Что такое Valid Trust Anchor в Windows 7 относительно Wifi?

8

Ошибка ниже только начала происходить при работе с персональным ноутбуком под управлением Windows 7 Ultimate. Я не могу использовать установленные сертификаты с истекшим сроком действия для подключения к частной беспроводной сети. В последнее время ИТ-отдел не вносил никаких изменений, которые могли бы объяснить проблему. Он работал нормально несколько недель назад и происходит на двух моих ноутбуках.

Подробности и некоторые снимки экрана доступны здесь :

Попытка подключения не может быть завершена

Ошибка, которую мы не понимаем, заключается в следующем:

Учетные данные, предоставленные сервером, не могут быть проверены. Мы рекомендуем вам разорвать соединение и обратиться к администратору с информацией, предоставленной в деталях. Вы все еще можете подключиться, но это подвергает вас риску безопасности со стороны возможного мошеннического сервера.

Сервер XYZ представил действительный сертификат, выданный Центром сертификации на имя компании, но Центр сертификации на имя компании не настроен в качестве действительного доверительного якоря для этого профиля.

Мы не знаем, как решить проблему, не игнорируя ошибку (а также то, что изменилось, что могло бы объяснить эту новую ошибку).

Новая информация состоит в том, что у нас есть собственный корневой центр сертификации, и что сертификаты не были недавно обновлены или срок их действия не истек.

WiredPrairie
источник
Связанный: serverfault.com/questions/420415/…
Джоэл Коухорн

Ответы:

8

Я столкнулся с той же проблемой. Нашел ответ.

  1. Перейдите в Панель управления> Сеть и Интернет> Управление беспроводными сетями.

  2. Откройте беспроводную сеть. Или нажмите кнопку «Добавить», чтобы создать новую сеть, а затем откройте ее.

  3. Откроется окно Свойства беспроводной сети. Перейдите на вкладку «Безопасность».

  4. В разделе «Выберите метод сетевой аутентификации» выберите «Microsoft: смарт-карта или другой сертификат». Я предполагаю, что это уже выбрано.

  5. Нажмите кнопку «Настройки».

  6. Откроется окно «Смарт-карта или другие свойства сертификата».

  7. Вот ответ. В списке «Доверенные корневые центры сертификации» необходимо вручную выбрать корневой центр сертификации вашей компании. По умолчанию все они пустые. Вот почему предупреждающее сообщение появляется впервые, если вы не выбрали Root CA вашей компании. Если вы подключаетесь, несмотря на предупреждение, то теперь выбран Root CA вашей компании, и вы больше не получите предупреждение о последующих подключениях. Поэтому, чтобы избежать предупреждения, просто установите этот флажок при настройке сети перед первым подключением.

  8. Если вы не видите здесь корневого центра сертификации вашей компании, это, вероятно, связано с тем, что по умолчанию двойной щелчок по сертификату для его установки, вероятно, помещает его на вкладку «Промежуточные центры сертификации». Вместо этого вам нужно выбрать вкладку «Доверенные корневые центры сертификации». Вы можете увидеть, где находятся сертификаты: Internet Explorer> Свойства обозревателя> Содержимое> Сертификаты

Windows7User
источник
3
У меня не проблема, поскольку корпоративный сертификат уже был правильно указан в списке доверенных корневых центров сертификации.
WiredPrairie
2

Способ подтверждения подлинности SSL-сертификата заключается в использовании цепочки доверия. Независимо от сертификата, который ваша компания использует для защиты Wi-Fi, затем проверяется (по крайней мере) один промежуточный сертификат, который подтверждает, что это законно. Этот промежуточный сертификат, в свою очередь, проходит проверку подлинности на основе корневого сертификата проверенной и проверенной компании.

Корневые сертификаты проверяются как аутентичные и заслуживают доверия, потому что Microsoft создает доверие в Windows для определенных сертификатов, но эти корни обычно устарели и не имеют некоторых крупных игроков в игре сертификатов SSL. У Verisign и Thawt обычно нет проблем, но Digicert (Entrust.net) - это огромная компания, специализирующаяся на SSL-сертификатах, которой Windows 802.1x не доверяет изначально (я предполагаю, что ваш Wi-Fi использует для аутентификации на основе предоставленных снимков экрана). ). Это означает, что сертификат, вероятно, действителен, но ваш компьютер не знает, как ему доверять. Вы, безусловно, можете импортировать этот корневой сертификат в качестве доверенного сертификата, чтобы вам больше не предлагали это. Я хотел бы связаться с вашим системным администратором, чтобы узнать, как это сделать.

Это может быть вызвано либо истечением срока действия промежуточного или корневого сертификата, если ваша компания использует собственный ЦС, либо тем, что они выпустили новый корневой сертификат и не развернули его для вас.

MDMarra
источник
(Только что выяснил) Компания использует свой собственный центр сертификации, и срок действия сертификатов не истек или недавно был обновлен.
WiredPrairie
Чтобы расширить это - в домене активного каталога контроллер домена обычно считается «доверенным» для компьютеров, подключенных к домену. Машины за пределами домена, такие как ваш личный ноутбук, могут явно доверять сертификату. Это не похоже на то, что здесь происходит, но это достаточно близко, чтобы упомянуть.
Джоэл Коухорн
@ Джоэл - Это не имеет к этому никакого отношения. При настройке 802.1x через NPS вы должны предоставить сертификат SSL. Это не имеет никакого отношения к членству в домене. Кроме того, ваша характеристика доверия немного отличается.
MDMarra
1

Я попал в ту же точку. Если я принимаю предупреждение сертификата, появляется запрос на ввод идентификатора пользователя / пароля. Если я ввожу свой ИД пользователя (общее имя сертификата клиента - мне не нужно его вводить) и оставляю пароль пустым, я успешно подключаюсь. Довольно странно, а не так, как было раньше.

Редактировать. Все отсортировано. Я вручную ввел профиль беспроводной сети и использовал имя в нижнем регистре, тогда как корпоративное беспроводное соединение начинается с заглавной буквы. Мое успешное соединение, упомянутое ранее, не использовало мой вручную созданный профиль вообще. Как только я определил правильный профиль с именем, все заработало как раньше.

Эндрю
источник