vilooo
Goto Top

Radius Server und Zertifikate

Hallo zusammen,

wir betreiben bei uns einen Radius Server. Wir benutzen für den DC schon immer ein selbst signiertes Zertifikat. Das Problem ist nun, dass die WLAN-Geräte dieses Zertifikat als nicht vertrauenswürdig ansehen. Jetzt verstehe ich aber nicht ganz, wo genau ich ein vertrauenswürdiges Zertifikat herkriege. Bin in dem Thema Zertifikate leider nicht so fit.

So wie ich das verstehe, brauche ich ja ein signiertes Zert einer vertrauten CA wie z.B. Lets Encrypt, das kann ich jedoch nicht benutzen, weil die eine öffentliche Domain verlangen. Gibt es sowas auch für interne Server?

Ich bitte einmal um Hilfe.

Content-Key: 54087348906

Url: https://administrator.de/contentid/54087348906

Printed on: February 23, 2024 at 06:02 o'clock

Member: user217
user217 Aug 21, 2023 updated at 11:44:02 (UTC)
Goto Top
Hallo,
Hast du keine interne CA? bedenke, du musst das auf allen RADIUS EAP Clients installieren! das ist kein Spaß!
auch Android usw. nix automatik per remoteinstaller oder gpo..
Member: Vilooo
Vilooo Aug 21, 2023 at 11:46:46 (UTC)
Goto Top
Doch doch. Internes Zertifikat wurde von Interner CA signiert. Nur sagen die clients natürlich das Cert ist nicht vertraut. Ist da also die einzige methode das Cert an die Geräte zu verteilen?
Member: aqui
aqui Aug 21, 2023 updated at 11:51:30 (UTC)
Goto Top
Du musst schlicht und einfach nur das Zertifikat deiner CA am Client in die "vertrauenswürdigen Stammzertifizierungsstellen" importieren (Winblows).
Noch einfacher ist es wenn du im (Windows) Client die Überprüfung des Radius Server Zertifikats einfach deaktivierst. Siehe HIER.
Member: S4ndwichmaker
S4ndwichmaker Aug 21, 2023 at 11:53:58 (UTC)
Goto Top
Du musst dir von deiner internen CA einfach ein Zertifizierungsstellenzertifikats ausstellen und dieses bringst du auf die Mobilen Geräte (gehe mal davon aus das es Handys sind) und importierst diese dann in den Zertifikatsspeicher (https://support.google.com/pixelphone/answer/2844832?hl=de) die Einstellung ist fast bei jedem Android identisch).
Member: Vilooo
Vilooo Aug 21, 2023 at 12:04:28 (UTC)
Goto Top
Windows Clients stellen leider nicht das Hauptproblem da. Hauptsächlich geht es um BYOD mit dem neusten Androids. Dort kann man die Zertifikate nicht mehr ignorieren.
Member: Vilooo
Vilooo Aug 21, 2023 at 12:05:23 (UTC)
Goto Top
Quote from @aqui:

Du musst schlicht und einfach nur das Zertifikat deiner CA am Client in die "vertrauenswürdigen Stammzertifizierungsstellen" importieren (Winblows).
Noch einfacher ist es wenn du im (Windows) Client die Überprüfung des Radius Server Zertifikats einfach deaktivierst. Siehe HIER.


Windows Clients stellen leider nicht das Hauptproblem da. Hauptsächlich geht es um BYOD mit dem neusten Androids. Dort kann man die Zertifikate nicht mehr ignorieren.
Member: user217
user217 Aug 21, 2023 at 12:15:21 (UTC)
Goto Top
Dann heißt das Zauberwort MDM, mit dem kannst du die CA Certs automatisch verteilen, ansonsten machst du PEAP dann kannst du das ca cert am client ignorieren..
Member: Vilooo
Vilooo Aug 21, 2023 at 12:18:00 (UTC)
Goto Top
Quote from @user217:

Dann heißt das Zauberwort MDM, mit dem kannst du die CA Certs automatisch verteilen, ansonsten machst du PEAP dann kannst du das ca cert am client ignorieren..

Heißt das Radius und BYOD mag sich nicht so gerne leiden?
Member: user217
Solution user217 Aug 21, 2023 at 12:41:25 (UTC)
Goto Top
Doch, die selbstmitgebrachten Android Geräte müssen einfach nur deiner CA vertrauen. Nicht mehr und nicht weniger..
Das Installieren dieser Zertifikate ist meist für DAU's zu viel deswegen bleibt das dann am Admin hängen wenn kein MDM hat und das ist je nach Anzahl ziemlich viel Dumme arbeit face-sad
Member: Celiko
Celiko Aug 21, 2023 updated at 14:12:08 (UTC)
Goto Top
Moin,

Zertifikate basieren immer auf einem Chain-Prinzip.
Einem RADIUS Zertifikat wird erst dann vertraut, wenn die abhängigen Chain-Zertifikate vertraut werden.
Namentlich sind es die RootCA und die Intermediate CAs (SubCA).

Wenn bei euren Windows Clients im certlm.msc (Computer - Zertifikatsspeicher) unter "Vertrauenswürdige Stammzertifikate" die RootCA und die SubCAs hinterlegt werden, dann vertrauen die Clients dem RADIUS Zertifikat, da Chain vertraut wird.
Bei AD-Managed devices kann per GPO die RootCA und SubCAs an die korrekte Stelle verteilt werden.

Bei Mobile Devices / BYOD wird es dann schon komplizierter, wie die Zertifikate an die Geräte draufgespielt werden können WENN es keine Mobile Device Management (MDM) Lösung gibt.
Wenn ihr wenig Geräte habt macht das per Hand. Wenn es mehr sind dann sollte, meiner Meinung nach, über ein MDM nachgedacht werden.

Wie user217 bereits erwähnte läuft es auf allen BYOD (Apple, Android, Linux...) identisch ab, da es genormt ist.

VG
Member: aqui
aqui Aug 21, 2023 at 17:30:28 (UTC)
Goto Top
wie die Zertifikate an die Geräte draufgespielt werden können
Einfach per Email Attachment oder Chat senden und doppelklicken oder per SD Card oder Airdrop (Apple) oder... Kompliziert ist sicher etwas anderes. face-wink
Gut, wenn man 100 mobile Geräte hat mit wenig Technik affinen Usern die schon an einem Doppelklick scheitern dann ist ein MDM in der Tat der bessere Weg.
Mitglied: 7907292512
7907292512 Aug 21, 2023 updated at 18:22:34 (UTC)
Goto Top
das kann ich jedoch nicht benutzen, weil die eine öffentliche Domain verlangen.
Wer sagt das man externe Domains per Split-Brain DNS nicht auch intern nutzen kann. Ich lasse mir bspw. Per certbot bei Letsencrypt eine externe Wildcard-Subdomain (mit Nameserver Eintrag auf desec.io) regelmäßig ein Cert ausstellen und verteile das intern dann per Skript auf die benötigten Stationen und unter anderem auch auf einen Reverse-Proxy der intern und extern Dienste anbietet. So braucht es dann auch kein Trust-Store Import auf den Devices und man kann bei allen Serverdiensten das selbe Cert verwenden da ja per Wildcard beliebige Namen der folgenden Ebene inkludiert sind.

Gruß siddius
Member: aqui
aqui Sep 11, 2023 at 10:10:26 (UTC)
Goto Top
Wenn es das denn nun war bitte deinen Thread hier dann auch als erledigt schliessen!