¿Qué es un ancla de confianza válida en Windows 7 relacionada con Wifi?

8

El siguiente error acaba de comenzar a ocurrir en el trabajo con una computadora portátil personal con Windows 7 Ultimate No puedo usar certificados instalados y no caducados para conectarme a una red inalámbrica privada. TI no realizó cambios recientes que pudieran explicar el problema. Funcionó bien hace varias semanas y sucede en dos computadoras portátiles que tengo.

Los detalles y algunas capturas de pantalla están disponibles aquí :

No se pudo completar el intento de conexión.

El error que no entendemos es este:

Las credenciales proporcionadas por el servidor no se pudieron validar. Recomendamos que finalice la conexión y contacte a su administrador con la información provista en los detalles. Aún puede conectarse, pero hacerlo lo expone al riesgo de seguridad de un posible servidor no autorizado.

El servidor XYZ presentó un certificado válido emitido por la Autoridad de certificación de nombre de empresa, pero la Autoridad de certificación de nombre de empresa no está configurada como un ancla de confianza válida para este perfil.

No sabemos resolver el problema sin ignorar el error (ni lo que haya cambiado que pueda explicar este nuevo error).

La nueva información es que tenemos nuestra propia CA raíz y que los certificados no se actualizaron recientemente ni caducaron.

WiredPrairie
fuente

Respuestas:

8

Me encontré con el mismo problema. Encontré la respuesta.

  1. Vaya a Panel de control> Red e Internet> Administrar redes inalámbricas.

  2. Abre la red inalámbrica. O haga clic en el botón "Agregar" para crear una nueva red, luego ábrala.

  3. Aparece la ventana Propiedades de la red inalámbrica. Haz clic en la pestaña Seguridad.

  4. En "Elija un método de autenticación de red", seleccione "Microsoft: Tarjeta inteligente u otro certificado". Supongo que esto ya está seleccionado.

  5. Haz clic en el botón "Configuración".

  6. Aparece la ventana "Tarjeta inteligente u otras propiedades de certificado".

  7. Aquí está la respuesta. En la lista "Autoridades confiables de certificación raíz", debe seleccionar manualmente la CA raíz de su empresa. Por defecto, todos están en blanco. Es por eso que el mensaje de advertencia aparece la primera vez si no selecciona la CA raíz de su empresa. Si se conecta a pesar de la advertencia, la CA raíz de su empresa ahora está seleccionada y ya no recibirá la advertencia en las conexiones posteriores. Por lo tanto, para evitar la advertencia, simplemente seleccione esta casilla cuando configure la red, antes de conectarse por primera vez.

  8. Si no ve la CA raíz de su empresa aquí, probablemente se deba al hecho de que, de forma predeterminada, al hacer doble clic en su certificado para instalarlo, probablemente lo coloque en la pestaña "Autoridades de certificación intermedias". En su lugar, debe seleccionar la pestaña "Autoridades de certificación raíz de confianza". Puede ver dónde se encuentran los certificados: Internet Explorer> Opciones de Internet> Contenido> Certificados

Windows7User
fuente
3
No es el problema que tengo, ya que el certificado corporativo ya figuraba en la lista de las Autoridades de certificados raíz de confianza.
WiredPrairie
2

La forma en que un certificado SSL se autentica como válido es siguiendo una cadena de confianza. Cualquier certificado que su empresa esté utilizando para proteger el wifi se valida con (al menos) un certificado intermedio que verifique que es legítimo. Ese certificado intermedio, a su vez, se autentica con un certificado raíz de una compañía verificada y confiable.

La forma en que los certificados raíz se validan como auténticos y se puede confiar es que Microsoft genera confianza en Windows para ciertos certificados, pero estas raíces generalmente están desactualizadas y no tienen algunos jugadores importantes en el juego de certificados SSL. Verisign y Thawt generalmente no tienen problemas, pero Digicert (Entrust.net) es una gran compañía de certificados SSL en la que Windows no confía de forma nativa para 802.1x (que supongo que su wifi está utilizando para autenticar en función de las capturas de pantalla proporcionadas ) Esto significa que el certificado probablemente sea válido, pero su computadora no sabe confiar en él. Ciertamente, puede importar ese certificado raíz como un certificado de confianza para que ya no se le solicite. Me pondría en contacto con el administrador del sistema para saber cómo hacerlo.

Esto podría deberse a la expiración de un certificado raíz o intermedio si su empresa utiliza su propia CA o al emitir un nuevo certificado raíz y no implementarlo.

MDMarra
fuente
(Recién descubierto) La compañía utiliza su propia CA y los certificados no han expirado o se han actualizado recientemente.
WiredPrairie
Para ampliar esto, dentro de un dominio de directorio activo, el controlador de dominio generalmente se considera "confiable" por las máquinas unidas al dominio. Es posible que las máquinas fuera del dominio, como su computadora portátil personal, tengan que confiar explícitamente en el certificado. Eso no suena como lo que está pasando aquí, pero está lo suficientemente cerca como para que valga la pena mencionarlo.
Joel Coehoorn el
@ Joel: eso no tiene nada que ver con eso. Cuando configura 802.1x a través de NPS, debe proporcionar un certificado SSL. No tiene nada que ver con ser un miembro del dominio. Además, su caracterización de la confianza está un poco fuera de lugar.
MDMarra
1

Llegué exactamente al mismo punto. Si acepto la advertencia del certificado, aparece una solicitud de ID de usuario / contraseña. Si ingreso mi ID de usuario (el nombre común del certificado del cliente, no debería tener que ingresarlo) y dejo la contraseña en blanco, me conecto con éxito. Bastante raro y no como era antes.

Editar. Todo ordenado. Ingresé manualmente un perfil de red inalámbrica y usé un nombre en minúscula, mientras que la conexión inalámbrica corporativa comienza con una letra mayúscula. Mi conexión exitosa mencionada anteriormente no estaba usando mi perfil creado manualmente. Una vez que definí un perfil con nombre correcto, todo funcionó como solía hacerlo.

Andrés
fuente