Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

WLAN AES Enterprise Auth mit EAP Zert kleine Bug

Frage Sicherheit Verschlüsselung & Zertifikate

Mitglied: uLmi

uLmi (Level 2) - Jetzt verbinden

02.11.2011, aktualisiert 18.10.2012, 4138 Aufrufe, 15 Kommentare

Hallo Zusammen,

ich habe hier ein Wlan mit eine AES Enterprise Authentifizierung. Diese ist über ein Zertifikat von Godaddy gesichert.
Die verbindung klappt auch jedoch gibt einen Hinweis darüber das etwas nicht ganz sauber ist...
vielleicht wisst ihr da was ich da noch machen muss (siehe Bild)

2f61f55a445d37b30228fe968a74d2f5 - Klicke auf das Bild, um es zu vergrößern

Viele Grüße,
uLmi
Mitglied: aqui
03.11.2011, aktualisiert 18.10.2012
Dieses Tutorial beschreibt dir was du machen musst:
http://www.administrator.de/wissen/sichere-wlan-benutzer-authentifizier ...
Bitte warten ..
Mitglied: uLmi
03.11.2011 um 09:58 Uhr
das habe ich ja alles gemacht und das Zertikat muss ich ja nicht ausrollen da nicht selbst erstellt....
Bitte warten ..
Mitglied: uLmi
30.05.2012 um 10:59 Uhr
Aqui du scheinst dich mit dem Thema echt gut beschäftigt zu haben.
Ich habe mir dein Toturial durchgelesen.

Der Einzige punkt des Artikels der für mich interessant sein könnte ist der wo das Zert beim XP oder Windows 7 System importiert wird...
Ich dachte jedoch wenn ich mir ein Zertifikat von einer CA kaufe die bereits von allen Clients vertraut wird, muss ich die ganzen Clients eben nicht "anfassen"...

was meint der genau das mit, dass für die Godaddy CA keine gültiger Vertrauensanker hinterlegt ist ?

Gruß
uLmi
Bitte warten ..
Mitglied: aqui
31.05.2012 um 15:40 Uhr
Ganz so einfach ist das ja nicht. Du musst das Clientzertifikat was du von der CA ja signiert bekommen hast für deinen Client ja dem Client noch irgendwie beibringen. Kennen muss er es ja !
Es reicht also nicht das Zertifikat für deinen Client nur auf dem USB Stick in der Hosentasche zu haben, was auch jedem blutigen Laien einleuchtet.
Wenn du manuell die Client Zertifikate ausrollst musst du sie händisch auf jeden Client kopieren wie im Tutorial beschrieben.
Natürlich kannst du die einzelnen Client Zertifikate auch bei einem Doamin Login austomatisch ausrollen lassen auch das ist problemlos möglich.
Du musst also irgendeinen Weg finden das Client Zertifikat auch auf den Client Rechner zu bringen.
WIE du das letztlich machst ist deine Sache aber für die Authentisierung MUSS das Zertikat auf dem Clientrechner sein !! Logisch....
Bitte warten ..
Mitglied: uLmi
01.06.2012 um 13:50 Uhr
also auch wenn das ein öffentlich gekauftes 600 € thawte zertifikat ist, muss ich es auf allen client ausrollen ?

das ist ja ### ich dachte ich spare mir das und die Clients "ziehen" sich da Zertifikat und schauen bei sich nach ob der Aussteller okay ist oder nicht...

also der einzige vorteil der mir gekauftes Zertifikat bringt ist, dass ich nicht auch noch meinen internen CA auf allen client einrichten muss oder ?

aber wenn ich eh schon alle client "anfassen" per GPO oder was auch immer, hätte ich den schritt gleich mit machen können.

