Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Wie lassen sich mit den MS Zertifikatsdiensten Zertifikate für Access Points ausstellen?

Frage Sicherheit Verschlüsselung & Zertifikate

Mitglied: PSaR04

PSaR04 (Level 1) - Jetzt verbinden

15.02.2012 um 20:24 Uhr, 4899 Aufrufe, 5 Kommentare

Ich bin dabei ein WLAN-Netzwerk mit EAP-Verschlüsselung aufzubauen. Wie lässt sich mit den vorhandenen Micrsoft Active Directory Zertifikatsdiensten ein Zertifikat für die Access-Points ausstellen?

Für die automatische Anmeldung an WLAN-Access Points möchte ich Zertifikate nutzen. Die Clients sollen per Radius authentifiziert werden, doch wie lässen sich für die Access Points Zertifikate erstellen? Ich habe hier bei mir einen Lancom 320-agn AP, doch dieser unterstützt anscheinend keine Zertifikatanforderungen (*.req), mit deren Hilfe ich dann öffentlichen + privaten Schlüssel erstellen kann. Geht das irgendwie über die Webregistrierung, aber im Normalfall bekommt man dort doch auch nur den öffentlichen Schlüssel (*.cer), oder nicht? Würde die Registrierung z. B. an einem normalen Windows Client überhaupt klappen, in dem Zertifikat wird doch festgeschrieben, für wen dieses ausgestellt wurde und das lässt sich doch auch nicht ändern, oder?

Ich hoffe, mir kann da noch jemand etwas klarheit reinbringen. Mit XCA lässt sich sowas doch auch machen, aber nur für die APs will ich nicht noch eine zusätzliche Lösung.

PSaR04
Mitglied: spacyfreak
15.02.2012 um 21:19 Uhr
Du brauchst für den Access Point garkein Zertifikat, sondern für den Radius Server.
Wenn du mit einem Windows Client via WLAN / 802.1X auf die SSID zugreifen willst, geht das EAP Protokoll los, das den anfragenden Cient erstmal authentisiert.


Die Anfrage geht via EAP zum Access Point. Der packt das EAP in Radiuspakete und sendet sie zum Radiusserver.

Der RAdius-Server schickt sein Radius-Server Zertifikat (!) zum WLAN Client.
Dies dient dazu dass sich der Radius Server beim Client authentisiert ("..ich bin wirklich der echte, gute Radius-Server, glaub mir.. hie rist mein Ausweis..").
Der Ciient vertraut dem Radiusserver weil er dem RAdiusserverzertifikat vertraut. Das Root Zertifikat der CA, die das Radiusserverzertifikat signiert hat, hat der Client nämlich unter seinen "VErtrauenswürdigen Stammzertifizierungsstellen".

Mittels des RAdius SErver Zertifikates - das auch den öffentlichen Schlüssel des Radiusservers enthält - kann der WLAN Client nun seine Authentisierung verschlüsselt zum Radius-Server schicken.
Zwischen Client und Radiusserver entsteht ein TLS Tunnel (wie bei SSL wenn man auf eine https Webseite geht).


1. Variante: PEAP EAP-MSchapv2
Der Client sendet nun seine Windoes Anmeldecredentials (username kennwort) zum Radius, der den User authentisiert.
Stimmen die Credentials, sendet der Radius Server ein RAdius Accept Paket an den WLAN AP, und der WLAN Client ist drin und erhält eine IP vom WLAN DhCP Server.


