802.1x EAP-TLS WLAN Problem (AD-CA, NPS)
Hi zusammen,
ich habe die schöne Aufgabe unser WLAN mittels EAP-TLS abzusichern.
Also ich habe eine Domänenzertifikatsdienststelle und ein NPS aufgesetzt.
Zertifikat für den NPS wurde erfolgreich ausgestellt.
PEAP (Authentifizierung nur mit serverseitigem Zertifikat und User/PW Authentifizierung auf Client-Seite) funktioniert.
Also kann man schonmal davon ausgehen, das die Grundinfrastruktur funktioniert:
- CA stellt Zertifikate aus
- im NPS sind die RADIUS Clients und Verbindungsanforderungsrichtlinien auch funktionstüchtig, da PEAP ja funktioniert.
Gefordert ist aber EAP-TLS (Server + Client Zertifikate) und hier weiss ich nichtmehr weiter.
Folgende Netzwerkrichtlinie auf dem NPS ist eingerichtet:
Athentifizierungsmethode:
Folgende Zertifikatsvorlagen für Benutzer und Computer wurden im AD erstellt, auf der CA bereitgestellt, und an den testclient ausgestellt via Autoenrollment, auf Gruppenpasis:
Computervorlage:
Benutzervorlage:
Auf Windows 10 Client ist folgendes eingerichtet:
Computerzertifikat:
Benutzerzertifikat:
Ich habe das Benutzerzertifikat auch noch vom AD-Benutzerobjekt in Eigene Zertifikate kopiert, hat aber auch nichts geholfen.
WLAN-Profil eingerichtet:
Habe auch schon Identität des Server mittels Zertifikatprüfung überprüfen angehakt, und meine inter CA ausgewhält.
Habe auch schon "Andere Benutzernamen für die Verbindung verwenden" angehakt.
Hier habe ich schon Benutzer oder Computer, nur Benutzer, und nur Computer ausgewählt.
Wenn ich Computerauthentifizierung auswähle, und mich micht dem WLAN verbinden möchte erhalte ich folgendes:
Auf dem NPS wird folgendes im Eriegnisprotokoll angezeigt:
Wenn ich aber "Benutzer- oder Computerauthentifizierung," oder nur "Benutzerauthentifizierung" auswähle, erhalte ich beim WLAN verbinden folgendes:
Und das komische ist, in diesem Fall erhalte ich nichtmal einen Eintrag im NPS Ereignisprotokoll!??
Komisch finde ich dass bei Verwendung der COmputerauthentifizierung der NPS Server protokolliert dass keine Anforderung mit einer Netzwerkrichtlinie übereinstimmt.
Wenn ich auf dem NPS einfach nur die Netzwerkrichtlinie für EAP-TLS abschalte und PEAP aktiviere, und mich auf dem Client verbinde mit User/PW ...funktioniert alles.
BTW:Ist das übrigens normal, dass nicht nicht beide Richtlinien (1. EAP-TLS und 2. PEAP) aktiv lassen kann? Wenn ich beide in dieser Reihenfolge aktiv habe und auf dem Client ein WLAN-Profil für PEAP erstelle, welches vorher (bei deaktivierter EAP-TLS richtlinie) ja funktioniert hat, scheitert das ganze trotzdem, weil angeblich die EAP-TLS schon scheitert. Aber gerade desshalb soll doch die zweite PEAP Richtnlinie ausprobiert werden, oder sehe ich das falsch?
So, ich hoffe ich konnte es halbwegs nachvollziehbar schildern, und hoffe es macht sich auch jemand die Mühe, sich da reinzufuchsen und mir vielleicht einen Denkanstoß geben kann!
Besten Dank!
glad0s
ich habe die schöne Aufgabe unser WLAN mittels EAP-TLS abzusichern.
Also ich habe eine Domänenzertifikatsdienststelle und ein NPS aufgesetzt.
Zertifikat für den NPS wurde erfolgreich ausgestellt.
PEAP (Authentifizierung nur mit serverseitigem Zertifikat und User/PW Authentifizierung auf Client-Seite) funktioniert.
Also kann man schonmal davon ausgehen, das die Grundinfrastruktur funktioniert:
- CA stellt Zertifikate aus
- im NPS sind die RADIUS Clients und Verbindungsanforderungsrichtlinien auch funktionstüchtig, da PEAP ja funktioniert.
Gefordert ist aber EAP-TLS (Server + Client Zertifikate) und hier weiss ich nichtmehr weiter.
