用于Microsoft NPS / RADIUS / PEAP的第三方通配符证书

我想replace为我们的思科WLC执行RADIUS身份validation的NPS服务器上用于PEAP的SSL证书。 当前证书是执行客户端身份validation和服务器身份validation的SSL证书。 我们希望将其replace为我们在其他域中使用的通配符,以简化对SSL证书的pipe理。

我在这里阅读了Microsoft文档,其中概述了在PEAP中使用第三方证书的要求。 我们正在使用的通配符符合所有这些。 微软的支持已经无法解决这个问题了两个工作日,他们唯一的回应是:“这肯定是证书的问题”,但他们不能具体告诉我这是错的,因为它符合所有这些要求。

虽然我的情况正在升级,但是我做了一些研究,而其他人在使用RADIUS的IAS / NPS服务器上使用带PEAP的第三方证书时遇到了问题。 据我所知,没有任何微软官方的回应。 有谁知道肯定如果一个通配符证书可以用于PEAP?

我无法从微软得到一个直接的答案,但所有的迹象都指向了证书。 我最终购买了一个单独的域名的SSL 2048位证书,进行客户端和服务器身份validation,并将其安装在NPS服务器上。 事情现在恢复正常。

微软的PEAP / RADIUS / NPS的实现显然不能很好地处理通配符证书,即使它们没有在任何地方列出这个约束。

编辑:

在与Microsoft PKI小组的人员交谈之后,我被告知,由于我们的通配符重复项具有* .OurSchool.edu的主题名称而不是服务器的名称,因此Windows客户端在协商PEAP时会拒绝它。 服务器在证书的“使用者备用名称”字段中按FQDN明确列出,但显然这没有什么区别。

支持工程师确实证实,由于这个原因,许多通配符证书都有问题。 如果您使用第三方CA,可以使您的通配符与NPS服务器的“使用者名称”字段重复,并将通配符移动到SAN,则应该可以正常工作。 我们没有testing这个理论,所以拿一粒盐吧。