WindowsRadius: 客户端不能身份验证，因为可扩展的身份验证协议EAP不能被服务器处理。

WindowsRadius: 客户端不能身份验证，因为可扩展的身份验证协议EAP不能被服务器处理。

无server certificate的情况下，client即使不验证server也会造成因无server certificate无法组织server hello消息，报错:EAP协议不能被处理。

NAS（交换机）设备的配置：

[sw1]dot1x authentication-method eap

radius server:

可以使用此过程安装 Active Directory® 证书服务 (AD CS)，以便您可以将服务器证书注册到运行网络策略服务器 (NPS) 的服务器。

如果部署基于证书的身份验证，NPS 服务器必须具有服务器证书。

在身份验证过程中，NPS 服务器将其服务器证书发送到客户端计算机作为身份证明。

部署CA和NPS服务器证书

搭建 AD CS 证书服务器

CA服务器部署(证书服务器安装)、基于Windows Server 2016

http://www.zh-cjh.com/xinxianquan/1941.html

以下为翻译的微软的docs，建议参考原文链接：

https://docs.microsoft.com/zh-cn/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/cc730811(v=ws.11)

NPS服务器证书注册的配置过程分为三个阶段：

安装AD CS服务器角色。仅当您尚未在网络上部署证书颁发机构（CA）时，才需要执行此步骤。

配置服务器证书模板和自动注册。

在运行NPS的服务器上刷新组策略。

安装Active Directory证书服务

https://forsenergy.com/zh-cn/radius/

https://docs.microsoft.com/zh-cn/windows-server/networking/core-network-guide/cncg/server-certs/install-the-certification-authority

    以Enterprise Admins组和根域Domain Admins组的成员身份登录。

    单击开始，单击管理工具，然后单击服务器管理器。服务器管理器控制台打开。在左窗格中，单击“ 角色”，然后在详细信息窗格中，单击“ 添加角色”。

    将打开“ 添加角色”向导。单击下一步。

    在“ 选择服务器角色”页上的“ 角色”中，选择“ Active Directory证书服务”，然后单击“ 下一步”两次。

    在“ 选择角色服务”页上的“ 角色服务”中，单击“ 证书颁发机构”，然后单击“ 下一步”。

    在“ Active Directory证书服务简介”页上，查看提供的信息，然后单击“ 下一步”。

    在“ 选择角色服务”页面上，确保选择了“ 证书颁发机构”，选择所需的任何其他角色服务，然后单击“ 下一步”。

    在“ 指定安装程序类型”页面上，确保已选择“ 企业”，然后单击“ 下一步”。

    在“ 指定CA类型”页面上，单击“ 根CA”，然后单击“ 下一步”。

    在“ 设置私钥”页面上，确保选择“ 创建新私钥”，然后单击“ 下一步”。

    在“ 为CA配置密码术”页上，保留默认设置或根据您的要求进行更改。请注意，默认的关键字符长度是2048，这是以前的默认关键字符长度1024的两倍。根据您的网络大小和流量，您可能需要调整关键字符长度的大小。单击下一步。

    在“ 配置CA名称”页面上，保留建议的CA通用名称或根据您的要求更改名称，然后单击“ 下一步”。

    在“ 设置有效期”页面上，在“ 选择为此CA生成的证书的有效期”中，键入数字并选择确定CA颁发的证书将过期的日期的时间值（年，月，周或天）。 。建议默认设置为五年。单击下一步。

    在“ 配置证书数据库”页上的“ 证书数据库位置”和“ 证书数据库日志位置”中，指定这些项目的文件夹位置。如果指定默认位置以外的其他位置，请确保使用访问控制列表（ACL）保护文件夹的安全，这些访问控制列表可防止未经授权的用户或计算机访问CA数据库和日志文件。单击“ 下一步”，然后单击“ 完成”或继续安装您选择的任何其他角色服务。

CA服务器部署部署参考：

CA服务器部署(证书服务器安装)、基于Windows Server 2016

http://www.zh-cjh.com/xinxianquan/1941.html

配置证书模板和自动注册

mmc:

