pharaun
Goto Top

802.1x EAP-TLS WLAN Problem (OV Cert, NPS, Mikrotik)

Hallo zusammen,

wir haben bei einem Kunden die Authentifizierung am WLAN (Mikrotik mit CAPsMAN und RADIUS) über den Windows NPS realisiert.

Eingerichtet wurde das ganz nach folgender Anleitung: https://www.google.com/url?sa=t&rct=j&q=&esrc=s&source=w ...

Einzige Abweichung ist, dass nicht mit einer internen Zertifizierungsstelle gearbeitet wurde, sondern ein gekauftes Zertifikat verwendet wird.

Nun haben wir das Problem, das an den Endclients, welche sich am WLAN anmelden, warnungen zum Zertifikat kommen.
Das Zertifikat is korrekt, inkl. chain, eingebunden am NPS.

An iPhone sieht das dann so aus:
2022-11-15 16.56.59_neu

Unter Windows kommt eine ähnliche Frage, ob man denn wirklich mit dem WLAN verbinden möchte.

Der NPS ist auf Server2022 installiert.

Was muss gemacht werden, damit am Endclient keine Warnung kommt? Wir haben verschiedene Zertifikate durchprobiert (z.B. GeoTrust QuickSSL Premium, Digicert BasicOV) und bei allen das gleiche Bild.

Wenn ich Infos, welches zum Thema relevant sind, vergessen haben sollte, dann sagt es bitte und ich liefer diese nach.

Ich wäre für eure Hilfe wirklich dankbar!


LG

Content-Key: 4656855073

Url: https://administrator.de/contentid/4656855073

Printed on: February 24, 2024 at 17:02 o'clock

Member: Dani
Dani Nov 16, 2022 updated at 18:46:59 (UTC)
Goto Top
Moin,
entspricht das Zertfikat den Anforderungen:
Configure Certificate Templates for PEAP and EAP Requirements


Gruß.
Dani
Mitglied: 4400667902
4400667902 Nov 16, 2022 updated at 21:59:43 (UTC)
Goto Top
Zudem sollte man das hier auch beachten
Änderungen an der Zertifikatausstellung und an der zertifikatbasierten Anmeldung am Active Directory mit dem Patch für Windows Server vom 10. Mai 2022 (KB5014754)
Bei den Eierfönen muss man für 802.1x genutzte Certs per Enterprise-Profil vertrauenswürdig markieren.
Gleiches gilt für das WiFi Profil am Windows Client.
Das das Cert selbst von einer allgemein bekannten CA stammt ist hierbei egal, das Profil muss wissen welchen CAs es vertrauen darf, sonst könnte sich ja jeder beliebige mit gültigem Cert als MitM Radius dazwischen schalten.