Folgende Netzwerkrichtlinie auf dem NPS ist eingerichtet:
Athentifizierungsmethode:
Folgende Zertifikatsvorlagen für Benutzer und Computer wurden im AD erstellt, auf der CA bereitgestellt, und an den testclient ausgestellt via Autoenrollment, auf Gruppenpasis:
Computervorlage:
Benutzervorlage:
Auf Windows 10 Client ist folgendes eingerichtet:
Computerzertifikat:
Benutzerzertifikat:
WLAN-Profil eingerichtet:
Habe auch schon "Andere Benutzernamen für die Verbindung verwenden" angehakt.
Wenn ich Computerauthentifizierung auswähle, und mich micht dem WLAN verbinden möchte erhalte ich folgendes:
Auf dem NPS wird folgendes im Eriegnisprotokoll angezeigt:
Wenn ich aber "Benutzer- oder Computerauthentifizierung," oder nur "Benutzerauthentifizierung" auswähle, erhalte ich beim WLAN verbinden folgendes:
Und das komische ist, in diesem Fall erhalte ich nichtmal einen Eintrag im NPS Ereignisprotokoll!??
Komisch finde ich dass bei Verwendung der COmputerauthentifizierung der NPS Server protokolliert dass keine Anforderung mit einer Netzwerkrichtlinie übereinstimmt.
Wenn ich auf dem NPS einfach nur die Netzwerkrichtlinie für EAP-TLS abschalte und PEAP aktiviere, und mich auf dem Client verbinde mit User/PW ...funktioniert alles.
BTW:Ist das übrigens normal, dass nicht nicht beide Richtlinien (1. EAP-TLS und 2. PEAP) aktiv lassen kann? Wenn ich beide in dieser Reihenfolge aktiv habe und auf dem Client ein WLAN-Profil für PEAP erstelle, welches vorher (bei deaktivierter EAP-TLS richtlinie) ja funktioniert hat, scheitert das ganze trotzdem, weil angeblich die EAP-TLS schon scheitert. Aber gerade desshalb soll doch die zweite PEAP Richtnlinie ausprobiert werden, oder sehe ich das falsch?
So, ich hoffe ich konnte es halbwegs nachvollziehbar schildern, und hoffe es macht sich auch jemand die Mühe, sich da reinzufuchsen und mir vielleicht einen Denkanstoß geben kann!
Besten Dank!
glad0s
Kommentieren
Teilen
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 561066
Url: https://administrator.de/forum/802-1x-eap-tls-wlan-problem-ad-ca-nps-561066.html
Ausgedruckt am: 29.04.2025 um 11:04 Uhr
5 Kommentare
Neuester Kommentar
Hi,
lustig.
Ich habe gestern genau die gleiche Geschichte eingerichtet und saß auch ein bisschen länger dran.
Aber zuerst!!
Was für ein Wlan Hersteller?
Auf dem Wlan Controller ist eine Radius Authentifizierung eingerichtet nehme ich an, genauso wie auf dem NPS?
Was hast du unter Verbindungsanforderungsrichtlinien eingetragen?
Haben deine Zertifikate auch den Zweck, Clientauthentifizierung?
Gruß
lustig.
Ich habe gestern genau die gleiche Geschichte eingerichtet und saß auch ein bisschen länger dran.
Aber zuerst!!
Was für ein Wlan Hersteller?
Auf dem Wlan Controller ist eine Radius Authentifizierung eingerichtet nehme ich an, genauso wie auf dem NPS?
Was hast du unter Verbindungsanforderungsrichtlinien eingetragen?
Haben deine Zertifikate auch den Zweck, Clientauthentifizierung?
Gruß
Hi canlot,
es sind Aruba APs, die über den VVirtualControler "Aruba Instant" laufen. Also ein Master AP, und die anderen APs schnappen sich dessen config.
Auf den APs ist der NPS als RADIUS Auth-Server eingerichtet.
Auf dem NPS sind die APs als RADIUS-Clients aufgeführt.
Verbindungsanforderungsrichtlinie ist einfach nur auf NAS-Porttyp Dratlos (sonstige) OR Drathlos (IEEE 802.11)
Der Auth-Prozess funktioniert ja auch mit PEAP.
Genau, die Zertifikate haben auch die "Clientauthentifizierung" als Zweck enthalten.
Ich bin jetzt auch ein Schritt weiter gekommen:
Mich hat es einfach nicht los gelassen, warum zumindest wenn der Client sich mit Computerauthentifizierung anmeldet, auf dem Server im Log nur steht das keine Netzwerkrichtlinie zutrifft. Irgendwie muss man das ja schon ernst nehmen.
Meine Netzwerkrichtlinie beinhaltet diese Bedinungen:
-NAS-Porttyp Dratlos sonstige und IEEE802.11
-Windowsgruppe (AD Gruppe der zugelassenen User die auch das Zert erhalten)
-Computergruppe (AD Gruppe der zugelassen computer die auch das Zert erhalten)
Hier ist glaub mein großer Denkfehler.
