The clients are employees of a fairly loose network of companies, each on their own AD, some doesn't even have ad.<div><br></div><div>A frustrating mixture of Windows and OSX.</div><div><br></div><div>We maintain a central AD with all the user accounts in it but there are no machines associated with that AD.</div>
<div><br></div><div>The self signed certificate works but people get prompted to accept it and we were asked if it was possible for that to not happen.</div><div>The most likely users of this service would be the VIP types, it is expected to "just work" so here I am.</div>
<div><br></div><div>Self signed or commercial makes no difference as the certificate is only used for server authentication.</div><div>The only difference is users having to manually trust a cert or not.</div><div>Unless I am wrong.<br>
<br><div class="gmail_quote">On 25 January 2013 14:23,  <span dir="ltr"><<a href="mailto:A.L.M.Buxey@lboro.ac.uk" target="_blank">A.L.M.Buxey@lboro.ac.uk</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
Hi,<br>
<div class="im"><br>
>    The reason I was attempting this is because I have to provide a service<br>
>    for roaming users and I was having issues with obtaining a certificate for<br>
>    the NPS server.<br>
<br>
</div>whats wrong with just using your current FR certificate on the NPS box?<br>
<div class="im"><br>
>    Does this mean that I could use a self signed certificate for the NPS that<br>
>    is recognized by the freeradius and have a commercial certificate on the<br>
>    freeradius that is then recognized by the clients?<br>
<br>
</div>what are your clients/userbase?  why do you have to use a commercial certificate<br>
for your server?   if the clients authenticating are your clients then they can have<br>
the required private CA installed - the authentication is a closed loop.  if you use<br>
a commercial cert eg thawte, verisign etc and only use that as trust then anyone can<br>
get a cert signed by that commercial CA as a first point to subverting your security<br>
<br>
alan<br>
<div class="HOEnZb"><div class="h5">-<br>
List info/subscribe/unsubscribe? See <a href="http://www.freeradius.org/list/users.html" target="_blank">http://www.freeradius.org/list/users.html</a><br>
</div></div></blockquote></div><br><br clear="all"><div><br></div>-- <br>Bertalan Voros<div>m: 07932858025</div>
</div>