WindowsRadius: 客户端不能身份验证,因为可扩展的身份验证协议EAP不能被服务器处理。

WindowsRadius: 客户端不能身份验证,因为可扩展的身份验证协议EAP不能被服务器处理。

server certificate的情况下client即使不验证server也会造成因无server certificate无法组织server hello消息报错:EAP协议不能被处理

NAS(交换机)设备的配置:

[sw1]dot1x authentication-method eap

 

radius server:

1.png

可以使用此过程安装 Active Directory® 证书服务 (AD CS),以便您可以将服务器证书注册到运行网络策略服务器 (NPS) 的服务器。

如果部署基于证书的身份验证,NPS 服务器必须具有服务器证书。

在身份验证过程中,NPS 服务器将其服务器证书发送到客户端计算机作为身份证明。

 

部署CANPS服务器证书

搭建 AD CS 证书服务器

CA服务器部署(证书服务器安装)、基于Windows Server 2016

http://www.zh-cjh.com/xinxianquan/1941.html

以下为翻译的微软的docs,建议参考原文链接:

https://docs.microsoft.com/zh-cn/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/cc730811(v=ws.11)

NPS服务器证书注册的配置过程分为三个阶段:

安装AD CS服务器角色。仅当您尚未在网络上部署证书颁发机构(CA)时,才需要执行此步骤。

配置服务器证书模板和自动注册。

在运行NPS的服务器上刷新组策略。

安装Active Directory证书服务

https://forsenergy.com/zh-cn/radius/

https://docs.microsoft.com/zh-cn/windows-server/networking/core-network-guide/cncg/server-certs/install-the-certification-authority

    Enterprise Admins组和根域Domain Admins组的成员身份登录。

 

    单击开始,单击管理工具,然后单击服务器管理器。服务器管理器控制台打开。在左窗格中,单击角色,然后在详细信息窗格中,单击添加角色

 

    将打开添加角色向导。单击下一步。

 

    选择服务器角色页上的角色中,选择“ Active Directory证书服务,然后单击下一步两次。

 

    选择角色服务页上的角色服务中,单击证书颁发机构,然后单击下一步

 

    “ Active Directory证书服务简介页上,查看提供的信息,然后单击下一步

 

    选择角色服务页面上,确保选择了证书颁发机构,选择所需的任何其他角色服务,然后单击下一步

 

    指定安装程序类型页面上,确保已选择企业,然后单击下一步

 

    指定CA类型页面上,单击CA”,然后单击下一步

 

    设置私钥页面上,确保选择创建新私钥,然后单击下一步

 

    CA配置密码术页上,保留默认设置或根据您的要求进行更改。请注意,默认的关键字符长度是2048,这是以前的默认关键字符长度1024的两倍。根据您的网络大小和流量,您可能需要调整关键字符长度的大小。单击下一步。

 

    配置CA名称页面上,保留建议的CA通用名称或根据您的要求更改名称,然后单击下一步

 

    设置有效期页面上,在选择为此CA生成的证书的有效期中,键入数字并选择确定CA颁发的证书将过期的日期的时间值(年,月,周或天)。 。建议默认设置为五年。单击下一步。

 

    配置证书数据库页上的证书数据库位置证书数据库日志位置中,指定这些项目的文件夹位置。如果指定默认位置以外的其他位置,请确保使用访问控制列表(ACL)保护文件夹的安全,这些访问控制列表可防止未经授权的用户或计算机访问CA数据库和日志文件。单击下一步,然后单击完成或继续安装您选择的任何其他角色服务。

CA服务器部署部署参考:

CA服务器部署(证书服务器安装)、基于Windows Server 2016

http://www.zh-cjh.com/xinxianquan/1941.html

 

配置证书模板和自动注册

mmc:

在安装了Active Directory证书服务的计算机上,单击开始,单击运行,键入mmc,然后单击确定

文件菜单上,单击添加/删除管理单元。将打开添加或删除管理单元对话框。

1.png

可用的管理单元中,双击证书颁发机构。选择要管理的CA,然后单击完成。该证书颁发机构对话框关闭,返回到添加或删除管理单元对话框。

1.png

证书模板:

https://docs.microsoft.com/zh-cn/previous-versions/windows/it-pro/windows-server-2008-r2-and-2008/cc770622(v=ws.10)

