Home > Certification Authority, IT Pro, Networking, Security, Sicurezza, Wireless authentication > A major issue in authentication with digital certificates and a sensational solution

A major issue in authentication with digital certificates and a sensational solution

Da un po’ di giorni stavo combattendo con un problema di autenticazione sulla rete wifi.

All’improvviso tutti i notebook della rete non riuscivano più a connettersi alla rete wireless il cui accesso è consentito mediante certificati digitali ed è garantito da un access point che è il client radius di un Network Policy Server.

Il problema si era manifestato immediatamente dopo l’applicazione degli aggiornamenti sul Network Policy Server.

Avevo iniziato la diagnostica sempre con il consueto utilissimo tool IAS Log Viewer, disponibile in trial qui

http://www.deepsoftware.com/iasviewer/?adv&gclid=CNX1sLjtobQCFUjwzAodPkUAEA,

che serve ad avere qualche indicazione più precisa sugli errori scritti nei logs di IAS o NPS.

In particolare l’errore che rilevavo era il seguente

unexpected or badly formatted

e il messaggio The message received was unexpected or badly formatted mi faceva supporre ad un malfunzionamento dell’access point nell’inviare i dati all’NPS ma un controllo sulla configurazione dell’access point mi faceva capire che non era così.

Non sapendo che pesci pigliare, sono andato a spulciarmi il registro eventi del NPS trovando questo significativo messaggio

36885_warning

e, confortato anche da questo thread

http://social.technet.microsoft.com/Forums/en-US/winserverNAP/thread/4383d3b6-8b86-4405-9a9d-947d42dbcbfa/

e, in particolare, da questo articolo della Knowledge Base

http://support.microsoft.com/kb/933430

sono andato ad eliminare buona parte dei certificati delle Trusted Root Certification Authorities presenti sul server NPS utilizzando lo snap-in Certificates per il computer locale della mmc, ho riavviato il server e con grande gioia ho visto i miei clients tornare a connettersi sulla rete wireless autenticandosi correttamente con il Network Policy Server.

La causa era proprio quella: quando il client invia il proprio certificato digitale all’NPS e chiede il certificato del server NPS stesso per il mutuo riconoscimento, il server invia anche l’elenco completo delle Trusted Root Certification Authorities che possiede e tra queste ci dev’essere il certificato root della CA che ha emesso sia il certificato del server sia quello del client. Se, a causa degli aggiornamenti di Windows, questo elenco aumenta di dimensioni, il sistema tronca l’elenco e può capitare che nella parte trasmessa non ci sia proprio il root certificate della CA del nostro dominio. Questo fatto provoca il malfunzionamento descritto e risolto semplicemente eliminando in maniera brutale buona parte dei certificati delle Trusted Root Certification Authorities presenti sul server NPS.

Buona security a tutti ;)

About these ads

Rispondi

Inserisci i tuoi dati qui sotto o clicca su un'icona per effettuare l'accesso:

Logo WordPress.com

Stai commentando usando il tuo account WordPress.com. Chiudi sessione / Modifica )

Foto Twitter

Stai commentando usando il tuo account Twitter. Chiudi sessione / Modifica )

Foto di Facebook

Stai commentando usando il tuo account Facebook. Chiudi sessione / Modifica )

Google+ photo

Stai commentando usando il tuo account Google+. Chiudi sessione / Modifica )

Connessione a %s...

Iscriviti

Ricevi al tuo indirizzo email tutti i nuovi post del sito.

%d blogger cliccano Mi Piace per questo: