Вопрос или проблема
Я сталкиваюсь с проблемой и нуждаюсь в руководстве.
У нас есть FortiAuthenticator в качестве сервера RADIUS с публичным сертификатом.
Также у нас есть два внутренних центра сертификации (RSA/ECC) на базе Microsoft, хотя есть и некоторые расширения. Тем не менее, я сейчас сосредоточусь на ECC (оставим внутренний RSA в стороне).
Процесс 802.1x функционирует и работает на коммутаторах Cisco (например, C9300).
Проблема в том, что при подключении к сети клиент не доверяет сертификату сервера.
Сертификат – fa.domain.eu
Если я отключаю проверку идентификации сервера по сертификату, все работает нормально. Когда я включаю “не запрашивать пользователя на авторизацию новых серверов”, приглашение не появляется, но клиент не может аутентифицироваться.
Я пробовал добавить как корневой CA (Sectigo/Usertrust), так и Geant (хотя это и издатель) в корневое хранилище сертификатов компьютера. Geant также появляется среди издателей.
Но это все равно не работает. Есть ли какие-нибудь советы? Или что еще следует добавить для проверки?
Изображения здесь.
Спасибо заранее.
Сертификат FA.domain.eu
Windows не смог подтвердить идентичность сервера
Radius EAP-Конфигурация
Конфигурация сертификата в GPO
Цепочка Usertrust кажется в порядке
Корневой сертификат Usertrust в доверенных ЦА
Ответ или решение
Ваша проблема с аутентификацией 802.1X EAP-TLS на клиентских устройствах под управлением Windows 10/11 через FortiAuthenticator и коммутаторы Cisco имеет несколько ключевых аспектов, которые стоит рассмотреть. Давайте разберем их по шагам.
1. Проблема с доверенностью сертификата сервера
На первый взгляд, ваша основная проблема заключается в том, что клиенты не доверяют сертификату Radius-сервера (fa.domain.eu). Это может происходить по нескольким причинам:
-
Корневой сертификат недоступен: Убедитесь, что все промежуточные и корневые сертификаты, необходимые для полной цепи доверия, установлены в хранилище Trusted Root Certification Authorities на целевом устройстве. По вашему описанию, вы добавили Root CA (Sectigo/Usertrust) и Geant, но важно убедиться, что никаких пропусков в цепочке нет.
-
Конфигурация GPO: Проверьте настройки групповой политики (GPO) для сертификатов. Возможно, необходимо настроить GPO на автоматическую установку корневых и промежуточных сертификатов.
2. Проверка сертификатов
Вы можете использовать инструменты, такие как certutil или PowerShell, чтобы проверить установленные сертификаты на целевых устройствах. Вот команда для проверки цепочки сертификатов:
Get-ChildItem Cert:\LocalMachine\Root | Find-String "Sectigo"
Get-ChildItem Cert:\LocalMachine\CA | Find-String "Geant"Эти команды помогут удостовериться, что сертификаты корректно установлены.
3. Настройки клиента
При включении проверки идентификации сервера возникает ошибка. Это может указывать на то, что имя сертификата не совпадает с используемым именем хоста. Проверьте, что сертификат содержит имя хоста, соответствующее FA.domain.eu.
- Параметры безопасности: Убедитесь, что клиентские устройства настроены на использование проверки сертификатов и не имеют дополнительных правил, исключающих проверку.
4. Логирование и отладка
Для более глубокой диагностики следует включить детализированное логирование и воспользоваться инструментами, такими как Wireshark, для анализа обмена сообщениями в процессе аутентификации. Проверьте, какие именно сообщения приходят от сервера и как реагирует клиент. Исключение ошибок на этом этапе может наиболее явно указать на проблему.
5. Документация и решения
Обратитесь к документации Fortinet и Cisco, чтобы углубиться в их конкретные рекомендации по настройке 802.1X и EAP-TLS. Возможно, имеются обновления прошивки или исправления безопасности, которые могут повлиять на функциональность решения.
Заключение
Для успешной аутентификации 802.1X через EAP-TLS необходимо обеспечить правильную настройку цепочки доверия между клиентами и RADIUS-сервером. Проведя вышеуказанные шаги, вы сможете выявить, на каком именно этапе возникает проблема. Если ни одно из предложенных решений не работает, стоит рассмотреть возможность обращения в техническую поддержку Fortinet или Cisco для более глубокого анализа проблемы.