One Plus10手机、谷歌手机等一些其他Android的手机无法连接802.1X TLS认证的无线网络的情况,在连接时会弹出以下对话框,您必须选择验证CA证书和域名/使用系统证书,并未有不验证的选项,必须要填写域名的情况。
1.使用NPS认证的时候,需要问认证服务器对接人域名是多少。一版NPS在下发证书的时候自带域名。
2.使用Clearpass认证服务器,因部分终端添加并选择CA证书也无法满足不写域名的情况,根据测试可以在创建证书签名的时候需要将使用这替代名称(SAN)添加上,可以添加一个DNS的域名,以便使用。(该现象填写cn名和上传CA证书都无法满足连接需求)
建议在搭建认证环境的时候,需要将SAN附上域名(DNS:aruba.com),在终端上填写域名的时候只需要输入aruba.com就可以。
SAN
Subject Alternative Name
解释:
可用备选名称
实现证书的多域名安全访问
一个证书实现多个IP映射关系;在clearpass中 SAN可以包含如下信息:Mgmt port FQDN, Data port FQDN, mgmt port IP, Data port IP
Public CA颁发的证书加SAN需要有额外费用的。
clearpass 服务器证书配置时使用;
在通过域名登陆cppm时,如果是public CA颁发的证书是不会报错的,lab环境中如果是PC信任的证书机构,通过域名登陆也不会有证书报错,但是如果通过IP登陆是会有报错,就是因为在SAN一项中,未添加Data port IP;
CPA课程有介绍cluster环境的证书使用情况
学习了