在安装了Active Directory证书服务的计算机上，单击“ 开始”，单击“运行”，键入mmc，然后单击“ 确定”。

在“ 文件”菜单上，单击“ 添加/删除管理单元”。将打开“ 添加或删除管理单元”对话框。

在“可用的管理单元”中，双击“ 证书颁发机构”。选择要管理的CA，然后单击完成。该证书颁发机构对话框关闭，返回到添加或删除管理单元对话框。

证书模板：

https://docs.microsoft.com/zh-cn/previous-versions/windows/it-pro/windows-server-2008-r2-and-2008/cc770622(v=ws.10)

在“ 可用的管理单元”中，双击“ 证书模板”，然后单击“ 确定”。

在控制台树中，单击“ 证书模板”。所有证书模板都显示在详细信息窗格中。

在详细信息窗格中，单击“ RAS和IAS服务器”模板。

在“ 操作”菜单上，单击“ 复制模板”。在“ 复制模板”对话框中，选择适合您的部署的模板版本，然后单击“ 确定”。将打开新的模板属性对话框。

在“常规”选项卡上的“ 显示名称”中，为证书模板键入一个新名称或保留默认名称。

单击安全选项卡。在“ 组或用户名”中，单击“ RAS和IAS服务器”。

在“ RAS和IAS服务器的权限”中，在“ 允许”下，选中“ 注册”和“ 自动注册”权限复选框，然后单击“ 确定”。

证书颁发机构

双击证书颁发机构，双击CA名称，然后单击证书模板。在“ 操作”菜单上，指向“ 新建”，然后单击“要颁发的证书模板”。将打开 “ 启用证书模板”对话框。

在“ 启用证书模板”中，单击刚刚配置的证书模板的名称，然后单击“ 确定”。

例如，如果您没有更改默认证书模板名称，请单击“ RAS和IAS服务器的副本”，然后单击“ 确定”。

在安装了Active Directory域服务（AD DS）的计算机上，单击“ 开始”，单击“运行”，键入mmc，然后单击“ 确定”。

在“ 文件”菜单上，单击“ 添加/删除管理单元”。将打开“ 添加或删除管理单元”对话框。

在“可用的管理单元”中，双击“ 组策略管理编辑器”。将打开“ 选择组策略对象”向导。单击浏览，然后选择默认域策略。单击确定，单击完成，然后再次单击确定。

双击默认域策略。打开“ 计算机配置”，“ 策略”，“ Windows设置”，“ 安全设置”，然后选择“ 公钥策略”。

在详细信息窗格中，双击“ 证书服务客户端-自动注册”。将打开“ 证书服务客户端-自动注册属性”对话框。

在“ 证书服务客户端-自动注册属性”对话框的“ 配置模型”中，选择“ 启用”。

选中续订过期的证书，更新暂挂的证书并删除吊销的证书复选框。

选中更新使用证书模板的证书复选框，然后单击确定。

刷新组策略（可以选择直接重启服务器）

刷新组策略时，运行NPS的服务器会自动注册服务器证书。

要刷新组策略，请重新启动服务器，或者在命令提示符下运行gpupdate。

测试：认证失败

配置：

为 NPS 服务器申请证书

1、打开运行，输入「certsrv.msc」进入控制台。

2、打开证书颁发机构，找到「证书模板」，右击选择「管理」。

3、在证书模板列表中找到「计算机」，右击选择「属性」。

4、选择「安全」，将「Authenticated Users」的权限改为允许读写，保存退出。

5、打开运行，输入「mmc」进入控制台。

6、选择「文件」>「添加或删除管理单元」，在列表找到「证书添加」，选择「计算机账户」>「本地计算机(运行此控制台的计算机)」，完成添加。

7、左侧列表依次展开「证书」> 「个人」，右击选择「所有任务」>「申请新证书」。

8、证书类型选择「计算机」，然后点击「注册」。

测试：

收到的加密绑定TLV无效

而认证类型配置如下时

NAC网络准入控制、radius、802.1X（列表、list、全）radiuslist
http://www.zh-cjh.com/wenzhangguilei/1008.html
文章归类、所有文章列表、LISTLIST
http://www.zh-cjh.com/wangzhangonggao/2195.html