Radius Server und Zertifikate
Hallo zusammen,
wir betreiben bei uns einen Radius Server. Wir benutzen für den DC schon immer ein selbst signiertes Zertifikat. Das Problem ist nun, dass die WLAN-Geräte dieses Zertifikat als nicht vertrauenswürdig ansehen. Jetzt verstehe ich aber nicht ganz, wo genau ich ein vertrauenswürdiges Zertifikat herkriege. Bin in dem Thema Zertifikate leider nicht so fit.
So wie ich das verstehe, brauche ich ja ein signiertes Zert einer vertrauten CA wie z.B. Lets Encrypt, das kann ich jedoch nicht benutzen, weil die eine öffentliche Domain verlangen. Gibt es sowas auch für interne Server?
Ich bitte einmal um Hilfe.
wir betreiben bei uns einen Radius Server. Wir benutzen für den DC schon immer ein selbst signiertes Zertifikat. Das Problem ist nun, dass die WLAN-Geräte dieses Zertifikat als nicht vertrauenswürdig ansehen. Jetzt verstehe ich aber nicht ganz, wo genau ich ein vertrauenswürdiges Zertifikat herkriege. Bin in dem Thema Zertifikate leider nicht so fit.
So wie ich das verstehe, brauche ich ja ein signiertes Zert einer vertrauten CA wie z.B. Lets Encrypt, das kann ich jedoch nicht benutzen, weil die eine öffentliche Domain verlangen. Gibt es sowas auch für interne Server?
Ich bitte einmal um Hilfe.
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 54087348906
Url: https://administrator.de/en/radius-server-und-zertifikate-54087348906.html
Ausgedruckt am: 22.12.2024 um 20:12 Uhr
13 Kommentare
Neuester Kommentar
Du musst schlicht und einfach nur das Zertifikat deiner CA am Client in die "vertrauenswürdigen Stammzertifizierungsstellen" importieren (Winblows).
Noch einfacher ist es wenn du im (Windows) Client die Überprüfung des Radius Server Zertifikats einfach deaktivierst. Siehe HIER.
Noch einfacher ist es wenn du im (Windows) Client die Überprüfung des Radius Server Zertifikats einfach deaktivierst. Siehe HIER.
Du musst dir von deiner internen CA einfach ein Zertifizierungsstellenzertifikats ausstellen und dieses bringst du auf die Mobilen Geräte (gehe mal davon aus das es Handys sind) und importierst diese dann in den Zertifikatsspeicher (https://support.google.com/pixelphone/answer/2844832?hl=de) die Einstellung ist fast bei jedem Android identisch).
Moin,
Zertifikate basieren immer auf einem Chain-Prinzip.
Einem RADIUS Zertifikat wird erst dann vertraut, wenn die abhängigen Chain-Zertifikate vertraut werden.
Namentlich sind es die RootCA und die Intermediate CAs (SubCA).
Wenn bei euren Windows Clients im certlm.msc (Computer - Zertifikatsspeicher) unter "Vertrauenswürdige Stammzertifikate" die RootCA und die SubCAs hinterlegt werden, dann vertrauen die Clients dem RADIUS Zertifikat, da Chain vertraut wird.
Bei AD-Managed devices kann per GPO die RootCA und SubCAs an die korrekte Stelle verteilt werden.
Bei Mobile Devices / BYOD wird es dann schon komplizierter, wie die Zertifikate an die Geräte draufgespielt werden können WENN es keine Mobile Device Management (MDM) Lösung gibt.
Wenn ihr wenig Geräte habt macht das per Hand. Wenn es mehr sind dann sollte, meiner Meinung nach, über ein MDM nachgedacht werden.
Wie user217 bereits erwähnte läuft es auf allen BYOD (Apple, Android, Linux...) identisch ab, da es genormt ist.
VG
Zertifikate basieren immer auf einem Chain-Prinzip.
Einem RADIUS Zertifikat wird erst dann vertraut, wenn die abhängigen Chain-Zertifikate vertraut werden.
Namentlich sind es die RootCA und die Intermediate CAs (SubCA).
Wenn bei euren Windows Clients im certlm.msc (Computer - Zertifikatsspeicher) unter "Vertrauenswürdige Stammzertifikate" die RootCA und die SubCAs hinterlegt werden, dann vertrauen die Clients dem RADIUS Zertifikat, da Chain vertraut wird.
Bei AD-Managed devices kann per GPO die RootCA und SubCAs an die korrekte Stelle verteilt werden.
Bei Mobile Devices / BYOD wird es dann schon komplizierter, wie die Zertifikate an die Geräte draufgespielt werden können WENN es keine Mobile Device Management (MDM) Lösung gibt.
Wenn ihr wenig Geräte habt macht das per Hand. Wenn es mehr sind dann sollte, meiner Meinung nach, über ein MDM nachgedacht werden.
Wie user217 bereits erwähnte läuft es auf allen BYOD (Apple, Android, Linux...) identisch ab, da es genormt ist.
VG
wie die Zertifikate an die Geräte draufgespielt werden können
Einfach per Email Attachment oder Chat senden und doppelklicken oder per SD Card oder Airdrop (Apple) oder... Kompliziert ist sicher etwas anderes. Gut, wenn man 100 mobile Geräte hat mit wenig Technik affinen Usern die schon an einem Doppelklick scheitern dann ist ein MDM in der Tat der bessere Weg.
das kann ich jedoch nicht benutzen, weil die eine öffentliche Domain verlangen.
Wer sagt das man externe Domains per Split-Brain DNS nicht auch intern nutzen kann. Ich lasse mir bspw. Per certbot bei Letsencrypt eine externe Wildcard-Subdomain (mit Nameserver Eintrag auf desec.io) regelmäßig ein Cert ausstellen und verteile das intern dann per Skript auf die benötigten Stationen und unter anderem auch auf einen Reverse-Proxy der intern und extern Dienste anbietet. So braucht es dann auch kein Trust-Store Import auf den Devices und man kann bei allen Serverdiensten das selbe Cert verwenden da ja per Wildcard beliebige Namen der folgenden Ebene inkludiert sind.Gruß siddius
Wenn es das denn nun war bitte deinen Thread hier dann auch als erledigt schliessen!