可用的管理单元中,双击证书模板,然后单击确定

在控制台树中,单击证书模板。所有证书模板都显示在详细信息窗格中。

在详细信息窗格中,单击“ RASIAS服务器模板。

操作菜单上,单击复制模板。在复制模板对话框中,选择适合您的部署的模板版本,然后单击确定。将打开新的模板属性对话框。

1.png

常规选项卡上的显示名称中,为证书模板键入一个新名称或保留默认名称。

1.png

单击安全选项卡。在组或用户名中,单击“ RASIAS服务器

“ RASIAS服务器的权限中,在允许下,选中注册自动注册权限复选框,然后单击确定

1.png

证书颁发机构

双击证书颁发机构,双击CA名称,然后单击证书模板。在操作菜单上,指向新建,然后单击要颁发的证书模板。将打开启用证书模板对话框。

1.png

2.png

启用证书模板中,单击刚刚配置的证书模板的名称,然后单击确定

例如,如果您没有更改默认证书模板名称,请单击“ RASIAS服务器的副本,然后单击确定

1.png

在安装了Active Directory域服务(AD DS)的计算机上,单击开始,单击运行,键入mmc,然后单击确定

文件菜单上,单击添加/删除管理单元。将打开添加或删除管理单元对话框。

1.png

可用的管理单元中,双击组策略管理编辑器。将打开选择组策略对象向导。单击浏览,然后选择默认域策略。单击确定,单击完成,然后再次单击确定。

1.png

2.png

3.png

4.png

双击默认域策略。打开计算机配置策略“ Windows设置安全设置,然后选择公钥策略

在详细信息窗格中,双击证书服务客户端-自动注册。将打开证书服务客户端-自动注册属性对话框。

1.png

证书服务客户端-自动注册属性对话框的配置模型中,选择启用

选中续订过期的证书,更新暂挂的证书并删除吊销的证书复选框。

选中更新使用证书模板的证书复选框,然后单击确定。

1.png

刷新组策略(可以选择直接重启服务器)

刷新组策略时,运行NPS的服务器会自动注册服务器证书。

要刷新组策略,请重新启动服务器,或者在命令提示符下运行gpupdate

 

测试:认证失败

1.png

2.png

配置:

1.png

2.png

为 NPS 服务器申请证书

1、打开运行,输入「certsrv.msc」进入控制台。

1.png

2、打开证书颁发机构,找到「证书模板」,右击选择「管理」。

1.png

3、在证书模板列表中找到「计算机」,右击选择「属性」。

1.png

4、选择「安全」,将「Authenticated Users」的权限改为允许读写,保存退出。

1.png

5、打开运行,输入「mmc」进入控制台。

6、选择「文件」>「添加或删除管理单元」,在列表找到「证书添加」,选择「计算机账户」>「本地计算机(运行此控制台的计算机)」,完成添加。

7、左侧列表依次展开「证书」> 「个人」,右击选择「所有任务」>「申请新证书」。

1.png

2.png

3.png

8、证书类型选择「计算机」,然后点击「注册」。

1.png

2.png

3.png

测试:

1.png

2.png

3.png

4.png

收到的加密绑定TLV无效

 

而认证类型配置如下时

1.png

2.png


NAC网络准入控制、radius、802.1X(列表、list、全)radiuslist
http://www.zh-cjh.com/wenzhangguilei/1008.html
文章归类、所有文章列表、LISTLIST
http://www.zh-cjh.com/wangzhangonggao/2195.html

1、本站资源长期持续更新,可加入VIP会员、资源全免费。
2、本资源基本为原创,部分来源其他付费资源平台或互联网收集,如有侵权请联系及时处理。
3、本站大部分文章的截图来源实验测试环境,请不要在生产环境中随意模仿,以免带来灾难性后果。
转载请保留出处:  www.zh-cjh.com珠海陈坚浩博客 » WindowsRadius: 客户端不能身份验证,因为可扩展的身份验证协议EAP不能被服务器处理。

作者: cjh


手机扫一扫,手机上查看此文章:

一切源于价值!

其他
加载中~

未雨绸缪、居安思危!

数据安全、有备无患!

注意操作、数据无价!

一切源于价值!