13
Radius Server und Zertifikate
Hallo zusammen,
wir betreiben bei uns einen Radius Server. Wir benutzen für den DC schon immer ein selbst signiertes Zertifikat. Das Problem ist nun, dass die WLAN-Geräte dieses Zertifikat als nicht vertrauenswürdig ansehen. Jetzt verstehe ich aber nicht ganz, wo genau ich ein vertrauenswürdiges Zertifikat herkriege. Bin in dem Thema Zertifikate leider nicht so fit.
So wie ich das verstehe, brauche ich ja ein signiertes Zert einer vertrauten CA wie z.B. Lets Encrypt, das kann ich jedoch nicht benutzen, weil die eine öffentliche Domain verlangen. Gibt es sowas auch für interne Server?
Ich bitte einmal um Hilfe.
wir betreiben bei uns einen Radius Server. Wir benutzen für den DC schon immer ein selbst signiertes Zertifikat. Das Problem ist nun, dass die WLAN-Geräte dieses Zertifikat als nicht vertrauenswürdig ansehen. Jetzt verstehe ich aber nicht ganz, wo genau ich ein vertrauenswürdiges Zertifikat herkriege. Bin in dem Thema Zertifikate leider nicht so fit.
So wie ich das verstehe, brauche ich ja ein signiertes Zert einer vertrauten CA wie z.B. Lets Encrypt, das kann ich jedoch nicht benutzen, weil die eine öffentliche Domain verlangen. Gibt es sowas auch für interne Server?
Ich bitte einmal um Hilfe.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 54087348906
Url: https://administrator.de/contentid/54087348906
Printed on: May 2, 2024 at 00:05 o'clock
13 Comments
Latest comment
Hallo,
Hast du keine interne CA? bedenke, du musst das auf allen RADIUS EAP Clients installieren! das ist kein Spaß!
auch Android usw. nix automatik per remoteinstaller oder gpo..
Hast du keine interne CA? bedenke, du musst das auf allen RADIUS EAP Clients installieren! das ist kein Spaß!
auch Android usw. nix automatik per remoteinstaller oder gpo..
Doch doch. Internes Zertifikat wurde von Interner CA signiert. Nur sagen die clients natürlich das Cert ist nicht vertraut. Ist da also die einzige methode das Cert an die Geräte zu verteilen?
Du musst schlicht und einfach nur das Zertifikat deiner CA am Client in die "vertrauenswürdigen Stammzertifizierungsstellen" importieren (Winblows).
Noch einfacher ist es wenn du im (Windows) Client die Überprüfung des Radius Server Zertifikats einfach deaktivierst. Siehe HIER.
Noch einfacher ist es wenn du im (Windows) Client die Überprüfung des Radius Server Zertifikats einfach deaktivierst. Siehe HIER.
Du musst dir von deiner internen CA einfach ein Zertifizierungsstellenzertifikats ausstellen und dieses bringst du auf die Mobilen Geräte (gehe mal davon aus das es Handys sind) und importierst diese dann in den Zertifikatsspeicher (https://support.google.com/pixelphone/answer/2844832?hl=de) die Einstellung ist fast bei jedem Android identisch).
1
Windows Clients stellen leider nicht das Hauptproblem da. Hauptsächlich geht es um BYOD mit dem neusten Androids. Dort kann man die Zertifikate nicht mehr ignorieren.
Quote from @aqui:
Du musst schlicht und einfach nur das Zertifikat deiner CA am Client in die "vertrauenswürdigen Stammzertifizierungsstellen" importieren (Winblows).
Noch einfacher ist es wenn du im (Windows) Client die Überprüfung des Radius Server Zertifikats einfach deaktivierst. Siehe HIER.
Du musst schlicht und einfach nur das Zertifikat deiner CA am Client in die "vertrauenswürdigen Stammzertifizierungsstellen" importieren (Winblows).
Noch einfacher ist es wenn du im (Windows) Client die Überprüfung des Radius Server Zertifikats einfach deaktivierst. Siehe HIER.
Windows Clients stellen leider nicht das Hauptproblem da. Hauptsächlich geht es um BYOD mit dem neusten Androids. Dort kann man die Zertifikate nicht mehr ignorieren.
Dann heißt das Zauberwort MDM, mit dem kannst du die CA Certs automatisch verteilen, ansonsten machst du PEAP dann kannst du das ca cert am client ignorieren..
Quote from @user217:
Dann heißt das Zauberwort MDM, mit dem kannst du die CA Certs automatisch verteilen, ansonsten machst du PEAP dann kannst du das ca cert am client ignorieren..
