Ich habe eine kabelgebundene 802.1x-Bereitstellung mit TLS-Maschinenauthentifizierung unter Windows 7 (integrierter 802.1x-Supplicant) mit den erforderlichen Zertifikaten (FreeRadius v2.2.3 unter Linux generiert). Es wird ein Cisco C2960 POE-Switch verwendet.
Unter Windows 7:
Die Stammzertifizierungsstelle befindet sich im lokalen Computer -> Vertrauenswürdiger Stammzertifizierungsspeicher
Das Client-Zertifikat ist im Speicher „Lokaler Computer“ -> „Persönlich“ vorhanden.
Beide Zertifikate sind gültig und 802.1x funktioniert einwandfrei.
Wenn sich jedoch im Speicher „Lokaler Computer“ -> „Persönlich“ ein anderes gültiges Zertifikat befindet, dessen Name mit einem höheren Buchstaben beginnt als das Radius-Client-Zertifikat (D höher als L im Alphabet), wird dieses Zertifikat (mit dem höheren Buchstaben) an den Radius-Server gesendet und führt keine ordnungsgemäße Authentifizierung durch.
Einige dieser anderen gültigen Zertifikate werden benötigt, daher bin ich mir nicht sicher, ob es dafür eine Lösung gibt oder ob dies beabsichtigt ist (oder ob Windows 7 einfach das Zertifikat ganz oben auf der Liste im Zertifikatspeicher verwendet). Ich habe den Microsoft-Hotfix KB2769121 ausprobiert (802.1X-Authentifizierung schlägt auf einem Windows 7- oder Windows 2008 R2-basierten Computer mit mehreren Zertifikaten fehl), aber es hat nicht funktioniert. Hat noch jemand dieses Problem? Für jede Hilfe wäre ich sehr dankbar.
Antwort1
Sie sollten die Optionen zur Zertifikatsauswahl überprüfen und nicht die einfache Zertifikatsauswahl verwenden. Sie sollten in der Lage sein, zu definieren, was als Zertifikat für 802.1x gilt.