素。唯有在使用EAP-TLS(憑證)的部分Event log就會出現"IAS 伺服器無法處理可延伸的驗證"。由於TLS在連現實需要做server 與client的認證,請問有方法用手動加入憑證然後再去連線嗎? 或是要從Certificate Services匯出那些憑證給client才行?

目前已試過Client安裝 http://server/certsrv/ 的認證也是無效

如果有缺少的資訊,我再補上,謝謝。

測試環境:
測試Server 2003 (DNS, AD, IIS, DHCP, CA,IAS)
IAS 主要設定: EAP方法[智慧卡或憑證]>編輯>憑證發給[tls.xxx.com]

測試Client win10 RS1 Pro/Enterprise
手動新增連線或是自動都會出現"Can't connect because you need a certificate to sign in. Contact your IT support person"
或是"Can't connect because the sign-in requirements for your device and the network aren't compatible. Contact your IT support person."

參考資料 :

  1. RADIUS 架設 (因無提供VBS下載,故無法完全照做)
    https://technet.microsoft.com/zh-tw/library/dd548163.aspx
  2. Linux的EAP-TLS
    http://blog.chunnorris.cc/2013/12/freeradius-8021x-eap-tls.html#%E4%BA%8C-%E5%BB%BA%E7%AB%8B%E8%87%AA%E5%B7%B1%E7%9A%84-ca
kyc1109 iT邦新手 5 級 ‧ 2018-01-15 11:34:21 檢舉
最後是靠下面這篇照著做就行了。
https://wenku.baidu.com/view/34ae43de5022aaea998f0f25
不過發現一件是,上面的設定用Apple Mac是OK的,但是我手上的win7 和 win10就一直出現我發問的問題。
kyc1109 iT邦新手 5 級 ‧ 2018-01-29 21:09:32 檢舉
後來發現,server端要設定下面這個項目,Client 端的win10再點選要連線的AP並選擇"Connect using a certificate"就可以連線了
Network Properties > Security > Advanced settings > 802.1X settings > Specify authentication mode: [check] > "User or computer authentication"

1 個回答

0
何必問
iT邦好手 2 級 ‧ 2018-01-15 15:22:57
最佳解答

我這裡802.1x是以Windows2008 NPS建置
憑證是利用GPO派送到用戶端(自簽憑證)
WiFi Controller也需要有信任憑證
Windows 2008 NPS只信任SAN型態憑證 (wildcard會有問題)
(Win2012 NPS設定也相同-已測試)
服務已運作多時

kyc1109 iT邦新手 5 級 ‧ 2018-01-18 15:33:53 檢舉

Hi hojc
感謝您的回覆

我要發表回答

立即登入回答