Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Frage Sicherheit Verschlüsselung & Zertifikate

Zertifikat für IAS Radius Server mit openssl erstellen

Mitglied: spacyfreak

spacyfreak (Level 2) - Jetzt verbinden

12.07.2008, aktualisiert 28.11.2008, 12074 Aufrufe, 11 Kommentare

Ich würde gerne schnell und unkompliziert ein Zertifikat für einen IAS Radiusserver erstellen, der damit 802.1X mit PEAP (EAP-MSCHAPv2) machen können soll.

Es gibt zig Webseiten die dokumentieren wie man unter openssl eine Root CA aufsetzt, wie man einen Cert-Request erzeugt und diesen dann signiert.
Da sinds jedoch oft mehr Informationen als man braucht.

Bevor ich jedoch jetzt damit rumexperimentiere - kann mir jemand die Befehle der Reihe nach auflisten (von A-Z) der das schonmal gemacht hat so dass es auch für den IAS passt?

1. Root CA aufsetzen
1.1. Schlüsselpaar für Root CA generieren
1.2. Root CA Zertifikat generieren

2. Schlüsselpaar für IAS Server generieren
2.1 Cert-Request für IAS Server ias.firma.de generieren (ias.firma.de/ Einsatzzweck für Serverauthentisieren)

3. Cert-Request mit der Root CA signieren

4. Aus privatem Key und Zertifikat ein .pfx File erzeugen das man im IAS installieren kann, das den priv. Schlüssel als auch das Zertifikat enthält.


Danke
Mitglied: DerSchorsch
09.09.2008 um 21:44 Uhr
Hallo,

auch wenns etwas umfangreicher ist:
http://www.microsoft.com/germany/technet/datenbank/articles/900010.mspx

Gruß,
Schorsch
Bitte warten ..
Mitglied: beck2oldschool
28.11.2008 um 08:17 Uhr
Hallo,
genau bei dieser Anleitung bin ich gerade. Ich habe meine CA installiert und möchte jetzt das die RAS-Richtlinie erstellen. Beim Auswählen von PEAP bzw dessen Konfiguration bekomme ich eine Fehlermeldung, dass kein Zertifikat gefunden werden konnte, welches mit PEAP funktioniert.
Wie muss ich denn das benötigte Zertifikat erstellen? Es handelt sich bei der Installation der CA wohl auch nur um eine art abgespeckte Version der CA welche durch ein Script installiert wird. Ich hab also auch noch keine Möglichkeit gefunden überhaupt ein Zertifikat auszustellen!?
Ich hab vor ein paar Jahren mal eine CA aufgesetzt und da konnte man über eine Weboberfläche ein Zertifiakt anfordern bzw später registrieren. Das geht mit dieser CA hier aber nicht!?

Vielen Dank für jede Hilfe schonmal im Voraus

Gruß

Michael
Bitte warten ..
Mitglied: juniorcs
14.02.2010 um 13:42 Uhr
Hallo,

bin heute auf diesen Thread gestoßen. Besteht noch Bedarf für eine Lösung dieser Problematik? Ich hätte da zwei Wege anzubieten.

Gruß
Bitte warten ..
Mitglied: beck2oldschool
14.02.2010 um 13:56 Uhr
Logisch. Immer her damit. Wenn auch für mich das Problem zur Zeit nicht besteht. So gibt es bestimmt den ein oder anderen, der über die Boardsuche oder Google hier her kommt.
Danke schonmal im Voraus.

Gruß

Michael
Bitte warten ..
Mitglied: juniorcs
17.02.2010 um 17:28 Uhr
Hey, kann ich hier irgendwie Dateien anhängen? Hab ne schöne Doku zu dem Thema geschrieben.
Bitte warten ..
Mitglied: juniorcs
24.02.2010 um 15:44 Uhr
Also hier wie versprochen die Lösung des Problems.

Ich habe eine Doku geschrieben, wie man mittels openssl Zertifikate generiert, die für eine Authentifizierung mittels PEAP über Microsoft IAS genutzt werden können.

