9
Wie muss ein Client-Zertifikat bei Computerauthentifizierung aussehen und wo muss es unter Win10 installiert werden?
In einer Win Domäne erfolgt die Authentifizierung der WLAN-Nutzer über einen Freeradius-Server unter Ubuntu. Das funktioniert schon lange Zeit problemlos.
Für bestimmte Win10 Pro Laptops habe ich einen Nutzer samt Client-Zertifikat eingerichtet, so dass sich dieser Nutzer über WLAN mit EAP-TLS authentifiziert. Auch das funktioniert.
Nun habe ich folgende Frage:
Ich wollte probieren, ob ich auf diesen Laptops nicht statt der Nutzerauthentifizierung auf eine Computerauthentifizierung mit EAP-TLS umstellen kann. Dafür brauche ich nach meinem Verständnis aber ein neues Clientzertifikat für den Computer. Irgendwie bekomme ich das aber nicht hin:
Der PC-Name ist beispielsweise myPC. Verwende ich im WLAN Profil eine Computerauthentifizierung ohne EAP-TLS (ohne Zertifikat), dann meldet sich der PC beim Radiusserver als host/myPC.domäne.local an.
Für wen müsste ich nun also ein Clientzertifikat ausstellen:
Alle diese Zertifikate sind durch den PC bisher nicht erkannt worden. Starte ich die WLAN-Verbindung, lehnt dies der PC sofort ab: Kein Zertifikat vorhanden!
Der Radiusserver wird gar nicht erst getriggert, also im Debug-Log ist keine Aktivität verzeichnet.
Und gibt es eine speziellen Zertifikatsfolder für die Installation der Computerzertifikate ?
Oder funktioniert das bei der Computerauthentifizierung alles ganz anders?
Vielen Dank für Eure Hinweise!
Für bestimmte Win10 Pro Laptops habe ich einen Nutzer samt Client-Zertifikat eingerichtet, so dass sich dieser Nutzer über WLAN mit EAP-TLS authentifiziert. Auch das funktioniert.
Nun habe ich folgende Frage:
Ich wollte probieren, ob ich auf diesen Laptops nicht statt der Nutzerauthentifizierung auf eine Computerauthentifizierung mit EAP-TLS umstellen kann. Dafür brauche ich nach meinem Verständnis aber ein neues Clientzertifikat für den Computer. Irgendwie bekomme ich das aber nicht hin:
Der PC-Name ist beispielsweise myPC. Verwende ich im WLAN Profil eine Computerauthentifizierung ohne EAP-TLS (ohne Zertifikat), dann meldet sich der PC beim Radiusserver als host/myPC.domäne.local an.
Für wen müsste ich nun also ein Clientzertifikat ausstellen:
- myPC
- host/myPC
- host/myPC.domäne.local
Alle diese Zertifikate sind durch den PC bisher nicht erkannt worden. Starte ich die WLAN-Verbindung, lehnt dies der PC sofort ab: Kein Zertifikat vorhanden!
Der Radiusserver wird gar nicht erst getriggert, also im Debug-Log ist keine Aktivität verzeichnet.
Und gibt es eine speziellen Zertifikatsfolder für die Installation der Computerzertifikate ?
Oder funktioniert das bei der Computerauthentifizierung alles ganz anders?
Vielen Dank für Eure Hinweise!
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 579476
Url: https://administrator.de/contentid/579476
Printed on: April 19, 2024 at 08:04 o'clock
9 Comments
Latest comment
Nur mal <OT>...
.local ist keine intelligente Wahl für eine interne Root Domain. Diese ist Tabu, da weltweit von der IANA verbindlich dem mDNS Dienst zugewiesen:
https://de.wikipedia.org/wiki/Zeroconf#Multicast_DNS
Früher oder später wird das zu Problemen im Netz führen. Welche Root Domains sinnvoll sind und warum erklärt z.B. dieser Artikel:
https://www.heise.de/select/ct/2017/26/1513540412603853
</OT> Zurück zum Thema...
.local ist keine intelligente Wahl für eine interne Root Domain. Diese ist Tabu, da weltweit von der IANA verbindlich dem mDNS Dienst zugewiesen:
https://de.wikipedia.org/wiki/Zeroconf#Multicast_DNS
Früher oder später wird das zu Problemen im Netz führen. Welche Root Domains sinnvoll sind und warum erklärt z.B. dieser Artikel:
https://www.heise.de/select/ct/2017/26/1513540412603853
</OT> Zurück zum Thema...
Moin,
Gewusst wie: Anzeigen von Zertifikaten mit dem MMC-Snap-In.
Gruß,
Dani
Und gibt es eine speziellen Zertifikatsfolder für die Installation der Computerzertifikate ?
Zertifikate für diesen Zweck müssen in der Zertifikatsverwaltung des Computerkontos abgelegt werden.Gewusst wie: Anzeigen von Zertifikaten mit dem MMC-Snap-In.
Gruß,
Dani
Schon klar! Aber muss es ein spezieller Folder sein?
Moin,
Gruß,
Dani
Aber muss es ein spezieller Folder sein?
Nein, das Standardverzeichnis "Eigene Zertifikate" ist ausreichend.Gruß,
Dani
Gut! Und für welchen Namen soll ich das Zertifikat nun ausstellen?
Moin,
für den FQDN des Computers, wenn er Mitglied einer Domäne ist.
Gruß,
Dani
für den FQDN des Computers, wenn er Mitglied einer Domäne ist.
Gruß,
Dani
O.k.
Wäre also "myPC.domäne.local" in meinem Beispiel. Oder muss es mit Punkt dahinter sein? ("myPC.domäne.local.")
Sorry, ginge natürlich schneller, wenn ich einfach ausprobiere. Aber ich bin nur aller paar Tage in der Schule, um die es geht.
Wäre also "myPC.domäne.local" in meinem Beispiel. Oder muss es mit Punkt dahinter sein? ("myPC.domäne.local.")
Sorry, ginge natürlich schneller, wenn ich einfach ausprobiere. Aber ich bin nur aller paar Tage in der Schule, um die es geht.
Moin,
Gruß,
Dani
Wäre also "myPC.domäne.local" in meinem Beispiel. Oder muss es mit Punkt dahinter sein? ("myPC.domäne.local.")
Nein, kein Punkt.Gruß,
Dani
