Încerc să repar configurația mea Microsoft Server 2016 Network Policy Server ca server radius, cu PEAP-MSChapv2.
La fel de bine cunoscute unele dispozitive moderne nu sunt capabile să „nu valideze” certificatul de server, deoarece această opțiune este prea slabă și a fost dezactivată (de exemplu, unele dispozitive Android 11)
Din câte știu, ar trebui să existe soluția de a adăuga un certificat CA intern, la aceste dispozitive (fără domeniu), astfel încât să poată autentifica certificatul serverului nps (și evitând gestionarea certificatelor client).
Am găsit certificatul serverului nps emis de un CA intern și certificatul acestui CA intern este autosemnat (emis de la sine).
Am încercat să export certificatul ca (fără cheie privată) și să îl import în dispozitive, dar deocamdată, fără succes, am primit eroarea 22: tipul Eap nu poate fi procesat de server
sau
eroare 265: lanțul de certificate a fost emis de o autoritate care nu are încredere
Nu este clar dacă am obținut 265 doar când am schimbat domeniul de câmp, pe client, la doar domeniul FQDN-ului în numele cn al certificatului serverului nps.
Cum pot implementa corect acest lucru (PEAP-MSchapv2 cu autentificare pe server pe client non-domain)?
Notă:
Acum funcționează bine, pentru clienții wireless „vechi”: aceștia se autentifică corect ca utilizatori AD și obțin acces la rețea, așa că doresc să corectez setările doar pentru aceste dispozitive mai noi, fără a le schimba radical.