Wenn ich das aus meinen Tests nun richtig interpetiere, dann kann diese Richtlinie nicht funktionieren!
Die Authentifizierung müsste hier sowohl Computer als auch User sein, um der Richtlinie zu entsprechen aber eine Authentifizierung kommt ja nur entweder vom User, oder vom Computer.
Habe jetzt nur "NAS-Porttyp" als Bedinung getestet, und siehe da, wenn der Client ein WLAN-Profil hat welches sich rein als "Computerauthentifizierung" anmeldet, funktioniert es! ...Habe auch die Computergruppe wieder zur Bedienung gepackt, und es geht immernoch.
Wollte jetzt noch Benutzerautgentifizierung probieren, also die Computergruppe wieder aus den Bedienungen rausgenommen, aber hier erscheint beim Client immernoch "kein Zertifikat" wenn man sich am WLAN anmeldet. Auch erscheint diese Prozess nicht im NPS Ereignislog.
Ich nehem hier mal schwer an, dass das WLAN-Profil (wenn es EAP-TLS konfiguriert ist und als Benutzerauthentifizierung) natürlich auf dem Client nach dem Zertifikat such und wenn es nichts passendes findet, gibts ja auch nichts, was man dem NPS geben könnte.
Trotzdem komisch, denn ich habe das Zertifikat des Benutzers ja definitiv im Speicher.
es sind Aruba APs, die über den VVirtualControler "Aruba Instant" laufen. Also ein Master AP, und die anderen APs schnappen sich dessen config.
Auf den APs ist der NPS als RADIUS Auth-Server eingerichtet.
Auf dem NPS sind die APs als RADIUS-Clients aufgeführt.
Verbindungsanforderungsrichtlinie ist einfach nur auf NAS-Porttyp Dratlos (sonstige) OR Drathlos (IEEE 802.11)
Der Auth-Prozess funktioniert ja auch mit PEAP.
Genau, die Zertifikate haben auch die "Clientauthentifizierung" als Zweck enthalten.
Ich bin jetzt auch ein Schritt weiter gekommen:
Mich hat es einfach nicht los gelassen, warum zumindest wenn der Client sich mit Computerauthentifizierung anmeldet, auf dem Server im Log nur steht das keine Netzwerkrichtlinie zutrifft. Irgendwie muss man das ja schon ernst nehmen.
Meine Netzwerkrichtlinie beinhaltet diese Bedinungen:
-NAS-Porttyp Dratlos sonstige und IEEE802.11
-Windowsgruppe (AD Gruppe der zugelassenen User die auch das Zert erhalten)
-Computergruppe (AD Gruppe der zugelassen computer die auch das Zert erhalten)
Hier ist glaub mein großer Denkfehler.
Wenn ich das aus meinen Tests nun richtig interpetiere, dann kann diese Richtlinie nicht funktionieren!
Die Authentifizierung müsste hier sowohl Computer als auch User sein, um der Richtlinie zu entsprechen aber eine Authentifizierung kommt ja nur entweder vom User, oder vom Computer.
Habe jetzt nur "NAS-Porttyp" als Bedinung getestet, und siehe da, wenn der Client ein WLAN-Profil hat welches sich rein als "Computerauthentifizierung" anmeldet, funktioniert es! ...Habe auch die Computergruppe wieder zur Bedienung gepackt, und es geht immernoch.
Wollte jetzt noch Benutzerautgentifizierung probieren, also die Computergruppe wieder aus den Bedienungen rausgenommen, aber hier erscheint beim Client immernoch "kein Zertifikat" wenn man sich am WLAN anmeldet. Auch erscheint diese Prozess nicht im NPS Ereignislog.
Ich nehem hier mal schwer an, dass das WLAN-Profil (wenn es EAP-TLS konfiguriert ist und als Benutzerauthentifizierung) natürlich auf dem Client nach dem Zertifikat such und wenn es nichts passendes findet, gibts ja auch nichts, was man dem NPS geben könnte.
Trotzdem komisch, denn ich habe das Zertifikat des Benutzers ja definitiv im Speicher.
Oder das Zertifikat ist nicht das richtige.
Ich weiß nicht, aber du könntest mal am Benutzerzertifikat, den DNS-Namen statt UPN zu nehmen.
Ich weiß nicht, aber du könntest mal am Benutzerzertifikat, den DNS-Namen statt UPN zu nehmen.
Hab mich bei der Zertifikatsvorlage nur an Microsofts Anforderungen gehalten:
https://docs.microsoft.com/de-de/windows-server/networking/technologies/ ...
https://docs.microsoft.com/de-de/windows-server/networking/technologies/ ...
