5
Wie lassen sich mit den MS Zertifikatsdiensten Zertifikate für Access Points ausstellen?
Ich bin dabei ein WLAN-Netzwerk mit EAP-Verschlüsselung aufzubauen. Wie lässt sich mit den vorhandenen Micrsoft Active Directory Zertifikatsdiensten ein Zertifikat für die Access-Points ausstellen?
Für die automatische Anmeldung an WLAN-Access Points möchte ich Zertifikate nutzen. Die Clients sollen per Radius authentifiziert werden, doch wie lässen sich für die Access Points Zertifikate erstellen? Ich habe hier bei mir einen Lancom 320-agn AP, doch dieser unterstützt anscheinend keine Zertifikatanforderungen (*.req), mit deren Hilfe ich dann öffentlichen + privaten Schlüssel erstellen kann. Geht das irgendwie über die Webregistrierung, aber im Normalfall bekommt man dort doch auch nur den öffentlichen Schlüssel (*.cer), oder nicht? Würde die Registrierung z. B. an einem normalen Windows Client überhaupt klappen, in dem Zertifikat wird doch festgeschrieben, für wen dieses ausgestellt wurde und das lässt sich doch auch nicht ändern, oder?
Ich hoffe, mir kann da noch jemand etwas klarheit reinbringen. Mit XCA lässt sich sowas doch auch machen, aber nur für die APs will ich nicht noch eine zusätzliche Lösung.
PSaR04
Ich hoffe, mir kann da noch jemand etwas klarheit reinbringen. Mit XCA lässt sich sowas doch auch machen, aber nur für die APs will ich nicht noch eine zusätzliche Lösung.
PSaR04
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 180598
Url: https://administrator.de/contentid/180598
Printed on: April 25, 2024 at 10:04 o'clock
5 Comments
Latest comment
Du brauchst für den Access Point garkein Zertifikat, sondern für den Radius Server.
Wenn du mit einem Windows Client via WLAN / 802.1X auf die SSID zugreifen willst, geht das EAP Protokoll los, das den anfragenden Cient erstmal authentisiert.
Die Anfrage geht via EAP zum Access Point. Der packt das EAP in Radiuspakete und sendet sie zum Radiusserver.
Der RAdius-Server schickt sein Radius-Server Zertifikat (!) zum WLAN Client.
Dies dient dazu dass sich der Radius Server beim Client authentisiert ("..ich bin wirklich der echte, gute Radius-Server, glaub mir.. hie rist mein Ausweis..").
Der Ciient vertraut dem Radiusserver weil er dem RAdiusserverzertifikat vertraut. Das Root Zertifikat der CA, die das Radiusserverzertifikat signiert hat, hat der Client nämlich unter seinen "VErtrauenswürdigen Stammzertifizierungsstellen".
Mittels des RAdius SErver Zertifikates - das auch den öffentlichen Schlüssel des Radiusservers enthält - kann der WLAN Client nun seine Authentisierung verschlüsselt zum Radius-Server schicken.
Zwischen Client und Radiusserver entsteht ein TLS Tunnel (wie bei SSL wenn man auf eine https Webseite geht).
1. Variante: PEAP EAP-MSchapv2
Der Client sendet nun seine Windoes Anmeldecredentials (username kennwort) zum Radius, der den User authentisiert.
Stimmen die Credentials, sendet der Radius Server ein RAdius Accept Paket an den WLAN AP, und der WLAN Client ist drin und erhält eine IP vom WLAN DhCP Server.
2. Variante: PEAP EAP-TLS
Hier läufts genauso ab - nur dass auch der Client ein Zertifikat hat, das den User authentisiert.
In dem Fall werden vom Client nicht die Windows User Cedentials zur Authentisierung genommen, sondern das Cientzertifikat.
Wenn du mit einem Windows Client via WLAN / 802.1X auf die SSID zugreifen willst, geht das EAP Protokoll los, das den anfragenden Cient erstmal authentisiert.
Die Anfrage geht via EAP zum Access Point. Der packt das EAP in Radiuspakete und sendet sie zum Radiusserver.
Der RAdius-Server schickt sein Radius-Server Zertifikat (!) zum WLAN Client.
Dies dient dazu dass sich der Radius Server beim Client authentisiert ("..ich bin wirklich der echte, gute Radius-Server, glaub mir.. hie rist mein Ausweis..").