bist du dir 100% sicher ? das mit dem Vertrauenanker klingt irgendwie nach was anderem...
Bitte warten ..
Mitglied: aqui
01.06.2012 um 15:52 Uhr
Nein, natürlich nicht, denn das Tawthe ist nur das Root Zertifikat mit dem deine CA aufgesetzt ist. Von dem leiten sich die Client Zertifikate ab, die du auf den Client kopieren musst.
Das ist einen klassiche CA Einrichtung. Es hört sich so ein bischen danach an das du gar nicht richtig verstanden hast wie eine CA aufgesetzt wird bzw. wie das Zertifikats Handling funktioniert. Man kann dir hier nur dringenst raten da mal etwas nachzulesen !
Es bleibt dabei von deiner CA muss ein User Zertifikat erstellt werden was die User über den Web Zertifikatsserver auch selber machen können und dann auf dem Clientrechner installiert werden. Ein klasssicher Standard !!
Ob du es mit GPO oder Login oder mit Brieftauben verteilst spielt für die Zertifikatsauthentisierung keinerlei Rolle.
Bitte warten ..
Mitglied: uLmi
01.06.2012 um 17:14 Uhr
es ist ja auch kein einfaches Thema und ich muss mich in so viele themen reinfuchsen... irgendwas fällt leider immer runter.

ich habe ein Zert gekauft bei godaddy: wlan.domäne.de
dieses hab ich auf dem server eingebunden der den Radius macht..

die CA ist doch Godaddy oder ? also die stelle die mir das zertifikat ausgestellt hat und beglaubigt hat ?

meine Server ist der was ? der Zertfikats "bereitssteller" ?

ist es so, dass der Server den Privat key und der Client den Public key hat oder wie kann ich mir das vorstellen ?

Gruß und danke für deine Hilfe.
uLmi
Bitte warten ..
Mitglied: aqui
02.06.2012 um 12:43 Uhr
Nein, die CA ist deine die DU dir definierst. Godaddy zertifiziert sie bzw. dein CA Rootzertifikat mit seinem Schlüssel nur als vertrauenswürdig, weil Godaddy nachweislich auch als vertrauenswürdig gilt ! Mit dem Zertifikat von Godaddy gilt dein Zertifikat dann auch als vertrauenswürdig. So funktioniert das...
Du willst doch deinenCA benutzen und logischerweise NICHT die von Godaddy ...was nebenbei ja auch gar nicht geht.
Es geht so wie du es beschrieben hast. Besorg dir mal ein Buch über PGP und lies dich da mal etwas rein...!
Bitte warten ..
Mitglied: invero
30.07.2012 um 17:58 Uhr
Hallo zusammen.

Ich habe auch einen FreeRADIUS Server unter Debian Squeeze aufgesetzt und bekomme dieselbe Meldung wie uLmi.

Ich habe TTLS-MSCHAPV2 konfiguriert. Die Userdaten sind in einer Textdatei und die Passwörter sind mit NTLM gehascht.

Frage: Kennt ihr irgendeine Möglichkeit FreeRADIUS so zu konfigurieren, dass man sich von Windows Clients aus nur mit Benutzername und Kennwort verbindet, ohne dass das obige Fenster erscheint?

Voraussetzung ist, dass Passwörtergehascht gespeichert werden müssen. Ziel ist, wenn es geht natürlich, keine Zertifikate oder spezielle WLAN Verbindungen an den Windows Clients zu installieren bzw. zu konfigurieren,. also nur SSID auswählen, Benutzername, Kennwort und los legen.

HELP!!!!!
Danke
Bitte warten ..
Mitglied: aqui
30.07.2012, aktualisiert um 18:19 Uhr
Ja, liest dir dieses Tutorial genau durch:
http://www.administrator.de/contentid/142241
Dort ist eine wasserdichte Konfiguration beschrieben.
Allerdings hat Debian das Problem das der FreeRadius dort im Paket nicht mit SSL Support konfiguriert ist, was auch im Tutorial so angemerkt ist.
Du musst also am besten die Sourcen bei Debian selber mit SSL Support übersetzen. OpenSuSe hat das schon gleich mit drin im Paket.
Du klickst dann nur im .1x Client an das keine Zertifikats Authentisierung passieren soll, dann kommt logischerweise auch kein Fenster.
Ist aber etwas risikoreich, denn so könnte man dir jeden x-beliebigen Radius Server im Netz unterschieben ohne das die Endgeräte es merken mit Usern die du ggf. nicht haben willst ! Damit hebelt man eigentlich diese Sicherheitsoption wieder aus.
Aber wenn du damit kein problem hast funktioniert es natürlich auch so..keine Frage !
Bitte warten ..
Mitglied: invero
30.07.2012 um 18:26 Uhr
Ich weiss was du meinst aqui, aber wir haben hier potenziell 300 Windows Clients + Gäste. Am liebsten hätte ich es so, dass ich gar nichts am Windows Rechner konfigurieren bzw. installieren muss.