2. Variante: PEAP EAP-TLS

Hier läufts genauso ab - nur dass auch der Client ein Zertifikat hat, das den User authentisiert.
In dem Fall werden vom Client nicht die Windows User Cedentials zur Authentisierung genommen, sondern das Cientzertifikat.
Bitte warten ..
Mitglied: PSaR04
15.02.2012 um 21:56 Uhr
Ah ok, vielen Dank für die ausführliche Antwort. Dann bin ich ein Bisschen durcheinander gekommen, weil in der Anleitung des Herstellers auch mit Zertifikaten gearbeitet wird, das ist aber wohl nur so, da der AP auch einen integrierten Radius-Server hat und dann natürlich ein Zertifikat braucht.
Aber um noch mal zu meiner Frage zu kommen, geht das mit dem Ausstellen der Zertifikate jetzt auch irgendwie ohne Zertifikatrequestdateien? Es gibt doch bestimmt viele Geräte, die sowas nicht können. Ich denke da an verschiedene Smartphones, Tablets und so weiter. Muss dort dann zwingend das Simple Certificate Enrollment Protocol (SCEP) zum Einsatz kommen oder gehts auch ohne??
Bitte warten ..
Mitglied: spacyfreak
18.02.2012 um 18:13 Uhr
ja ich betreibe selber eine CA auf Windows Server Basis, damit kann man Zertifikate auch ohne Zert-Request generieren.
Bitte warten ..
Mitglied: PSaR04
18.02.2012 um 19:45 Uhr
Kannst du mir auch sagen wie? Lässt sich dort dann auch der Antragsteller usw. angeben oder würde dann immer der Admin-Account, der das Zertifikat erstellt hat als Antragsteller angezeigt? Oder 2. Beispiel, wenn ich für einen Webserver ein Zertifikat erstellen lasse, dann muss ich doch irgendwo auch die URL eingeben können, oder nicht? Und was ich auch nicht weiß, wie lässt sich das Zertifikat dann exportieren, etwa als PKCS12 mit privatem Schlüssel?

Für eine Antwort wäre ich sehr dankbar. Ich muss nämlich Zertifikate für WLAN-Access Points erstellen, die keine Requests unterstützen und außerdem für verschiedene Smartphones, die kein Konto im ADS haben. Gibt es dafür eigentlich ein "Best Practice", um beispielsweise iPhones sicher ins WLAN zu bekommen und dann auch nur die, die im Voraus genehmigt wurden?
Bitte warten ..
Mitglied: PSaR04
15.10.2012 um 20:48 Uhr
Zum Abschluss: Zertifikate können über eine Weboberfläche der ADCS oder über das MMC-Snapin zertifikate erstellt werden. Damit Name usw. selbst angegeben werden können, muss dies in der Zertifikatsvorlage so eingestellt werden.
Bitte warten ..
Neuester Wissensbeitrag
CPU, RAM, Mainboards

Angetestet: PC Engines APU 3a2 im Rack-Gehäuse

Erfahrungsbericht von ashnod zum Thema CPU, RAM, Mainboards ...

Ähnliche Inhalte
LAN, WAN, Wireless
Freifunk über vorhandene Access Points ausstrahlen (2)

Frage von Uwoerl zum Thema LAN, WAN, Wireless ...

LAN, WAN, Wireless
gelöst Access Points mit gleicher SSID Bereitstellen? (7)

Frage von KMUlife zum Thema LAN, WAN, Wireless ...

LAN, WAN, Wireless
Bessere Access Points als Cisco WAP (30)

Frage von stephan902 zum Thema LAN, WAN, Wireless ...

Verschlüsselung & Zertifikate
gelöst Wieso kann eine CA Zertifikate ausstellen und ein normaler Nutzer nicht? (7)

Frage von Mimetype zum Thema Verschlüsselung & Zertifikate ...

Heiß diskutierte Inhalte
Grafikkarten & Monitore
Win 10 Grafikkarte Crash von Software? (13)

Frage von Marabunta zum Thema Grafikkarten & Monitore ...

Windows Server
Mailserver auf Windows Server 2012 (8)

Frage von StefanT81 zum Thema Windows Server ...

Backup
Clients als Server missbrauchen? (8)

Frage von 1410640014 zum Thema Backup ...

DSL, VDSL
DSL-Signal bewerten (8)

Frage von SarekHL zum Thema DSL, VDSL ...