Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Wie lassen sich mit den MS Zertifikatsdiensten Zertifikate für Access Points ausstellen?

Frage Sicherheit Verschlüsselung & Zertifikate

Mitglied: PSaR04

PSaR04 (Level 1) - Jetzt verbinden

15.02.2012 um 20:24 Uhr, 5078 Aufrufe, 5 Kommentare

Ich bin dabei ein WLAN-Netzwerk mit EAP-Verschlüsselung aufzubauen. Wie lässt sich mit den vorhandenen Micrsoft Active Directory Zertifikatsdiensten ein Zertifikat für die Access-Points ausstellen?

Für die automatische Anmeldung an WLAN-Access Points möchte ich Zertifikate nutzen. Die Clients sollen per Radius authentifiziert werden, doch wie lässen sich für die Access Points Zertifikate erstellen? Ich habe hier bei mir einen Lancom 320-agn AP, doch dieser unterstützt anscheinend keine Zertifikatanforderungen (*.req), mit deren Hilfe ich dann öffentlichen + privaten Schlüssel erstellen kann. Geht das irgendwie über die Webregistrierung, aber im Normalfall bekommt man dort doch auch nur den öffentlichen Schlüssel (*.cer), oder nicht? Würde die Registrierung z. B. an einem normalen Windows Client überhaupt klappen, in dem Zertifikat wird doch festgeschrieben, für wen dieses ausgestellt wurde und das lässt sich doch auch nicht ändern, oder?

Ich hoffe, mir kann da noch jemand etwas klarheit reinbringen. Mit XCA lässt sich sowas doch auch machen, aber nur für die APs will ich nicht noch eine zusätzliche Lösung.

PSaR04
Mitglied: spacyfreak
15.02.2012 um 21:19 Uhr
Du brauchst für den Access Point garkein Zertifikat, sondern für den Radius Server.
Wenn du mit einem Windows Client via WLAN / 802.1X auf die SSID zugreifen willst, geht das EAP Protokoll los, das den anfragenden Cient erstmal authentisiert.


Die Anfrage geht via EAP zum Access Point. Der packt das EAP in Radiuspakete und sendet sie zum Radiusserver.

Der RAdius-Server schickt sein Radius-Server Zertifikat (!) zum WLAN Client.
Dies dient dazu dass sich der Radius Server beim Client authentisiert ("..ich bin wirklich der echte, gute Radius-Server, glaub mir.. hie rist mein Ausweis..").
Der Ciient vertraut dem Radiusserver weil er dem RAdiusserverzertifikat vertraut. Das Root Zertifikat der CA, die das Radiusserverzertifikat signiert hat, hat der Client nämlich unter seinen "VErtrauenswürdigen Stammzertifizierungsstellen".

Mittels des RAdius SErver Zertifikates - das auch den öffentlichen Schlüssel des Radiusservers enthält - kann der WLAN Client nun seine Authentisierung verschlüsselt zum Radius-Server schicken.
Zwischen Client und Radiusserver entsteht ein TLS Tunnel (wie bei SSL wenn man auf eine https Webseite geht).


1. Variante: PEAP EAP-MSchapv2
Der Client sendet nun seine Windoes Anmeldecredentials (username kennwort) zum Radius, der den User authentisiert.
Stimmen die Credentials, sendet der Radius Server ein RAdius Accept Paket an den WLAN AP, und der WLAN Client ist drin und erhält eine IP vom WLAN DhCP Server.


2. Variante: PEAP EAP-TLS

Hier läufts genauso ab - nur dass auch der Client ein Zertifikat hat, das den User authentisiert.
In dem Fall werden vom Client nicht die Windows User Cedentials zur Authentisierung genommen, sondern das Cientzertifikat.
Bitte warten ..
Mitglied: PSaR04
15.02.2012 um 21:56 Uhr
Ah ok, vielen Dank für die ausführliche Antwort. Dann bin ich ein Bisschen durcheinander gekommen, weil in der Anleitung des Herstellers auch mit Zertifikaten gearbeitet wird, das ist aber wohl nur so, da der AP auch einen integrierten Radius-Server hat und dann natürlich ein Zertifikat braucht.
Aber um noch mal zu meiner Frage zu kommen, geht das mit dem Ausstellen der Zertifikate jetzt auch irgendwie ohne Zertifikatrequestdateien? Es gibt doch bestimmt viele Geräte, die sowas nicht können. Ich denke da an verschiedene Smartphones, Tablets und so weiter. Muss dort dann zwingend das Simple Certificate Enrollment Protocol (SCEP) zum Einsatz kommen oder gehts auch ohne??
Bitte warten ..
Mitglied: spacyfreak
18.02.2012 um 18:13 Uhr
ja ich betreibe selber eine CA auf Windows Server Basis, damit kann man Zertifikate auch ohne Zert-Request generieren.
Bitte warten ..
Mitglied: PSaR04
18.02.2012 um 19:45 Uhr
Kannst du mir auch sagen wie? Lässt sich dort dann auch der Antragsteller usw. angeben oder würde dann immer der Admin-Account, der das Zertifikat erstellt hat als Antragsteller angezeigt? Oder 2. Beispiel, wenn ich für einen Webserver ein Zertifikat erstellen lasse, dann muss ich doch irgendwo auch die URL eingeben können, oder nicht? Und was ich auch nicht weiß, wie lässt sich das Zertifikat dann exportieren, etwa als PKCS12 mit privatem Schlüssel?

