我们有一个无线authentication服务器(带有IAS的Windows 2003 SP2)。 它配有DigiCert证书。 证书链如下所示:
Entrust.net Secure Server Certification Authority DigiCert High Assurance EV Root CA DigiCert High Assurance CA-3 ourserver.ourdomain.com
当Windows 7客户端第一次连接到无线时,他们会收到关于证书的警告。 它看起来像这样:
服务器“ourserver.ourdomain.com”提供了由“Entrust.net安全服务器证书颁发机构 ”颁发的有效证书,但“Entrust.net安全服务器证书颁发机构”未configuration为此configuration文件的有效信任锚点。
这不是什么大问题,因为它应该是一次性的。 但是它所抱怨的根证书是不一致的 。 一半时间,他们得到这个:
服务器“ourserver.ourdomain.com”提供了由“DigiCert高保证EV根CA ”颁发的有效证书,但“DigiCert高保证EV根CA”未configuration为该configuration文件的有效信任锚点。
这是一个问题的原因是,这意味着客户端在稍后重新连接到无线networking时被再次提示 ,其中连接似乎任意select链中的“其他”证书作为丢失的锚,而比第一个。 select似乎是随机的。
要清楚的是,这已被转载的地方:
任何关于这种不一致的原因,我怎么能阻止呢?
我遇到了这个问题,并通过下载DigiCert SSL证书检查器并在我的IAS服务器上运行来解决这个问题。 该工具表示,中间证书之一,是不正确的,并提出安装一个新的。 查看证书商店,该工具安装了一个新的DigiCert高保证CA-3,即使有明显有效的证书存在。 我检查了新replace的证书,两个版本号和失效date都是一样的,只是一个不同的序列号。 不知道以前有什么问题,但是这一切都与新的一起工作。
这只是一个猜测,但我认为这两者
被安装为“受信任的根证书颁发机构”。
当“ourserver.ourdomain.com”证书针对受信任的锚点configuration文件进行检查时,出于某种原因(可能是由于实现的具体问题),它将任意select为根。
我认为从受信任的根证书颁发机构移除“DigiCert High Assurance EV Root CA”可能会解决问题。 它是由另一个签名,所以它仍然会validation确定。
尝试
首先,进入控制面板>networking和Internet>pipe理无线networking。
打开无线networking。 或者,点击“添加”button创build一个新的networking,然后打开它。
出现无线networking属性窗口。 单击安全选项卡。
在“selectnetworkingvalidation方法”下,select“Microsoft:智能卡或其他证书”。 我认为这已经被选中。
点击“设置”button。
出现“智能卡或其他证书属性”窗口。
这是答案。 在“受信任的根证书颁发机构”列表下,您必须手动select公司的根CA。 默认情况下,这些都是空白的。 这就是为什么如果您不select公司的根CA,第一次出现警告消息。 如果您连接了警告,那么现在您的公司的根CA已被选中,并且在随后的连接中不再发出警告。 所以,为了避免这种警告,只需在第一次连接之前在设置networking时select此框。
如果您在这里没有看到您公司的根CA,那很可能是因为默认情况下,双击您的证书进行安装可能会将其置于“中级证书颁发机构”(Intermediate Certification Authorities)选项卡下。 您需要select“受信任的根证书颁发机构”选项卡。 您可以看到证书的位置:Internet Explorer> Internet选项>内容>证书