Hier der Link zur Doku:
http://rapidshare.com/files/358808958/Erstellen_von_Zertifikaten_f__r_I ...

Bei der Erstellung der Doku waren die Informationen auf folgender Website äußerst hilfreich:
http://www.cs.bham.ac.uk/~smp/resources/peap/

Natürlich kann man die Authentifizierung mittels Zertifikaten auch mit dem Enterprise Server von Microsoft realisieren. Das ist bedeutend einfacher.

Wie es funktioniert ist hier gut erklärt:
http://www.microsoft.com/germany/technet/sicherheit/themen/Cryptography ...

So, das sollte jedem helfen, der mal mit dem Thema Authentifizierung mittels Zertifikaten unter Windows in Berührung kommt.

Bei Fragen oder Verbesserungsvorschlägen einfach melden.
Bitte warten ..
Mitglied: fosi12
13.06.2010 um 16:42 Uhr
Hallo

Vielen Dank für Deine ausführliche Doku

Leider habe ich noch ein kleines Problem bei mir funktioniert dieser Befehl nicht:
openssl pkcs12 -name "IAS Certificate" -export -in newkey.pem -out ias_cert.p12 -CSP “Microsoft RSA SChannel Cryptographic Provider” –LMK

-> kommt immer die Meldung das die Syntax nicht stimmt.

Denn ich den geleichen Befehl ohne -CSP “Microsoft RSA SChannel Cryptographic Provider”
eingebe so funktioniert es.

Hat jemand irgend eine Idee?

Danke

Gruss fosi
Bitte warten ..
Mitglied: spacyfreak
13.06.2010 um 21:26 Uhr
Ich habs damals mit einer Microsoft Root CA gemacht (Enterprise Edition), das läuft ganz ok und erfüllt den Zweck.
Nur zur Info...
Bitte warten ..
Mitglied: juniorcs
14.06.2010 um 21:43 Uhr
Welche OpenSSL Version nutzt du? Ich hatte ähnliche Probleme, wenn ich eine ältere Version als 0.9.8h benutzt habe.

Wie lautet genau der syntaxfehler?

Gruß
Bitte warten ..
Mitglied: stony007de
15.06.2010 um 10:31 Uhr
Also ich habe jetzt die 1.0.0a installiert!
Da ist die Syntax implementiert!

Ich habe nur das Problem, das ich die auf dem IAS Server installierten Zertifikate im IAS weder sehen noch auswählen kann.

Hat jemand ne Idee woran das liegen kann?
Bitte warten ..
Mitglied: juniorcs
22.06.2010 um 15:46 Uhr
Versuche mal, den Ordner demoCA zu löschen und erstelle dann nochmal eine neue CA mit "perl ca.pl –newca".

In dem demoCA Ordner werden sowohl ausgestellte Certs als auch die CRL verwaltet. Ich hatte hin und wieder mal Probleme, wenn ich mehrmals Zertifikatanfragen an die CA gestellt habe. Einige Zertifikate konnte ich dann nicht mehr richtig signieren. Das hört sich zwar erstmal nicht unbedingt nach deinem Problem an, aber versuche es bitte mal.

Gehst du ansonsten genau nach meiner Doku vor? Habe es gerade nochmal ausprobiert und es funktioniert bei nach wie vor, wie ich es in der Doku beschrieben habe.

Wenn du das Zusatzattribut nicht an das Cert anhängen kannst, ist es klar, dass dieses nicht in deinen IAS importiert werden kann. Microsoft prüft beim Import die Attribute des Zertifikats und wenn dort als CSP nicht Microsoft RSA SChannel Cryptographic Provider eingetragen ist, wird das Cert vom OS nicht akzeptiert. Du brauchst also dieses Zusatzattribut.

Hast du es schonmal mit der openssl Version 0.9.8h probiert. Die habe ich bei mir laufen. Mit der 0.9.8i geht es auch.

