none
Не виден сертификат в хранилище сертификатов RRS feed

  • Вопрос

  • Доброе время суток!

    Имеется АД, домен, центр сертификации. Развернута инфраструктура PKI, токены то есть. Есть вай–фай сеть, настроенная на 802.1х, с помощью токенов авторизация проходит без проблем.
    Возникла задача подключаться к тому же вайфаю по тем же сертификатам, но без токенов. Загружаю сертификат с закрытым ключом (.pfx, тот же что и на токене), импортирую его в хранилище персональных сертификатов (current user) себе на машину, сертификат центра сертификации естественно уже раскатан политикой и лежит в доверенных корневых. 
    Вайфай не подключается, в логах EAP explicit error, если включить трейс вайфая, то там в логах "No certificates found in certification store". Возникло подозрение yf кривой сертификат, проверил, шифрование им же письма в  аутлуке — без проблем, работает. Есть софт от джунипера — тоже работает, сертификат видит.  
    Настройки вай–фай сети на клиенте — использовать смарт-карту или сертификат, юзер или компьютер авторизация, проверять валидность сертификата, свой ЦС отчекбоксирован. Вайфай через токен работает, через локальный сертификат нет. Сам сертификат в системе установлен, другие приложения его используют без проблем. 

    Пробовал сертификат устанавливать и в Local Computer, и в Local Service (wlan) - та же ошибка об отсутствии сертификата в хранилище.

    28 декабря 2012 г. 6:46

Ответы

  • Доброе время суток!

    Проблема решена.

    В свойствах локально установленного сертификата в Certificate Purpose необходимо снять чекбокс с Smart Card Logon, после этого подключение к вайфай выполняется  без проблем. Насколько я понимаю, данная опция имеет приоритет над остальными, и система лезет в токен даже если сертификат установлен локально и токен отсутствует.

    • Предложено в качестве ответа ЖукMVP, Moderator 31 января 2013 г. 13:01
    • Помечено в качестве ответа Sergei Rogozin 31 января 2013 г. 13:03
    31 января 2013 г. 7:01

Все ответы

  • Сертификат Вайфая привязан к закрытому ключу расположенному на токене. Необходимо преподключить связку cer-pfxТокен, на cer-pfxРеестр.

    Да, я Жук, три пары лапок и фасеточные глаза :))

    30 декабря 2012 г. 8:03
    Модератор
  • Каким образом?

    30 декабря 2012 г. 8:09
  • Вспоминйте настройку Вашего токена, как Вы устанавливали pfx в Токен, так же посмотрите настройки Токена, обычно они предполагают хранение "Только токен", "Токен и реестр".

    Да, я Жук, три пары лапок и фасеточные глаза :))

    30 декабря 2012 г. 8:13
    Модератор
  • Идею понял, но если сертификат привязан к токену, почему тогда он работает в аутлуке и другом софте?

    30 декабря 2012 г. 10:17
  • Разные программы, в разных местах ищут ключевой файл в зависимости от того как в этой программе и к чему производилась привязка pfx-файла при установке Личного сертификата, к Токену или к реестру компьютера.

    Outlook, в первую очередь ищет ключевой файл в том месте, из которого производилась установка Личного сертификата в карточку Контакта, как правило Реестр+Личные сертификаты (в IE).


    Да, я Жук, три пары лапок и фасеточные глаза :))





    30 декабря 2012 г. 10:36
    Модератор
  • Я правильно понимаю, что речь идет об атрибутах сертификата при его генерации, которые ограничивают его использование разными программами?
    3 января 2013 г. 11:17
  • Нет, всё дело именно в месте расположения ключевого файла. У Вас при авторизации вай-фай сети, используется сертификат, ключевой файл которого, расположен на токене. Вам же необходимо, перепривязать предъявляемый сертификат к ключевому файлу. Установив ключевой файл в реестр и его сертификат в авторизацию вай-фай сети.

    Сейчас у Вас авторизация по сертификату происходит так: Пользователь при авторизации выбирает сертификат, программа авторизации проверяет имеет ли выбранный сертификат закрытый ключ, который в Вашем случае связан с закрытым ключом на токене. В другом месте программа авторизации вай-фай, искать и не будет.


    Да, я Жук, три пары лапок и фасеточные глаза :))



    3 января 2013 г. 18:53
    Модератор
  • Доброе время суток!

    Проблема решена.

    В свойствах локально установленного сертификата в Certificate Purpose необходимо снять чекбокс с Smart Card Logon, после этого подключение к вайфай выполняется  без проблем. Насколько я понимаю, данная опция имеет приоритет над остальными, и система лезет в токен даже если сертификат установлен локально и токен отсутствует.

    • Предложено в качестве ответа ЖукMVP, Moderator 31 января 2013 г. 13:01
    • Помечено в качестве ответа Sergei Rogozin 31 января 2013 г. 13:03
    31 января 2013 г. 7:01