Craig,<br><br>Have you tried authenticating with the same certificate from a different computer, or using a different supplicant? The XP supplicant is pretty awful. If you have an Intel card, you can download the Intel PROset software for free which has more features than XP's supplicant, supports more authentication options, and tends to work better. My personal favorite is Juniper's Open Access client. Juniper has a 30-day trial if you want to test to see if that solves your problems. <br>
<br>In addition, I find that if the sever is down while a client tries to connect, I have to refresh the settings on the AP, restarting the wireless, or the RADIUS server will show no activity at all. Restarting Windows or repairing the wireless connection doesn't help as it appears to be an issue with the AP. So, if you had the the RADIUS server down for even a short while, try restarting the AP.<br>
<br>You can also see if there's a valid certificate chain. Start > Run "mmc". File > "Add Snap-In". Add "Certificates". Choose "My User". You should see a "Certificates - Current User" tree. Expand it, then open Personal > Certificates. You should see your certificate in the list. Double click the certificate and check the "Certificate Path" tab. Certificate Status should be "OK", and you should see both your client cert and the CA.<br>
<br>If your certificate was signed by the server key and not the CA key, certificate verification will fail.<br><br>Also, run freeradius with "freeradius -X" to check to see whether Windows is even communicating with the RADIUS server. I was having problems with my Ubuntu laptop and found it was timing out before even attempting to authenticate with the RADIUS server due to a driver issue.<br>
<br>Jason<br><br><div class="gmail_quote">On Wed, Dec 10, 2008 at 9:17 PM, Craig White <span dir="ltr"><<a href="mailto:craigwhite@azapple.com">craigwhite@azapple.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">
<div class="Ih2E3d">On Wed, 2008-12-10 at 19:51 -0500, Jason Wittlin-Cohen wrote:<br>
> Craig,<br>
><br>
> Apparently Windows automatically sends non-CA certificates in DER or<br>
> PEM format to the "Other People' certificate store. More importantly,<br>
> the wireless supplicant in Windows XP \will not work with PEM or DER<br>
> formatted client certificates. It'll complain that you have no<br>
> certificate. You must convert to pkcs12 as the documentation states.<br>
><br>
> openssl pkcs12 -export -in certname.pem \<br>
> -inkey keyname.key -out name.p12 -clcerts<br>
----<br>
Jason<br>
<br>
</div>Thanks for the help. Last week when I was generating certificates my own<br>
way, I was doing that and yes, as Ivan points out, the 'scripted' way<br>
that make client.pem does make the p12 cert for the client.<br>
<br>
My issue now - and obviously sh*t happens as I change things around is<br>
that with the certificates newly generated and radiusd restarted in<br>
'debug' mode, the newly minted ca.der and client.p12 certificates<br>
installed in their proper homes in 'certificates'<br>
<br>
following the instructions here...<br>
<a href="http://wiki.freeradius.org/WPA_HOWTO#Step_4:_Configure_the_Client" target="_blank">http://wiki.freeradius.org/WPA_HOWTO#Step_4:_Configure_the_Client</a><br>
<br>
I 'repair' or 'refresh' Network Connection (obviously the repair is for<br>
the Wireless) and it hems/haws and finally says Authentication failed<br>
but the wireless AP never makes an effort to connect to the radius<br>
server. Just rebooted the laptop and checked for stale info in regedit<br>
HKCU\Software\Microsoft\EAPOL (none)<br>
<br>
This AP has been talking to the radius server for weeks now (and all day<br>
today) and authenticating Macintosh and iPhone clients but Windows is<br>
making me absolutely nuts. The radius server is also authenticating for<br>
my RRAS server on a Windows server on the LAN...my only issue has been<br>
Windows laptops  ;-(<br>
<br>
At least earlier with my otherwise generated certificates, I could get<br>
through the AP and to the radius server but now...it's like no one is<br>
home. The Wireless AP does show my connection but that's it.<br>
<br>
I'm very frustrated<br>
<br>
Craig<br>
<br>
-<br>
List info/subscribe/unsubscribe? See <a href="http://www.freeradius.org/list/users.html" target="_blank">http://www.freeradius.org/list/users.html</a><br>
</blockquote></div><br><br clear="all"><br>-- <br>Jason Wittlin-Cohen<br>Yale Law School, Class of 2010<br><a href="mailto:jason.wittlin-cohen@yale.edu">jason.wittlin-cohen@yale.edu</a><br>(908) 420-0861<br>