Für eine Antwort wäre ich sehr dankbar. Ich muss nämlich Zertifikate für WLAN-Access Points erstellen, die keine Requests unterstützen und außerdem für verschiedene Smartphones, die kein Konto im ADS haben. Gibt es dafür eigentlich ein "Best Practice", um beispielsweise iPhones sicher ins WLAN zu bekommen und dann auch nur die, die im Voraus genehmigt wurden?
Bitte warten ..
Mitglied: PSaR04
15.10.2012 um 20:48 Uhr
Zum Abschluss: Zertifikate können über eine Weboberfläche der ADCS oder über das MMC-Snapin zertifikate erstellt werden. Damit Name usw. selbst angegeben werden können, muss dies in der Zertifikatsvorlage so eingestellt werden.
Bitte warten ..
Ähnliche Inhalte
Verschlüsselung & Zertifikate
Fingerprint von Aussteller-CA-Zertifikat
gelöst Frage von Philipp711Verschlüsselung & Zertifikate3 Kommentare

Hallo, ich beschäftige mich mal wieder intensiver mit dem Thema "SSL-Zertifikate". Dabei fällt mir folgendes auf: Unser Proxy hält ...

Windows Server
Zertifikate nur für die lokale Domäne ausstellen
gelöst Frage von backslashWindows Server3 Kommentare

Hallo, kann man die Domänen Web Server Zerifikatsasustellung auf eine bestimmte Domäne begrenzen ? Beispiel: Domäne: test.local CA wurde ...

Verschlüsselung & Zertifikate
SSL Client Zertifikate ausstellen
Frage von laza86Verschlüsselung & Zertifikate4 Kommentare

Hallo zusammen, ich möchte persönliche Client Zertifikate ausstellen. Habe ein Wild Card Server SSL Zertifikat und eine Windows CA. ...

LAN, WAN, Wireless
Was ist ein Access point?
Frage von miramaneeLAN, WAN, Wireless4 Kommentare

Hallo, ich werde meinen Hybrid Tarif bei der Telekom kündigen. Mein Arbeitszimmer ist sehr weit weg so gute 7 ...

Neue Wissensbeiträge
Sicherheit

Meltdown und Spectre: Realitätscheck

Information von Frank vor 1 MinuteSicherheit

Die unangenehme Realität Der Prozessorfehler mit seinen Varianten Meltdown und Spectre ist seit Juni 2017 bekannt. Trotzdem sind immer ...

Sicherheit

Meltdown und Spectre: Die machen uns alle was vor

Information von Frank vor 25 MinutenSicherheit4 Kommentare

Aktuell sieht es in den Medien so aus, als hätten die Hersteller wie Intel, Microsoft und Co den aktuellen ...

Microsoft

Update KB4073578 für AMD CPU (Spectre und Meltdown Lücke)

Information von sabines vor 7 StundenMicrosoft

Wegen Problemen (BOSD, nicht startende PCs) wurde das Update KB4056897 und KB4056894 für AMD CPUs zurückgezogen. Dieses Update KB4073578 ...

Mac OS X

MacOS wo ist die Tilde ?

Tipp von Alchimedes vor 20 StundenMac OS X4 Kommentare

Hallo, ich hab eine MacOS qwertz Keyboard auf US Layout umgestellt da die Sonderzeichen besser erreichbar sind. Leider fehlt ...

Heiß diskutierte Inhalte
Batch & Shell
Anmeldevorgang für Informatikraum (Schule) unter Windows
gelöst Frage von IngenieursBatch & Shell26 Kommentare

Hey zusammen, ich werde in naher Zukunft den Informatik Raum meiner jetzigen Schule von dem aktuellen Betreiber übernehmen (Vertrag ...

Windows 10
Netbook erkennt Soundkarte nicht - keinerlei Info zum Hersteller und Modell vom Netbook und Hardware bekannt
Frage von 92943Windows 1025 Kommentare

Guten Tag, meine Schwester reist in einigen Wochen für ein paar Monate ins Ausland und hat sich dafür ein ...

Batch & Shell
AD-Abfrage in Batchdatei und Ergebnis als Variable verarbeiten
gelöst Frage von Winfried-HHBatch & Shell19 Kommentare

Hallo in die Runde! Ich habe eine Ergänzungsfrage zu einem alten Thread von mir. Ausgangslage ist die Batchdatei, die ...

Netzwerkgrundlagen
Welches Modem für VDSL 50000 der T-Com
Frage von Windows10GegnerNetzwerkgrundlagen18 Kommentare

Hallo, ein Kollege von mir will sich VDSL50000 von der T-Com holen, um daran einen Server zu betreiben. Ich ...