我们公司有以下安装程序
我们想要的基本上是通过RADIUS对基于LDAP的WiFi进行身份validation和授权
我们在GlobalSign发行的Synology上安装了一个证书,用于根域example.com和nas.example.com(我们之前使用了我们的通配证书,Synology显示为自签名,可能没有使用扩展名,所以我买了另一个)
我configuration了AP(WPA2)连接到RADIUS(基于IP)和RADIUS以访问LDAP(同一台机器)。
基本上所有的工作,除了我们的Win7(和一些Vista)客户端有问题做与RADIUS的TLS握手
不幸的是输出不是很好,因为它只显示
Auth 2014-04-15 10:01:49 Login incorrect (TLS Alert read:fatal:access denied): [[email protected]/<via Auth-Type = EAP>] (from client CiscoHardware port 0 cli 00-26-82-ED-61-92)
Error 2014-04-15 10:01:49 TLS Alert read:fatal:access denied
我的猜测:请求者(Win7机器)不接受证书,导致authentication无法正常工作。 如果我取消选中“检查服务器证书”选项一切正常。
这个问题肯定是authentication中使用的证书,因为对Microsoft的证书有很强的要求:
http://support.microsoft.com/kb/814394/en-us
我已经检查了1.3.6.1.5.5.7.3.1的对象标识符。 并出现在证书中
还有两点我可能不完全明白:
在半径上有一个中间证书,根证书(GloalSign)被操作系统信任。
关于域名:由于客户端连接到SSID并且AP通过IP指向RADIUS服务器,客户端如何检查?
我怎样才能进一步debugging呢? 我正在使用Win7机器,但是如果需要,可以使用linux
从您的查询中不清楚,但是您的问题可能是因为没有正确标记您的两个证书:
根据您指出的URL:*客户端证书需要具有1.3.6.1.5.5.7.3.2扩展名*服务器证书需要具有1.3.6.1.5.5.7.3.1扩展名
我也相信你所指的中间CA应该有1.3.6.1.5.5.7.3.1的扩展名。
总之,我认为你的问题在于页面的“服务器证书要求”部分。
这显示了生成证书时可以使用的opensslconfiguration: http ://lists.freeradius.org/pipermail/freeradius-users/2011-April/052962.html当然,您必须将xpclient_ext / xpserver_ext添加到生成证书。
可以肯定的是,证书是可以testing的问题:安装Web服务器并configurationhttps。 使用您的证书并将其绑定到https端口。 将一行添加到一个Win7Client的hosts文件中,该文件与证书的名称和Web服务器的IP相匹配使用IE并打开新的网页。 IE显示你是否信任证书,你可以打开证书的属性来查看细节。 不要使用Firefox,因为它不使用系统证书存储