أحاول إصلاح تكوين خادم نهج شبكة Microsoft Server 2016 كخادم نصف قطر ، باستخدام PEAP-MSChapv2.

من المعروف أن بعض الأجهزة الحديثة غير قادرة على "عدم التحقق من صحة" شهادة الخادم لأن هذا الخيار ضعيف جدًا وقد تم تعطيله (على سبيل المثال ، بعض أجهزة android 11 )

بالنسبة لما أعرفه ، يجب أن يكون هناك حل لإضافة شهادة CA داخلية ، إلى هذه الأجهزة (غير المجال) حتى يتمكنوا من مصادقة شهادة خادم nps (وتجنب إدارة شهادات العميل).

لقد وجدت شهادة خادم nps الصادرة عن ، مرجع مصدق داخلي وشهادة هذا المرجع المصدق الداخلي موقعة ذاتيًا (صادرة بنفسها). لقد حاولت تصدير شهادة ca (بدون مفتاح خاص) ، واستيرادها في الأجهزة ، ولكن في الوقت الحالي ، تلقيت خطأ 22 بنجاح: لا يمكن معالجة نوع Eap بواسطة الخادم أو الخطأ 265: تم إصدار سلسلة الشهادات من قبل سلطة غير موثوق بها

ليس من الواضح ما إذا كنت قد حصلت على 265 فقط عندما قمت بتغيير المجال الميداني ، على العميل ، إلى مجال FQDN فقط في اسم cn لشهادة الخادم nps.

كيف يمكنني تنفيذ هذا (PEAP-MSchapv2 بشكل صحيح مع مصادقة الخادم على عميل غير مجال)؟

ملاحظة: يعمل الآن بشكل جيد ، بالنسبة للعملاء اللاسلكيين "القدامى": فهم بشكل صحيح كمستخدمي AD ، ويحصلون على الوصول إلى الشبكة ، لذلك أرغب في تصحيح الإعدادات فقط لهذه الأجهزة الأحدث دون تغييرها جذريًا.

answer

حسنًا ، لقد قمت بحل المشكلة:

يبدو أن إصدار Android 11 الخاص بي به أخطاء ، لذا فإن تكوين WPA-E مع nps على w.server 2016 (PEAP-MS-Chapv2) الذي يصادق على الخادم يحتاج إلى اهتمام خاص:

عليك تكوين الاتصال من قبلتثبيت شهادة المرجع المصدق (CA) (في حالتنا هذه عبارة عن peap مع machapv2) ، وجزء المجال مهم (على سبيل المثال: إذا كانت شهادة الخادم هي radius.mycompany.com ، فيجب عليك ملء هذا الحقل باسم mycompany.com ، وإلا فلن يتم ذلك أبدًا تنجح) ، واترك خيار شهادة CA كـ "استخدام شهادات النظام". قم أيضًا بملء اسم المستخدم وكلمة المرور وكل معلمة أخرى باستثناء CA وفقًا لتعليمات مسؤول النظام. بعد الحفظ ، سيفشل ولكن هذا متوقع في هذه المرحلة. بعد ذلك ، يجب عليك إيقاف تشغيل wifi ، لأن vanilla android 11 به خطأ حيث سيؤدي إلى مسح المرجع المصدق خلافًا لذلك ، وبعد ذلك فقط قم باستيراد المرجع المصدق في إعدادات التشفير باعتباره wifi CA. بعد ذلك ، مع استمرار إيقاف تشغيل wifi ، انتقل إلى الاتصالات المحفوظة ، وانقر فوق الاتصال ، وقم بتحريره (رمز القلم الرصاص في أعلى اليمين) وقم بتغيير خيار شهادة CA لمطابقة شركتك '