O que é uma âncora de confiança válida no Windows 7 relacionada ao Wifi?

O erro abaixo começou a acontecer no trabalho com um laptop pessoal executando o Windows 7 Ultimate. Não consigo usar certificados instalados e não expirados para conectar-me a uma rede sem fio privada. Nenhuma alteração recente foi feita pela TI que explicaria o problema. Funcionou bem há várias semanas e acontece em dois laptops que possuo.

Os detalhes e algumas capturas de tela estão disponíveis aqui :

O erro que não entendemos é o seguinte:

As credenciais fornecidas pelo servidor não puderam ser validadas. Recomendamos que você encerre a conexão e entre em contato com o administrador com as informações fornecidas nos detalhes. Você ainda pode se conectar, mas isso o expõe ao risco de segurança de um possível servidor não autorizado.

O servidor XYZ apresentou um certificado válido emitido pela Autoridade de Certificação de Nome da Empresa, mas a Autoridade de Certificação de Nome da Empresa não está configurada como uma âncora confiável válida para este perfil.

Não sabemos resolver o problema sem ignorar o erro (nem o que foi alterado que poderia explicar esse novo erro).

As novas informações são que temos nossa própria CA raiz e que os certificados não foram atualizados recentemente, nem expiraram.

Corri o mesmo problema. Encontrei a resposta.

1. Vá para Painel de controle> Rede e Internet> Gerenciar redes sem fio.

2. Abra a rede sem fio. Ou clique no botão "Adicionar" para criar uma nova rede e abra-a.

3. A janela Propriedades da rede sem fio é exibida. Clique na guia segurança.

4. Em "Escolha um método de autenticação de rede", selecione "Microsoft: Smart Card ou outro certificado". Presumo que isso já esteja selecionado.

5. Clique no botão "Configurações".

6. A janela "Cartão inteligente ou outras propriedades do certificado" é exibida.

7. Aqui está a resposta. Na lista "Autoridades de certificação raiz confiáveis", você deve selecionar manualmente a CA raiz da sua empresa. Por padrão, todos estão em branco. É por isso que a mensagem de aviso aparece pela primeira vez se você não selecionar a CA raiz da sua empresa. Se você se conectar apesar do aviso, a CA raiz da sua empresa agora está selecionada e você não receberá mais o aviso nas conexões subseqüentes. Portanto, para evitar o aviso, basta selecionar esta caixa ao configurar a rede, antes de conectar pela primeira vez.

8. Se você não encontrar a CA raiz da sua empresa aqui, provavelmente isso se deve ao fato de, por padrão, clicar duas vezes no seu certificado para instalá-lo, provavelmente o coloca na guia "Autoridades de certificação intermediárias". Você precisa selecionar a guia "Autoridades de certificação raiz confiáveis". Você pode ver onde os certificados estão em: Internet Explorer> Opções da Internet> Conteúdo> Certificados

A maneira como um certificado SSL é autenticado como válido é seguindo uma cadeia de confiança. Qualquer certificado que sua empresa esteja usando para proteger o wifi é validado contra (pelo menos) um certificado intermediário que verifica se é legítimo. Esse certificado intermediário é, por sua vez, autenticado em um certificado raiz de uma empresa verificada e confiável.

A maneira como os certificados raiz são validados como autênticos e confiáveis, é que a Microsoft constrói confiança no Windows para certos certificados, mas essas raízes geralmente estão desatualizadas e não têm alguns jogadores importantes no jogo do certificado SSL. A Verisign e a Thawt geralmente não têm problemas, mas a Digicert (Entrust.net) é uma grande empresa de certificação SSL que não é nativamente confiável pelo Windows para 802.1x (que eu suponho que seu wifi esteja usando para se autenticar com base nas capturas de tela fornecidas ) Isso significa que o certificado provavelmente é válido, mas seu computador não sabe confiar nele. Certamente, você pode importar esse certificado raiz como um certificado confiável, para que não seja mais solicitado. Eu entraria em contato com o administrador do sistema sobre como fazer isso.

Isso pode ser causado pela expiração de um certificado intermediário ou raiz, se a sua empresa usa sua própria CA ou pela emissão de um novo certificado raiz e não pela implantação dele.

Cheguei exatamente ao mesmo ponto. Se eu aceitar o aviso de certificado, um prompt de ID do usuário / senha será exibido. Se eu inserir meu ID do usuário (o nome comum do certificado do cliente - não preciso inseri-lo) e deixar a senha em branco, eu me conecto com sucesso. Muito estranho e não como era antes.

Editar. Tudo ordenado. Entrei manualmente em um perfil de rede sem fio e usei um nome em minúsculas, enquanto o sem fio corporativo começa com uma letra maiúscula. Minha conexão bem-sucedida mencionada anteriormente não estava usando meu perfil criado manualmente. Depois de definir um perfil nomeado correto, tudo funcionava como antes.