8

Ошибка ниже только начала происходить при работе с персональным ноутбуком под управлением Windows 7 Ultimate. Я не могу использовать установленные сертификаты с истекшим сроком действия для подключения к частной беспроводной сети. В последнее время ИТ-отделом не было внесено никаких изменений, которые могли бы объяснить проблему. Он работал нормально несколько недель назад и происходит на двух моих ноутбуках.

Подробности и некоторые снимки экрана доступны здесь:

Попытка подключения не может быть завершена

Ошибка, которую мы не понимаем, заключается в следующем:

Учетные данные, предоставленные сервером, не могут быть проверены. Мы рекомендуем вам разорвать соединение и обратиться к администратору с информацией, предоставленной в деталях. Вы все еще можете подключиться, но это подвергает вас риску безопасности со стороны возможного мошеннического сервера.

Сервер XYZ представил действительный сертификат, выданный Центром сертификации на имя компании, но Центр сертификации на имя компании не настроен в качестве действительного доверительного якоря для этого профиля.

Мы не знаем, как решить проблему, не игнорируя ошибку (и то, что изменилось, что могло бы объяснить эту новую ошибку).

Новая информация состоит в том, что у нас есть собственный корневой центр сертификации, и что сертификаты не были обновлены в последнее время и срок их действия не истек.

3 ответа3

8

Я столкнулся с той же проблемой. Нашел ответ.

  1. Перейдите в Панель управления> Сеть и Интернет> Управление беспроводными сетями.

  2. Откройте беспроводную сеть. Или нажмите кнопку "Добавить", чтобы создать новую сеть, а затем откройте ее.

  3. Откроется окно Свойства беспроводной сети. Перейдите на вкладку "Безопасность".

  4. В разделе "Выберите метод сетевой аутентификации" выберите «Microsoft: смарт-карта или другой сертификат». Я предполагаю, что это уже выбрано.

  5. Нажмите кнопку "Настройки".

  6. Откроется окно «Смарт-карта или другие свойства сертификата».

  7. Вот ответ. В списке "Доверенные корневые центры сертификации" необходимо вручную выбрать корневой центр сертификации вашей компании. По умолчанию все они пустые. Вот почему предупреждающее сообщение появляется впервые, если вы не выбрали Root CA вашей компании. Если вы подключаетесь, несмотря на предупреждение, то теперь выбран Root CA вашей компании, и вы больше не получите предупреждение о последующих подключениях. Поэтому, чтобы избежать предупреждения, просто установите этот флажок при настройке сети перед первым подключением.

  8. Если вы не видите здесь корневого центра сертификации вашей компании, это, вероятно, связано с тем, что по умолчанию двойной щелчок по сертификату для его установки, вероятно, помещает его на вкладку "Промежуточные центры сертификации". Вместо этого вам нужно выбрать вкладку "Доверенные корневые центры сертификации". Вы можете увидеть, где находятся сертификаты: Internet Explorer> Свойства обозревателя> Содержимое> Сертификаты

2

Проверка подлинности SSL-сертификата осуществляется по цепочке доверия. Независимо от того, что сертификат, который ваша компания использует для защиты Wi-Fi, затем проверяется (по крайней мере) одним промежуточным сертификатом, который подтверждает, что он является законным. Этот промежуточный сертификат, в свою очередь, проходит проверку подлинности на основе корневого сертификата проверенной и проверенной компании.

Корневые сертификаты проверяются как аутентичные и заслуживают доверия, так как Microsoft создает доверие для Windows для определенных сертификатов, но эти корни обычно устарели и не имеют основных игроков в игре SSL-сертификатов. У Verisign и Thawt обычно нет проблем, но Digicert (Entrust.net) - это огромная компания, специализирующаяся на SSL-сертификатах, которой Windows 802.1x не пользуется доверием (которая, как я полагаю, использует ваш Wi-Fi для аутентификации на основе предоставленных снимков экрана). ). Это означает, что сертификат, вероятно, действителен, но ваш компьютер не знает, как ему доверять. Вы, безусловно, можете импортировать этот корневой сертификат в качестве доверенного сертификата, чтобы вам больше не предлагали это. Я хотел бы связаться с вашим системным администратором, чтобы узнать, как это сделать.

Это может быть вызвано либо истечением срока действия промежуточного или корневого сертификата, если ваша компания использует свой собственный центр сертификации, либо тем, что они выпустили новый корневой сертификат и не развернули его для вас.

1

Я попал в ту же точку. Если я принимаю предупреждение сертификата, появляется запрос на ввод идентификатора пользователя / пароля. Если я ввожу свой ИД пользователя (общее имя сертификата клиента - мне не нужно его вводить) и оставляю пароль пустым, я успешно подключаюсь. Довольно странно, а не так, как было раньше.

Редактировать. Все отсортировано. Я вручную ввел профиль беспроводной сети и использовал имя в нижнем регистре, тогда как корпоративное беспроводное соединение начинается с заглавной буквы. Мое успешное соединение, упомянутое ранее, не использовало мой вручную созданный профиль вообще. Как только я определил правильный профиль с именем, все заработало как раньше.

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .