Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Wie lassen sich mit den MS Zertifikatsdiensten Zertifikate für Access Points ausstellen?

Frage Sicherheit Verschlüsselung & Zertifikate

Mitglied: PSaR04

PSaR04 (Level 1) - Jetzt verbinden

15.02.2012 um 20:24 Uhr, 5060 Aufrufe, 5 Kommentare

Ich bin dabei ein WLAN-Netzwerk mit EAP-Verschlüsselung aufzubauen. Wie lässt sich mit den vorhandenen Micrsoft Active Directory Zertifikatsdiensten ein Zertifikat für die Access-Points ausstellen?

Für die automatische Anmeldung an WLAN-Access Points möchte ich Zertifikate nutzen. Die Clients sollen per Radius authentifiziert werden, doch wie lässen sich für die Access Points Zertifikate erstellen? Ich habe hier bei mir einen Lancom 320-agn AP, doch dieser unterstützt anscheinend keine Zertifikatanforderungen (*.req), mit deren Hilfe ich dann öffentlichen + privaten Schlüssel erstellen kann. Geht das irgendwie über die Webregistrierung, aber im Normalfall bekommt man dort doch auch nur den öffentlichen Schlüssel (*.cer), oder nicht? Würde die Registrierung z. B. an einem normalen Windows Client überhaupt klappen, in dem Zertifikat wird doch festgeschrieben, für wen dieses ausgestellt wurde und das lässt sich doch auch nicht ändern, oder?

Ich hoffe, mir kann da noch jemand etwas klarheit reinbringen. Mit XCA lässt sich sowas doch auch machen, aber nur für die APs will ich nicht noch eine zusätzliche Lösung.

PSaR04
Mitglied: spacyfreak
15.02.2012 um 21:19 Uhr
Du brauchst für den Access Point garkein Zertifikat, sondern für den Radius Server.
Wenn du mit einem Windows Client via WLAN / 802.1X auf die SSID zugreifen willst, geht das EAP Protokoll los, das den anfragenden Cient erstmal authentisiert.


Die Anfrage geht via EAP zum Access Point. Der packt das EAP in Radiuspakete und sendet sie zum Radiusserver.

Der RAdius-Server schickt sein Radius-Server Zertifikat (!) zum WLAN Client.
Dies dient dazu dass sich der Radius Server beim Client authentisiert ("..ich bin wirklich der echte, gute Radius-Server, glaub mir.. hie rist mein Ausweis..").
Der Ciient vertraut dem Radiusserver weil er dem RAdiusserverzertifikat vertraut. Das Root Zertifikat der CA, die das Radiusserverzertifikat signiert hat, hat der Client nämlich unter seinen "VErtrauenswürdigen Stammzertifizierungsstellen".

Mittels des RAdius SErver Zertifikates - das auch den öffentlichen Schlüssel des Radiusservers enthält - kann der WLAN Client nun seine Authentisierung verschlüsselt zum Radius-Server schicken.
Zwischen Client und Radiusserver entsteht ein TLS Tunnel (wie bei SSL wenn man auf eine https Webseite geht).


1. Variante: PEAP EAP-MSchapv2
Der Client sendet nun seine Windoes Anmeldecredentials (username kennwort) zum Radius, der den User authentisiert.
Stimmen die Credentials, sendet der Radius Server ein RAdius Accept Paket an den WLAN AP, und der WLAN Client ist drin und erhält eine IP vom WLAN DhCP Server.


2. Variante: PEAP EAP-TLS

Hier läufts genauso ab - nur dass auch der Client ein Zertifikat hat, das den User authentisiert.
In dem Fall werden vom Client nicht die Windows User Cedentials zur Authentisierung genommen, sondern das Cientzertifikat.
Bitte warten ..
Mitglied: PSaR04
15.02.2012 um 21:56 Uhr
Ah ok, vielen Dank für die ausführliche Antwort. Dann bin ich ein Bisschen durcheinander gekommen, weil in der Anleitung des Herstellers auch mit Zertifikaten gearbeitet wird, das ist aber wohl nur so, da der AP auch einen integrierten Radius-Server hat und dann natürlich ein Zertifikat braucht.
Aber um noch mal zu meiner Frage zu kommen, geht das mit dem Ausstellen der Zertifikate jetzt auch irgendwie ohne Zertifikatrequestdateien? Es gibt doch bestimmt viele Geräte, die sowas nicht können. Ich denke da an verschiedene Smartphones, Tablets und so weiter. Muss dort dann zwingend das Simple Certificate Enrollment Protocol (SCEP) zum Einsatz kommen oder gehts auch ohne??
Bitte warten ..
Mitglied: spacyfreak
18.02.2012 um 18:13 Uhr
ja ich betreibe selber eine CA auf Windows Server Basis, damit kann man Zertifikate auch ohne Zert-Request generieren.
Bitte warten ..
Mitglied: PSaR04
18.02.2012 um 19:45 Uhr
Kannst du mir auch sagen wie? Lässt sich dort dann auch der Antragsteller usw. angeben oder würde dann immer der Admin-Account, der das Zertifikat erstellt hat als Antragsteller angezeigt? Oder 2. Beispiel, wenn ich für einen Webserver ein Zertifikat erstellen lasse, dann muss ich doch irgendwo auch die URL eingeben können, oder nicht? Und was ich auch nicht weiß, wie lässt sich das Zertifikat dann exportieren, etwa als PKCS12 mit privatem Schlüssel?

Für eine Antwort wäre ich sehr dankbar. Ich muss nämlich Zertifikate für WLAN-Access Points erstellen, die keine Requests unterstützen und außerdem für verschiedene Smartphones, die kein Konto im ADS haben. Gibt es dafür eigentlich ein "Best Practice", um beispielsweise iPhones sicher ins WLAN zu bekommen und dann auch nur die, die im Voraus genehmigt wurden?
Bitte warten ..
Mitglied: PSaR04
15.10.2012 um 20:48 Uhr
Zum Abschluss: Zertifikate können über eine Weboberfläche der ADCS oder über das MMC-Snapin zertifikate erstellt werden. Damit Name usw. selbst angegeben werden können, muss dies in der Zertifikatsvorlage so eingestellt werden.
Bitte warten ..
Ähnliche Inhalte
Windows Server
gelöst Zertifikate nur für die lokale Domäne ausstellen (3)

Frage von backslash zum Thema Windows Server ...

Windows Server
gelöst Zertifikatsdienste. ja oder nein? (2)

Frage von Knorkator zum Thema Windows Server ...

LAN, WAN, Wireless
gelöst Konfiguration Linksys Access Point (4)

Frage von albufeira zum Thema LAN, WAN, Wireless ...

LAN, WAN, Wireless
Rogue Access Point (21)

Frage von Axel90 zum Thema LAN, WAN, Wireless ...

Neue Wissensbeiträge
Windows Update

Novemberpatches und Nadeldrucker bereiten Kopfschmerzen

(14)

Tipp von MettGurke zum Thema Windows Update ...

Windows 10

Abhilfe für Abstürze von CDPUsersvc auf Win10 1607 und 2016 1607

(7)

Tipp von DerWoWusste zum Thema Windows 10 ...

RedHat, CentOS, Fedora

Fedora 27 ist verfügbar

Information von Frank zum Thema RedHat, CentOS, Fedora ...

Heiß diskutierte Inhalte
Server
Bilder aus dem Web mit CSV runterladen (30)

Frage von Yannosch zum Thema Server ...

Windows Update
WSUS 4 (Server 2012 R2) - Windows 10 Updates nicht möglich (12)

Frage von c0d3.r3d zum Thema Windows Update ...

Server-Hardware
Bestehendes Raid erweitern um 4 gleiche Platten! (Verständnis Fragen) (12)

Frage von Hendrik2586 zum Thema Server-Hardware ...