Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Zertifikat für IAS Radius Server mit openssl erstellen

Frage Sicherheit Verschlüsselung & Zertifikate

Mitglied: spacyfreak

spacyfreak (Level 2) - Jetzt verbinden

12.07.2008, aktualisiert 28.11.2008, 11860 Aufrufe, 11 Kommentare

Ich würde gerne schnell und unkompliziert ein Zertifikat für einen IAS Radiusserver erstellen, der damit 802.1X mit PEAP (EAP-MSCHAPv2) machen können soll.

Es gibt zig Webseiten die dokumentieren wie man unter openssl eine Root CA aufsetzt, wie man einen Cert-Request erzeugt und diesen dann signiert.
Da sinds jedoch oft mehr Informationen als man braucht.

Bevor ich jedoch jetzt damit rumexperimentiere - kann mir jemand die Befehle der Reihe nach auflisten (von A-Z) der das schonmal gemacht hat so dass es auch für den IAS passt?

1. Root CA aufsetzen
1.1. Schlüsselpaar für Root CA generieren
1.2. Root CA Zertifikat generieren

2. Schlüsselpaar für IAS Server generieren
2.1 Cert-Request für IAS Server ias.firma.de generieren (ias.firma.de/ Einsatzzweck für Serverauthentisieren)

3. Cert-Request mit der Root CA signieren

4. Aus privatem Key und Zertifikat ein .pfx File erzeugen das man im IAS installieren kann, das den priv. Schlüssel als auch das Zertifikat enthält.


Danke
Mitglied: DerSchorsch
09.09.2008 um 21:44 Uhr
Hallo,

auch wenns etwas umfangreicher ist:
http://www.microsoft.com/germany/technet/datenbank/articles/900010.mspx

Gruß,
Schorsch
Bitte warten ..
Mitglied: beck2oldschool
28.11.2008 um 08:17 Uhr
Hallo,
genau bei dieser Anleitung bin ich gerade. Ich habe meine CA installiert und möchte jetzt das die RAS-Richtlinie erstellen. Beim Auswählen von PEAP bzw dessen Konfiguration bekomme ich eine Fehlermeldung, dass kein Zertifikat gefunden werden konnte, welches mit PEAP funktioniert.
Wie muss ich denn das benötigte Zertifikat erstellen? Es handelt sich bei der Installation der CA wohl auch nur um eine art abgespeckte Version der CA welche durch ein Script installiert wird. Ich hab also auch noch keine Möglichkeit gefunden überhaupt ein Zertifikat auszustellen!?
Ich hab vor ein paar Jahren mal eine CA aufgesetzt und da konnte man über eine Weboberfläche ein Zertifiakt anfordern bzw später registrieren. Das geht mit dieser CA hier aber nicht!?

Vielen Dank für jede Hilfe schonmal im Voraus

Gruß

Michael
Bitte warten ..
Mitglied: juniorcs
14.02.2010 um 13:42 Uhr
Hallo,

bin heute auf diesen Thread gestoßen. Besteht noch Bedarf für eine Lösung dieser Problematik? Ich hätte da zwei Wege anzubieten.

Gruß
Bitte warten ..
Mitglied: beck2oldschool
14.02.2010 um 13:56 Uhr
Logisch. Immer her damit. Wenn auch für mich das Problem zur Zeit nicht besteht. So gibt es bestimmt den ein oder anderen, der über die Boardsuche oder Google hier her kommt.
Danke schonmal im Voraus.

Gruß

Michael
Bitte warten ..
Mitglied: juniorcs
17.02.2010 um 17:28 Uhr
Hey, kann ich hier irgendwie Dateien anhängen? Hab ne schöne Doku zu dem Thema geschrieben.
Bitte warten ..
Mitglied: juniorcs
24.02.2010 um 15:44 Uhr
Also hier wie versprochen die Lösung des Problems.

Ich habe eine Doku geschrieben, wie man mittels openssl Zertifikate generiert, die für eine Authentifizierung mittels PEAP über Microsoft IAS genutzt werden können.

Hier der Link zur Doku:
http://rapidshare.com/files/358808958/Erstellen_von_Zertifikaten_f__r_I ...

Bei der Erstellung der Doku waren die Informationen auf folgender Website äußerst hilfreich:
http://www.cs.bham.ac.uk/~smp/resources/peap/

Natürlich kann man die Authentifizierung mittels Zertifikaten auch mit dem Enterprise Server von Microsoft realisieren. Das ist bedeutend einfacher.

