Я пытаюсь исправить конфигурацию сервера политики сети Microsoft Server 2016 в качестве сервера радиуса с помощью PEAP-MSChapv2.
Как хорошо известный некоторые современные устройства не могут «не проверять» сертификат сервера, потому что эта опция слишком слабая и была отключена (например, некоторые устройства андроид 11)
Для того, что я знаю, должно быть решение для добавления внутреннего сертификата CA к этим (не доменным) устройствам, чтобы они могли аутентифицировать сертификат сервера nps (и избегать управления клиентскими сертификатами).
Я нашел сертификат сервера nps, выданный внутренним центром сертификации, и сертификат этого внутреннего центра сертификации является самоподписанным (выданным им самим).
Я пытался экспортировать сертификат ca (без закрытого ключа) и импортировать его в устройства, но пока без успеха я получил ошибку 22: тип Eap не может быть обработан сервером.
или же
ошибка 265: цепочка сертификатов была выдана не доверенным органом
Не ясно, получил ли я 265 только тогда, когда я изменил домен поля на клиенте только на домен полного доменного имени в имени cn сертификата сервера nps.
Как я могу правильно реализовать это (PEAP-MSchapv2 с аутентификацией сервера на клиенте, не являющемся доменом)?
Примечание:
Теперь это работает нормально для «старых» беспроводных клиентов: они правильно аутентифицируются как пользователи AD и получают доступ к сети, поэтому я хочу исправить настройки только для этих более новых устройств, не меняя их радикально.
