spacyfreak
Goto Top

Zertifikat für IAS Radius Server mit openssl erstellen

Ich würde gerne schnell und unkompliziert ein Zertifikat für einen IAS Radiusserver erstellen, der damit 802.1X mit PEAP (EAP-MSCHAPv2) machen können soll.

Es gibt zig Webseiten die dokumentieren wie man unter openssl eine Root CA aufsetzt, wie man einen Cert-Request erzeugt und diesen dann signiert.
Da sinds jedoch oft mehr Informationen als man braucht.

Bevor ich jedoch jetzt damit rumexperimentiere - kann mir jemand die Befehle der Reihe nach auflisten (von A-Z) der das schonmal gemacht hat so dass es auch für den IAS passt?

1. Root CA aufsetzen
1.1. Schlüsselpaar für Root CA generieren
1.2. Root CA Zertifikat generieren

2. Schlüsselpaar für IAS Server generieren
2.1 Cert-Request für IAS Server ias.firma.de generieren (ias.firma.de/ Einsatzzweck für Serverauthentisieren)

3. Cert-Request mit der Root CA signieren

4. Aus privatem Key und Zertifikat ein .pfx File erzeugen das man im IAS installieren kann, das den priv. Schlüssel als auch das Zertifikat enthält.


Danke

Content-Key: 91883

Url: https://administrator.de/contentid/91883

Ausgedruckt am: 28.03.2024 um 18:03 Uhr

Mitglied: DerSchorsch
DerSchorsch 09.09.2008 um 21:44:53 Uhr
Goto Top
Hallo,

auch wenns etwas umfangreicher ist:
http://www.microsoft.com/germany/technet/datenbank/articles/900010.mspx

Gruß,
Schorsch
Mitglied: beck2oldschool
beck2oldschool 28.11.2008 um 08:17:36 Uhr
Goto Top
Hallo,
genau bei dieser Anleitung bin ich gerade. Ich habe meine CA installiert und möchte jetzt das die RAS-Richtlinie erstellen. Beim Auswählen von PEAP bzw dessen Konfiguration bekomme ich eine Fehlermeldung, dass kein Zertifikat gefunden werden konnte, welches mit PEAP funktioniert.
Wie muss ich denn das benötigte Zertifikat erstellen? Es handelt sich bei der Installation der CA wohl auch nur um eine art abgespeckte Version der CA welche durch ein Script installiert wird. Ich hab also auch noch keine Möglichkeit gefunden überhaupt ein Zertifikat auszustellen!?
Ich hab vor ein paar Jahren mal eine CA aufgesetzt und da konnte man über eine Weboberfläche ein Zertifiakt anfordern bzw später registrieren. Das geht mit dieser CA hier aber nicht!?

Vielen Dank für jede Hilfe schonmal im Voraus

Gruß

Michael
Mitglied: 87794
87794 14.02.2010 um 13:42:38 Uhr
Goto Top
Hallo,

bin heute auf diesen Thread gestoßen. Besteht noch Bedarf für eine Lösung dieser Problematik? Ich hätte da zwei Wege anzubieten.

Gruß
Mitglied: beck2oldschool
beck2oldschool 14.02.2010 um 13:56:19 Uhr
Goto Top
Logisch. Immer her damit. Wenn auch für mich das Problem zur Zeit nicht besteht. So gibt es bestimmt den ein oder anderen, der über die Boardsuche oder Google hier her kommt.
Danke schonmal im Voraus.

Gruß

Michael
Mitglied: 87794
87794 17.02.2010 um 17:28:51 Uhr
Goto Top
Hey, kann ich hier irgendwie Dateien anhängen? Hab ne schöne Doku zu dem Thema geschrieben.
Mitglied: 87794
87794 24.02.2010 um 15:44:25 Uhr
Goto Top
Also hier wie versprochen die Lösung des Problems.

Ich habe eine Doku geschrieben, wie man mittels openssl Zertifikate generiert, die für eine Authentifizierung mittels PEAP über Microsoft IAS genutzt werden können.

