Apa itu Anchor Valid Trust di Windows 7 terkait dengan Wifi?


8

Kesalahan di bawah baru saja mulai terjadi di tempat kerja dengan laptop pribadi yang menjalankan Windows 7 Ultimate. Saya tidak dapat menggunakan sertifikat yang dipasang dan tidak kedaluwarsa untuk terhubung ke jaringan nirkabel pribadi. Tidak ada perubahan terbaru yang dilakukan oleh TI yang akan menjelaskan masalah ini. Ini berfungsi dengan baik beberapa minggu yang lalu dan terjadi pada dua laptop yang saya miliki.

Detail dan beberapa tangkapan layar tersedia di sini :

Upaya koneksi tidak dapat diselesaikan

Kesalahan yang tidak kami mengerti adalah ini:

Kredensial yang diberikan oleh server tidak dapat divalidasi. Kami menyarankan Anda untuk memutuskan koneksi dan menghubungi administrator Anda dengan informasi yang diberikan dalam rincian. Anda mungkin masih terhubung tetapi hal itu membuat Anda terkena risiko keamanan oleh server jahat yang mungkin.

Server XYZ menyajikan sertifikat yang valid yang dikeluarkan oleh Otoritas Sertifikat Nama Perusahaan tetapi Otoritas Sertifikat Nama Perusahaan tidak dikonfigurasi sebagai jangkar kepercayaan yang valid untuk profil ini.

Kami tidak tahu untuk menyelesaikan masalah tanpa mengabaikan kesalahan (atau apa yang berubah yang bisa menjelaskan kesalahan baru ini).

Informasi baru adalah bahwa kami memiliki Root CA kami sendiri, dan bahwa sertifikat tidak diperbarui baru-baru ini, juga tidak ada yang kedaluwarsa.



Jawaban:


8

Saya mengalami masalah yang sama. Menemukan jawabannya.

  1. Buka Panel Kontrol> Jaringan dan Internet> Kelola Jaringan Nirkabel.

  2. Buka jaringan nirkabel. Atau, klik tombol "Tambah" untuk membuat jaringan baru, lalu buka.

  3. Jendela Wireless Network Properties (Properti Jaringan Nirkabel) muncul. Klik tab Keamanan.

  4. Di bawah "Pilih metode otentikasi jaringan", pilih "Microsoft: Smart Card atau sertifikat lainnya". Saya menganggap ini sudah dipilih.

  5. Klik tombol "Pengaturan".

  6. Jendela "Kartu Cerdas atau Properti Sertifikat lainnya" muncul.

  7. Inilah jawabannya. Di bawah daftar "Otoritas Sertifikasi Akar Tepercaya", Anda harus memilih CA Root dari perusahaan Anda secara manual. Secara default, ini semua kosong. Itulah sebabnya pesan peringatan muncul pertama kali jika Anda tidak memilih Root CA perusahaan Anda. Jika Anda terhubung meskipun ada peringatan, maka Root CA perusahaan Anda sekarang dipilih, dan Anda tidak lagi mendapatkan peringatan pada koneksi berikutnya. Jadi, untuk menghindari peringatan, cukup pilih kotak ini ketika Anda mengatur jaringan, sebelum Anda terhubung untuk pertama kalinya.

  8. Jika Anda tidak melihat Root CA perusahaan Anda di sini, kemungkinan karena fakta bahwa secara default, mengklik dua kali sertifikat Anda untuk menginstalnya mungkin menempatkannya di bawah tab "Otoritas Sertifikasi Menengah". Anda harus memilih tab "Otoritas Sertifikasi Akar Tepercaya" sebagai gantinya. Anda dapat melihat di mana sertifikat berada di bawah: Internet Explorer> Opsi Internet> Konten> Sertifikat


3
Ini bukan masalah yang saya alami karena sertifikat perusahaan sudah terdaftar dengan benar di daftar Otoritas Sertifikat Akar Tepercaya.
WiredPrairie

2

Cara sertifikat SSL diautentikasi sebagai valid adalah dengan mengikuti rantai kepercayaan. Apa pun sertifikat yang digunakan perusahaan Anda untuk mengamankan wifi, kemudian divalidasi terhadap (setidaknya) satu sertifikat perantara yang memverifikasi bahwa itu sah. Sertifikat perantara tersebut, pada gilirannya, disahkan terhadap sertifikat root dari perusahaan yang diverifikasi dan dipercaya.

Cara sertifikat root divalidasi sebagai asli dan dapat dipercaya adalah bahwa Microsoft membangun kepercayaan ke Windows untuk sertifikat tertentu, tetapi root ini biasanya sudah usang dan tidak memiliki beberapa pemain utama dalam permainan sertifikat SSL. Verisign dan Thawt biasanya tidak memiliki masalah, tetapi Digicert (Entrust.net) adalah perusahaan sertifikasi SSL besar yang tidak dipercaya oleh Windows untuk 802.1x (yang saya asumsikan wifi Anda gunakan untuk mengautentikasi berdasarkan tangkapan layar yang disediakan ). Ini berarti bahwa sertifikat tersebut mungkin valid, tetapi komputer Anda tidak tahu untuk mempercayainya. Anda tentu dapat mengimpor sertifikat root tersebut sebagai sertifikat tepercaya sehingga Anda tidak diminta melakukannya lagi. Saya akan menghubungi administrator sistem Anda tentang cara melakukan itu.

Ini bisa disebabkan oleh berakhirnya sertifikat perantara atau root jika perusahaan Anda menggunakan CA mereka sendiri, atau oleh mereka mengeluarkan sertifikat root baru dan tidak menyebarkannya kepada Anda.


(Baru tahu) Perusahaan menggunakan CA sendiri dan tidak ada sertifikat yang kedaluwarsa atau baru saja diperbarui.
WiredPrairie

Untuk memperluas ini - dalam domain direktori aktif, pengontrol domain umumnya dianggap "dipercaya" oleh mesin yang bergabung ke domain. Mesin di luar domain, seperti laptop pribadi Anda, mungkin harus mempercayai sertifikat secara eksplisit. Itu tidak terdengar seperti apa yang terjadi di sini, tetapi cukup dekat untuk disebut.
Joel Coehoorn

@ Joel - Itu tidak ada hubungannya dengan itu. Ketika Anda mengkonfigurasi 802.1x melalui NPS Anda harus memberikan sertifikat SSL. Itu tidak ada hubungannya dengan menjadi anggota domain. Selain itu, karakterisasi kepercayaan Anda sedikit kurang baik.
MDMarra

1

Saya sampai pada titik yang persis sama. Jika saya menerima peringatan sertifikat, prompt userid / password muncul. Jika saya memasukkan userid saya (nama umum dari sertifikat klien - saya tidak harus memasukkannya), dan membiarkan kata sandi kosong, saya berhasil terhubung. Cukup aneh dan tidak seperti sebelumnya.

Edit. Semua diurutkan. Saya secara manual memasukkan profil jaringan nirkabel, dan menggunakan nama huruf kecil sedangkan nirkabel perusahaan dimulai dengan huruf besar. Koneksi saya yang berhasil yang disebutkan sebelumnya tidak menggunakan profil yang saya buat secara manual sama sekali. Setelah saya mendefinisikan profil bernama koreksi, semuanya bekerja seperti dulu.

Dengan menggunakan situs kami, Anda mengakui telah membaca dan memahami Kebijakan Cookie dan Kebijakan Privasi kami.
Licensed under cc by-sa 3.0 with attribution required.