Der Ciient vertraut dem Radiusserver weil er dem RAdiusserverzertifikat vertraut. Das Root Zertifikat der CA, die das Radiusserverzertifikat signiert hat, hat der Client nämlich unter seinen "VErtrauenswürdigen Stammzertifizierungsstellen".
Mittels des RAdius SErver Zertifikates - das auch den öffentlichen Schlüssel des Radiusservers enthält - kann der WLAN Client nun seine Authentisierung verschlüsselt zum Radius-Server schicken.
Zwischen Client und Radiusserver entsteht ein TLS Tunnel (wie bei SSL wenn man auf eine https Webseite geht).
1. Variante: PEAP EAP-MSchapv2
Der Client sendet nun seine Windoes Anmeldecredentials (username kennwort) zum Radius, der den User authentisiert.
Stimmen die Credentials, sendet der Radius Server ein RAdius Accept Paket an den WLAN AP, und der WLAN Client ist drin und erhält eine IP vom WLAN DhCP Server.
2. Variante: PEAP EAP-TLS
Hier läufts genauso ab - nur dass auch der Client ein Zertifikat hat, das den User authentisiert.
In dem Fall werden vom Client nicht die Windows User Cedentials zur Authentisierung genommen, sondern das Cientzertifikat.
Ah ok, vielen Dank für die ausführliche Antwort. Dann bin ich ein Bisschen durcheinander gekommen, weil in der Anleitung des Herstellers auch mit Zertifikaten gearbeitet wird, das ist aber wohl nur so, da der AP auch einen integrierten Radius-Server hat und dann natürlich ein Zertifikat braucht.
Aber um noch mal zu meiner Frage zu kommen, geht das mit dem Ausstellen der Zertifikate jetzt auch irgendwie ohne Zertifikatrequestdateien? Es gibt doch bestimmt viele Geräte, die sowas nicht können. Ich denke da an verschiedene Smartphones, Tablets und so weiter. Muss dort dann zwingend das Simple Certificate Enrollment Protocol (SCEP) zum Einsatz kommen oder gehts auch ohne??
Aber um noch mal zu meiner Frage zu kommen, geht das mit dem Ausstellen der Zertifikate jetzt auch irgendwie ohne Zertifikatrequestdateien? Es gibt doch bestimmt viele Geräte, die sowas nicht können. Ich denke da an verschiedene Smartphones, Tablets und so weiter. Muss dort dann zwingend das Simple Certificate Enrollment Protocol (SCEP) zum Einsatz kommen oder gehts auch ohne??
ja ich betreibe selber eine CA auf Windows Server Basis, damit kann man Zertifikate auch ohne Zert-Request generieren.
Kannst du mir auch sagen wie? Lässt sich dort dann auch der Antragsteller usw. angeben oder würde dann immer der Admin-Account, der das Zertifikat erstellt hat als Antragsteller angezeigt? Oder 2. Beispiel, wenn ich für einen Webserver ein Zertifikat erstellen lasse, dann muss ich doch irgendwo auch die URL eingeben können, oder nicht? Und was ich auch nicht weiß, wie lässt sich das Zertifikat dann exportieren, etwa als PKCS12 mit privatem Schlüssel?
Für eine Antwort wäre ich sehr dankbar. Ich muss nämlich Zertifikate für WLAN-Access Points erstellen, die keine Requests unterstützen und außerdem für verschiedene Smartphones, die kein Konto im ADS haben. Gibt es dafür eigentlich ein "Best Practice", um beispielsweise iPhones sicher ins WLAN zu bekommen und dann auch nur die, die im Voraus genehmigt wurden?
Für eine Antwort wäre ich sehr dankbar. Ich muss nämlich Zertifikate für WLAN-Access Points erstellen, die keine Requests unterstützen und außerdem für verschiedene Smartphones, die kein Konto im ADS haben. Gibt es dafür eigentlich ein "Best Practice", um beispielsweise iPhones sicher ins WLAN zu bekommen und dann auch nur die, die im Voraus genehmigt wurden?
Zum Abschluss: Zertifikate können über eine Weboberfläche der ADCS oder über das MMC-Snapin zertifikate erstellt werden. Damit Name usw. selbst angegeben werden können, muss dies in der Zertifikatsvorlage so eingestellt werden.