Dann heißt das Zauberwort MDM, mit dem kannst du die CA Certs automatisch verteilen, ansonsten machst du PEAP dann kannst du das ca cert am client ignorieren..
Heißt das Radius und BYOD mag sich nicht so gerne leiden?
Doch, die selbstmitgebrachten Android Geräte müssen einfach nur deiner CA vertrauen. Nicht mehr und nicht weniger..
Das Installieren dieser Zertifikate ist meist für DAU's zu viel deswegen bleibt das dann am Admin hängen wenn kein MDM hat und das ist je nach Anzahl ziemlich viel Dumme arbeit
Das Installieren dieser Zertifikate ist meist für DAU's zu viel deswegen bleibt das dann am Admin hängen wenn kein MDM hat und das ist je nach Anzahl ziemlich viel Dumme arbeit
2
Moin,
Zertifikate basieren immer auf einem Chain-Prinzip.
Einem RADIUS Zertifikat wird erst dann vertraut, wenn die abhängigen Chain-Zertifikate vertraut werden.
Namentlich sind es die RootCA und die Intermediate CAs (SubCA).
Wenn bei euren Windows Clients im certlm.msc (Computer - Zertifikatsspeicher) unter "Vertrauenswürdige Stammzertifikate" die RootCA und die SubCAs hinterlegt werden, dann vertrauen die Clients dem RADIUS Zertifikat, da Chain vertraut wird.
Bei AD-Managed devices kann per GPO die RootCA und SubCAs an die korrekte Stelle verteilt werden.
Bei Mobile Devices / BYOD wird es dann schon komplizierter, wie die Zertifikate an die Geräte draufgespielt werden können WENN es keine Mobile Device Management (MDM) Lösung gibt.
Wenn ihr wenig Geräte habt macht das per Hand. Wenn es mehr sind dann sollte, meiner Meinung nach, über ein MDM nachgedacht werden.
Wie user217 bereits erwähnte läuft es auf allen BYOD (Apple, Android, Linux...) identisch ab, da es genormt ist.
VG
Zertifikate basieren immer auf einem Chain-Prinzip.
Einem RADIUS Zertifikat wird erst dann vertraut, wenn die abhängigen Chain-Zertifikate vertraut werden.
Namentlich sind es die RootCA und die Intermediate CAs (SubCA).
Wenn bei euren Windows Clients im certlm.msc (Computer - Zertifikatsspeicher) unter "Vertrauenswürdige Stammzertifikate" die RootCA und die SubCAs hinterlegt werden, dann vertrauen die Clients dem RADIUS Zertifikat, da Chain vertraut wird.
Bei AD-Managed devices kann per GPO die RootCA und SubCAs an die korrekte Stelle verteilt werden.
Bei Mobile Devices / BYOD wird es dann schon komplizierter, wie die Zertifikate an die Geräte draufgespielt werden können WENN es keine Mobile Device Management (MDM) Lösung gibt.
Wenn ihr wenig Geräte habt macht das per Hand. Wenn es mehr sind dann sollte, meiner Meinung nach, über ein MDM nachgedacht werden.
Wie user217 bereits erwähnte läuft es auf allen BYOD (Apple, Android, Linux...) identisch ab, da es genormt ist.
VG
1wie die Zertifikate an die Geräte draufgespielt werden können
Einfach per Email Attachment oder Chat senden und doppelklicken oder per SD Card oder Airdrop (Apple) oder... Kompliziert ist sicher etwas anderes. 
Gut, wenn man 100 mobile Geräte hat mit wenig Technik affinen Usern die schon an einem Doppelklick scheitern dann ist ein MDM in der Tat der bessere Weg.
1
das kann ich jedoch nicht benutzen, weil die eine öffentliche Domain verlangen.
Wer sagt das man externe Domains per Split-Brain DNS nicht auch intern nutzen kann. Ich lasse mir bspw. Per certbot bei Letsencrypt eine externe Wildcard-Subdomain (mit Nameserver Eintrag auf desec.io) regelmäßig ein Cert ausstellen und verteile das intern dann per Skript auf die benötigten Stationen und unter anderem auch auf einen Reverse-Proxy der intern und extern Dienste anbietet. So braucht es dann auch kein Trust-Store Import auf den Devices und man kann bei allen Serverdiensten das selbe Cert verwenden da ja per Wildcard beliebige Namen der folgenden Ebene inkludiert sind.Gruß siddius
1
Wenn es das denn nun war bitte deinen Thread hier dann auch als erledigt schliessen!
