spacyfreak
Goto Top

IAS Radius fuer WLAN 802.1X mit PEAP (EAP-MSCHAPv2) Zertifikats-Drama

Im internet gibts geschätzte 5000 Webseiten die berichten wie man sowas einrichtet.
Probleme hab ich (gelegentlich!) noch mit dem Serverzertifikat für den IAS.
Ich hab laufende Systeme installiert - gelegentlich gibts bei Neuinstallationen jedoch Zertifikatsfehler.
Ich denke fast alles gelesen zu haben zu dem Thema - meine Fragen lauten ganz konkret:

- frisst IAS nur 1024bit Zertifikate oder geht auch 2048bit?
- Muss die CA Zertifizierungsstelle wenn man es mit Windows Server 2003 macht eine "Enterprise Edition" sein um passende IAS Certifikate für EAP zu erstellen?

- Am liebsten würd ich ruckzuck ne eigene CA mit openssl machen und dort das keypair für den IAS generieren und den Cert-Request signieren und dann private key & Zertifikat in den IAS importieren.
Kann mir einer die 4-5 openssl Befehle posten damit ein PASSENDES Zertifikat für den IAS herausspringt?

Danke

Content-Key: 91892

Url: https://administrator.de/contentid/91892

Ausgedruckt am: 29.03.2024 um 00:03 Uhr

Mitglied: spacyfreak
spacyfreak 13.07.2008 um 14:53:29 Uhr
Goto Top
http://davidhajek.blogspot.com/2007/10/generating-windows-ias-peap-ldap ...

Na, geht scheinbar doch mit openssl ein Zertifikat fuer den IAS zu brutzeln.
Morgen mal testen ob das auch in der Praxis fun###iert...
Mitglied: spacyfreak
spacyfreak 15.07.2008 um 21:33:34 Uhr
Goto Top
Mensch - gibts hier keinen der jemals mit CA und IAS gearbeitet hat?
Menno.

Jedenfalls siehts so aus - die Microsaft CA muss als "Enteprise CA" auf einem DC installiert werden.
Als Standalone CA kann man es zwar auch betreiben - es spuckt jedoch keine Certificates aus die der IAS benutzen könnte! Man kriegt zwar super Zertifikate - nur funktionierts einfach nicht!

Man muss also entweder eine _Enterprise CA auf dem DC installieren, oder man installiert nen Test-DC z. B. in der VM wo man dann die CA installiert (vorher IIS installieren!) und dann kann man damit Certificates erzeugen, die man für den produktiven IAS, der in der Produktivdomäne ist, nutzen kann.
Das Root CA Zertifikat der "test-domäne" muss natürlich exportiert werden und auf dem IAS in den Certstore "Vertrauenswürdige Zertifizerungsstellen" oder so ähnlich kopiert werden sonst wirds Zertifikat nicht als vertrauenswürdig eingestuft.

Ausserdem muss das ROOT CA Zertifikat auf die Clients ausgerollt werden - und zwar beim Local Computer ... Certstore und auch beim Current User Certstore für vertrauenswürdige CAs da ja die Clients biem WLAN Zugriff das IAS Serverzertifikat auf Vertrauenswürdigkeit prüfen sollen - und dafür brauchen sie halt das Root CA Zertifikat der CA die das IAS zertifikat signiert hat.
Mitglied: 87794
87794 24.02.2010 um 15:46:34 Uhr
Goto Top
Hier auch nochmal die Lösung des Problems!

Ich habe eine Doku geschrieben, wie man mittels openssl Zertifikate generiert, die für eine Authentifizierung mittels PEAP über Microsoft IAS genutzt werden können.

Hier der Link zur Doku:
http://rapidshare.com/files/358808958/Erstellen_von_Zertifikaten_f__r_I ...

Bei der Erstellung der Doku waren die Informationen auf folgender Website äußerst hilfreich:
http://www.cs.bham.ac.uk/~smp/resources/p ...

Natürlich kann man die Authentifizierung mittels Zertifikaten auch mit dem Enterprise Server von Microsoft realisieren. Das ist bedeutend einfacher.

Wie es funktioniert ist hier gut erklärt:
http://www.microsoft.com/germany/technet/ ...

So, das sollte jedem helfen, der mal mit dem Thema Authentifizierung mittels Zertifikaten unter Windows in Berührung kommt.

Bei Fragen oder Verbesserungsvorschlägen einfach melden.
Mitglied: spacyfreak
spacyfreak 08.03.2010 um 13:51:22 Uhr
Goto Top
Geil, danke für die tolle Anleitung!!!!!

Gruss