Що таке дійсний якор довіри в Windows 7 щодо Wi-Fi?

8

Помилка нижче, щойно почалася на роботі з персональним ноутбуком під управлінням Windows 7 Ultimate. Я не можу використовувати встановлені, не закінчені терміни дії сертифікатів для підключення до приватної бездротової мережі. Нещодавні зміни, внесені ІТ, не пояснювали б це питання. Це працювало чудово кілька тижнів тому і відбувається на двох ноутбуках, які я маю.

Деталі та деякі знімки екрана доступні тут :

Не вдалося завершити спробу підключення

Помилка, яку ми не розуміємо, така:

Неможливо підтвердити дані, надані сервером. Ми рекомендуємо розірвати з'єднання та звернутися до адміністратора з інформацією, наданою в деталях. Ви все одно можете підключитися, але це може піддавати вас ризику безпеки можливим шахрайським сервером.

Сервер XYZ представив дійсний сертифікат, виданий Органом сертифікації імені компанії, але Орган сертифікації імені компанії не налаштований як дійсний якор довіри для цього профілю.

Ми не знаємо, як вирішити проблему, не ігноруючи помилку (а також те, що було змінено, що могло б пояснити цю нову помилку).

Нова інформація полягає в тому, що у нас є власний Root CA і що сертифікати нещодавно не оновлювались, ані термін дії яких не минув.

windows-7  networking  wireless-networking  certificate 
WiredPrairie
джерело
1
0x6adb015
Joel

Відповіді:

8

Я зіткнувся з тим же питанням. Знайшов відповідь.

  1. Перейдіть до Панелі управління> Мережа та Інтернет> Керування бездротовими мережами.

  2. Відкрийте бездротову мережу. Або натисніть кнопку "Додати", щоб створити нову мережу, а потім відкрийте її.

  3. З'явиться вікно Властивості бездротової мережі. Перейдіть на вкладку Безпека.

  4. У розділі "Вибір способу автентифікації мережі" виберіть "Microsoft: Smart Card або інший сертифікат". Я припускаю, що це вже вибрано.

  5. Натисніть кнопку "Налаштування".

  6. З'явиться вікно "Смарт-карта чи інші властивості сертифіката".

  7. Ось відповідь. У списку "Довірені кореневі сертифікаційні органи" ви повинні вручну вибрати Root CA своєї компанії. За замовчуванням це всі порожні. Ось чому попереджувальне повідомлення з’являється вперше, якщо ви не вибрали Root CA компанії. Якщо ви підключитесь незважаючи на попередження, тепер вибирається Root CA компанії, і ви більше не отримуєте попередження про наступні з'єднання. Отже, щоб уникнути попередження, просто встановіть це поле, коли ви налаштовуєте мережу, перш ніж підключитися.

  8. Якщо ви не бачите тут Root CA вашої компанії, це, ймовірно, пов’язано з тим, що за замовчуванням двічі клацніть ваш сертифікат, щоб встановити його, ймовірно, розміщує його на вкладці "Проміжні органи сертифікації". Вам потрібно вибрати вкладку "Довірені кореневі органи сертифікації". Ви можете бачити, куди підходять сертифікати: Internet Explorer> Параметри Інтернету> Вміст> Сертифікати

Windows7User
джерело
3
Це не проблема у мене, оскільки корпоративний сертифікат вже був належним чином вказаний у списку довірених кореневих сертифікатів.
WiredPrairie
2

Спосіб автентифікації SSL-сертифікату як дійсного полягає у дотриманні ланцюга довіри. Незалежно від сертифіката, який ваша компанія використовує для захисту Wi-Fi, тоді підтверджується (хоча б) один проміжний сертифікат, який підтверджує, що це законно. Цей проміжний сертифікат, у свою чергу, засвідчується на кореневий сертифікат перевіреної та надійної компанії.

Те, як кореневі сертифікати підтверджені як автентичні та їм можна довіряти, це те, що Microsoft будує довіру до Windows для певних сертифікатів, але ці корені зазвичай застаріли і не мають деяких основних гравців у грі SSL-сертифіката. У Verisign та Thawt зазвичай немає проблем, але Digicert (Entrust.net) - це велика компанія SSL cert, якій Windows не користується довірою 802.1x (що я припускаю, що ваш wifi використовує для аутентифікації на основі наданих знімків екрана ). Це означає, що сертифікат, ймовірно, дійсний, але ваш комп'ютер не знає, що йому довіряти. Ви, безумовно, можете імпортувати цю кореневу cert як довірену cert, щоб ви більше не вимагали цього. Я б зв’язався з вашим системним адміністратором про те, як це зробити.

Це може бути викликано або закінченням терміну проміжної або кореневої cert, якщо ваша компанія використовує свій власний CA, або тим, хто видає новий кореневий сертифікат і не передає його вам.

MDMarra
джерело
(Щойно з'ясувалося) Компанія використовує власний офіційний центр, і термін дії сертифікату минув або нещодавно оновлений.
WiredPrairie
Для розширення цього питання - в межах домену активного каталогу, контролери домену, як правило, вважаються "довіреними" машинами, приєднаними до домену. Машинам, що знаходяться за межами домену, як і ваш особистий ноутбук, можливо, доведеться явно довіряти сертифікату. Це не схоже на те, що відбувається тут, але це досить близько, щоб його варто згадати.
Joel Coehoorn
@Joel - Це не має нічого спільного. Під час налаштування 802.1x через NPS вам слід надати сертифікат SSL. Це не має нічого спільного з тим, щоб бути членом домену. Крім того, ваша характеристика довіри трохи не вдається.
MDMarra
1

Я дістався точно такого ж моменту. Якщо я приймаю попередження про сертифікат, з'являється запит користувача / пароля. Якщо я введіть свій userid (загальне ім'я клієнта cert - мені не слід було його вводити), і пароль залишаю порожнім, я успішно підключаюся. Досить дивно і не так, як це було раніше.

Редагувати. Всі відсортовані. Я вручну вводив профіль бездротової мережі і використовував нижнє регістрове ім'я, тоді як корпоративний бездротовий канал починається з великої літери. Раніше згадане моє успішне з'єднання взагалі не використовувало створений вручну профіль. Після того, як я визначив профіль, названий профілем, він працював так, як раніше.

Андрій
джерело
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.