Ich habe es so weit, nur ich kriege diese blöde Meldung. Wenn du sagst es geht nicht, dann geht's halt nicht, aber ich dachte ich frag mal nach.

Der Teil der Anleitung "WLAN Client einrichten" muss ich gar nicht machen. Ich habe mir ein Testzertifikat von GeoTrust geholt.

Ich wähle das SSID aus, Benutzername, Passwort und krieg das Fenster. Klicke ich auf verbinden klappt es ja. Leider ist diese Lösung nicht gut genung.....

Also wenn du eine andere Methode kennst, dann wäre ich dir ein Lebenlang (und in den nächsten Leben auch) dankbar.

Danke für die super schnelle Antwort
Saludos!
Bitte warten ..
Mitglied: aqui
30.07.2012 um 18:32 Uhr
Hast du das Geotrust Zertifikat auch auf dem Client importiert oder ggf. über einen Domänen Login automatisch mit ausgerollt ?? Das musst du zwingend machen !
Ansonsten hast du ja einen Zertifikats Mismatch und dann ist es logisch das so ein Window aufpoppt.
Genua das ist auch vermutlich das problem des TOs das er eben das nicht gemacht hat.
Bitte warten ..
Mitglied: invero
31.07.2012 um 10:50 Uhr
@aqui: auch wenn Geotrust als authentifizierte CA in Windows 7 eingetragen ist?

So wie ich es verstanden habe, muss man dieses Zertifikat so oder so den Client zur Verfügung stellen und er muss es akzeptieren bzw. importieren, richtig?

Danke nochmals, deine Hilfe ist im Moment großartig.
Bitte warten ..
Mitglied: aqui
31.07.2012 um 11:34 Uhr
Ja, das ist richtig ! OK, wenn die Root CA im Client eingetragen ist dann sollte es auch so klappen.
Es ist ja erstmal kein Unterschied ob du dir die Zertifikate selber generierst mit eigener CA wie im Tutorial beschrieben oder ob du sie mit einem von Geotrust CA signierten Key generierst. Ein Client Zertifikat brauchst du immer.
Bitte warten ..
Mitglied: uLmi
31.07.2012 um 16:01 Uhr
invero wenn du rausgefunden hast wie das klappt, dann schreib bitte die lösung.

ich bin interessiert. ich bin nämlich auch davon ausgegangen:
@aqui: auch wenn Geotrust als authentifizierte CA in Windows 7 eingetragen ist?

und verstehe nicht warum ich noch was importieren soll ...

aber wie gesagt wenn du es hast lass mich bitte wissen ich wäre dir sehr dankbar.
Bitte warten ..
Neuester Wissensbeitrag
Ähnliche Inhalte
Netzwerkprotokolle
FTPS - Auth TLS - 502 Command not implemented (1)

Frage von PronMaster zum Thema Netzwerkprotokolle ...

Netzwerke
LAN und WLAN je mit gleicher IP (13)

Frage von dauatitsbest zum Thema Netzwerke ...

LAN, WAN, Wireless
Hat On Networks PL500PS WLAN-Funktion? (4)

Frage von Andy1987 zum Thema LAN, WAN, Wireless ...

Heiß diskutierte Inhalte
Windows Userverwaltung
Ausgeschiedene Mitarbeiter im Unternehmen - was tun mit den AD Konten? (33)

Frage von patz223 zum Thema Windows Userverwaltung ...

LAN, WAN, Wireless
Server erkennt Client nicht wenn er ausserhalb des DHCP Pools liegt (22)

Frage von Mar-west zum Thema LAN, WAN, Wireless ...

LAN, WAN, Wireless
FritzBox, zwei Server, verschiedene Netze (21)

Frage von DavidGl zum Thema LAN, WAN, Wireless ...

Viren und Trojaner
Aufgepasst: Neue Ransomware Goldeneye verbreitet sich rasant (20)

Link von Penny.Cilin zum Thema Viren und Trojaner ...