Wie es funktioniert ist hier gut erklärt:
http://www.microsoft.com/germany/technet/sicherheit/themen/Cryptography ...

So, das sollte jedem helfen, der mal mit dem Thema Authentifizierung mittels Zertifikaten unter Windows in Berührung kommt.

Bei Fragen oder Verbesserungsvorschlägen einfach melden.
Bitte warten ..
Mitglied: fosi12
13.06.2010 um 16:42 Uhr
Hallo

Vielen Dank für Deine ausführliche Doku

Leider habe ich noch ein kleines Problem bei mir funktioniert dieser Befehl nicht:
openssl pkcs12 -name "IAS Certificate" -export -in newkey.pem -out ias_cert.p12 -CSP “Microsoft RSA SChannel Cryptographic Provider” –LMK

-> kommt immer die Meldung das die Syntax nicht stimmt.

Denn ich den geleichen Befehl ohne -CSP “Microsoft RSA SChannel Cryptographic Provider”
eingebe so funktioniert es.

Hat jemand irgend eine Idee?

Danke

Gruss fosi
Bitte warten ..
Mitglied: spacyfreak
13.06.2010 um 21:26 Uhr
Ich habs damals mit einer Microsoft Root CA gemacht (Enterprise Edition), das läuft ganz ok und erfüllt den Zweck.
Nur zur Info...
Bitte warten ..
Mitglied: juniorcs
14.06.2010 um 21:43 Uhr
Welche OpenSSL Version nutzt du? Ich hatte ähnliche Probleme, wenn ich eine ältere Version als 0.9.8h benutzt habe.

Wie lautet genau der syntaxfehler?

Gruß
Bitte warten ..
Mitglied: stony007de
15.06.2010 um 10:31 Uhr
Also ich habe jetzt die 1.0.0a installiert!
Da ist die Syntax implementiert!

Ich habe nur das Problem, das ich die auf dem IAS Server installierten Zertifikate im IAS weder sehen noch auswählen kann.

Hat jemand ne Idee woran das liegen kann?
Bitte warten ..
Mitglied: juniorcs
22.06.2010 um 15:46 Uhr
Versuche mal, den Ordner demoCA zu löschen und erstelle dann nochmal eine neue CA mit "perl ca.pl –newca".

In dem demoCA Ordner werden sowohl ausgestellte Certs als auch die CRL verwaltet. Ich hatte hin und wieder mal Probleme, wenn ich mehrmals Zertifikatanfragen an die CA gestellt habe. Einige Zertifikate konnte ich dann nicht mehr richtig signieren. Das hört sich zwar erstmal nicht unbedingt nach deinem Problem an, aber versuche es bitte mal.

Gehst du ansonsten genau nach meiner Doku vor? Habe es gerade nochmal ausprobiert und es funktioniert bei nach wie vor, wie ich es in der Doku beschrieben habe.

Wenn du das Zusatzattribut nicht an das Cert anhängen kannst, ist es klar, dass dieses nicht in deinen IAS importiert werden kann. Microsoft prüft beim Import die Attribute des Zertifikats und wenn dort als CSP nicht Microsoft RSA SChannel Cryptographic Provider eingetragen ist, wird das Cert vom OS nicht akzeptiert. Du brauchst also dieses Zusatzattribut.

Hast du es schonmal mit der openssl Version 0.9.8h probiert. Die habe ich bei mir laufen. Mit der 0.9.8i geht es auch.

Gruß
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(2)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Verschlüsselung & Zertifikate
Server Zertifikat für PfSense mit ADCS erstellen (6)

Frage von theoberlin zum Thema Verschlüsselung & Zertifikate ...

LAN, WAN, Wireless
Dd-wrt Hotspot mit Radius Server und Traffic Volume Limit (19)

Frage von Kubus0815 zum Thema LAN, WAN, Wireless ...

Windows Server
gelöst Radius-Server auf Win. Srv. 2008R2 (5)

Frage von anak1m zum Thema Windows Server ...

Heiß diskutierte Inhalte
LAN, WAN, Wireless
gelöst Server erkennt Client nicht wenn er ausserhalb des DHCP Pools liegt (28)

Frage von Mar-west zum Thema LAN, WAN, Wireless ...

Windows Server
Server 2008R2 startet nicht mehr (Bad Patch 0xa) (18)

Frage von Haures zum Thema Windows Server ...

Outlook & Mail
Outlook 2010 findet ost datei nicht (18)

Frage von Floh21 zum Thema Outlook & Mail ...