Hier der Link zur Doku:
http://rapidshare.com/files/358808958/Erstellen_von_Zertifikaten_f__r_I ...

Bei der Erstellung der Doku waren die Informationen auf folgender Website äußerst hilfreich:
http://www.cs.bham.ac.uk/~smp/resources/peap/

Natürlich kann man die Authentifizierung mittels Zertifikaten auch mit dem Enterprise Server von Microsoft realisieren. Das ist bedeutend einfacher.

Wie es funktioniert ist hier gut erklärt:
http://www.microsoft.com/germany/technet/sicherheit/themen/Cryptography ...

So, das sollte jedem helfen, der mal mit dem Thema Authentifizierung mittels Zertifikaten unter Windows in Berührung kommt.

Bei Fragen oder Verbesserungsvorschlägen einfach melden.
Mitglied: fosi12
fosi12 13.06.2010 um 16:42:59 Uhr
Goto Top
Hallo

Vielen Dank für Deine ausführliche Doku

Leider habe ich noch ein kleines Problem bei mir funktioniert dieser Befehl nicht:
openssl pkcs12 -name "IAS Certificate" -export -in newkey.pem -out ias_cert.p12 -CSP “Microsoft RSA SChannel Cryptographic Provider” –LMK

-> kommt immer die Meldung das die Syntax nicht stimmt.

Denn ich den geleichen Befehl ohne -CSP “Microsoft RSA SChannel Cryptographic Provider”
eingebe so funktioniert es.

Hat jemand irgend eine Idee?

Danke

Gruss fosi
Mitglied: spacyfreak
spacyfreak 13.06.2010 um 21:26:19 Uhr
Goto Top
Ich habs damals mit einer Microsoft Root CA gemacht (Enterprise Edition), das läuft ganz ok und erfüllt den Zweck.
Nur zur Info... face-smile
Mitglied: 87794
87794 14.06.2010 um 21:43:36 Uhr
Goto Top
Welche OpenSSL Version nutzt du? Ich hatte ähnliche Probleme, wenn ich eine ältere Version als 0.9.8h benutzt habe.

Wie lautet genau der syntaxfehler?

Gruß
Mitglied: stony007de
stony007de 15.06.2010 um 10:31:50 Uhr
Goto Top
Also ich habe jetzt die 1.0.0a installiert!
Da ist die Syntax implementiert!

Ich habe nur das Problem, das ich die auf dem IAS Server installierten Zertifikate im IAS weder sehen noch auswählen kann.

Hat jemand ne Idee woran das liegen kann?
Mitglied: 87794
87794 22.06.2010 um 15:46:18 Uhr
Goto Top
Versuche mal, den Ordner demoCA zu löschen und erstelle dann nochmal eine neue CA mit "perl ca.pl –newca".

In dem demoCA Ordner werden sowohl ausgestellte Certs als auch die CRL verwaltet. Ich hatte hin und wieder mal Probleme, wenn ich mehrmals Zertifikatanfragen an die CA gestellt habe. Einige Zertifikate konnte ich dann nicht mehr richtig signieren. Das hört sich zwar erstmal nicht unbedingt nach deinem Problem an, aber versuche es bitte mal.

Gehst du ansonsten genau nach meiner Doku vor? Habe es gerade nochmal ausprobiert und es funktioniert bei nach wie vor, wie ich es in der Doku beschrieben habe.

Wenn du das Zusatzattribut nicht an das Cert anhängen kannst, ist es klar, dass dieses nicht in deinen IAS importiert werden kann. Microsoft prüft beim Import die Attribute des Zertifikats und wenn dort als CSP nicht Microsoft RSA SChannel Cryptographic Provider eingetragen ist, wird das Cert vom OS nicht akzeptiert. Du brauchst also dieses Zusatzattribut.

Hast du es schonmal mit der openssl Version 0.9.8h probiert. Die habe ich bei mir laufen. Mit der 0.9.8i geht es auch.

Gruß