Gruß
Bitte warten ..
Ähnliche Inhalte
Verschlüsselung & Zertifikate
Zertifikat für RADIUS-Server
gelöst Frage von cyrex512Verschlüsselung & Zertifikate2 Kommentare

Hallo zusammen, ich habe einen RADIUS-Server unter Windows Server 2012 R2, welcher das interne WLAN schützen soll. Das ganze ...

Verschlüsselung & Zertifikate
Hilfe bei der Erstellung von Selfsign Zertifikat mit OpenSSL
gelöst Frage von boxi360Verschlüsselung & Zertifikate3 Kommentare

Hallo liebe Admins, ich suche eine Möglichkeit ein Self Sign Zertifikat mit Openssl zu erstellen wo bei den Namen ...

Windows Server
RADIUS Server Zertifikat Windows Server 2012 R2
Frage von gamerffWindows Server7 Kommentare

Hallo Forum, ich habe mir gestern einen RADIUS Server eingerichtet. Mit dem Handy einloggen funktioniert super , da kam ...

Windows Server
Radius Zertifikat über eigene Vorlage
gelöst Frage von Alucard911Windows Server1 Kommentar

Hallo zusammen, ich habe ein funktionierendes Radius WLAN konfiguriert, jedoch das Problem das ich nur Zertifikate aus der Standardvorlage ...

Neue Wissensbeiträge
Linux

Meltdown und Spectre: Linux Update

Information von Frank vor 2 TagenLinux

Meltdown (Variante 3 des Prozessorfehlers) Der Kernel 4.14.13 mit den Page-Table-Isolation-Code (PTI) ist nun für Fedora freigegeben worden. Er ...

Tipps & Tricks

Solutio Charly Updater Fehlermeldung: Das Abgleichen der Dateien in -Pfad- mit dem Datenobject ist fehlgeschlagen

Tipp von StefanKittel vor 2 TagenTipps & Tricks

Hallo, hier einmal als Tipp für alle unter Euch die mit der Zahnarztabrechnungssoftware Charly von Solutio zu tun haben. ...

Sicherheit

Meltdown und Spectre: Wir brauchen eine "Abwrackprämie", die die CPU-Hersteller bezahlen

Information von Frank vor 2 TagenSicherheit12 Kommentare

Zum aktuellen Thema Meltdown und Spectre: Ich wünsche mir von den CPU-Herstellern wie Intel, AMD oder ARM eine Art ...

Sicherheit

Meltdown und Spectre: Realitätscheck

Information von Frank vor 2 TagenSicherheit10 Kommentare

Die unangenehme Realität Der Prozessorfehler mit seinen Varianten Meltdown und Spectre ist seit Juni 2017 bekannt. Trotzdem sind immer ...

Heiß diskutierte Inhalte
E-Mail
Erfahrungen mit hMailServer gesucht
Frage von it-fraggleE-Mail10 Kommentare

Hallo, meine neue Stelle möchte einen eigenen Mailserver. Ich als Linuxkind war direkt geistig mit Postfix dabei. Leider wollen ...

Entwicklung
VBS: alle PDF-Dateien in einem Ordner gleichzeitig öffnen
gelöst Frage von JuweeeEntwicklung9 Kommentare

Hallo, ich habe in deiner Ordnerstruktur (.\Tagesberichte\xx.18\) mehrere dynamische PDF-Formulare (mit LCD erstellt). Die Berichtsformulare sind im Layout alle ...

Firewall
Penetrationstester-Labor - Firewalls
Frage von Oli-nuxFirewall9 Kommentare

Mich würde interessieren warum man beim Einrichten eines Penetrationstester-Labor (VMs) die Firewall der Systeme deaktivieren soll? Hat das nur ...

Netzwerkgrundlagen
IPv6 Inter-VLAN Routing
gelöst Frage von clSchakNetzwerkgrundlagen8 Kommentare

Hi ich befasse mich gerade mit der Implementierung von IPv6 was bisher (in einem VLAN) korrekt funktioniert inkl. DNS ...