3
Computer Clientzertifikat für NPS EAP-TLS: Hostname nicht überprüft?
Hi zsuammen,
ich habe mein WLAN mittels EAP-TLS und Computer Client Zertifikaten und einem NPS abgesichert. das Funktioniert auch problemlos mittleweile.
Ich habe jetzt zum test mal auf einem Client A das Computer Zertifikat inkl. Privat-Key. exportiert und auf einem anderen Client B importiert.
Auch der Client B, mit einem anderen Hostname, kann sich jetzt per EAP-TLS authentifizieren!?
Ich dachte die Echtheit der Zertifikate/Clients wird überprüft und muss zusammen passen?
kann mir das freundlicherweise jemand erklären?
Beste Grüße
GlaD0S
ich habe mein WLAN mittels EAP-TLS und Computer Client Zertifikaten und einem NPS abgesichert. das Funktioniert auch problemlos mittleweile.
Ich habe jetzt zum test mal auf einem Client A das Computer Zertifikat inkl. Privat-Key. exportiert und auf einem anderen Client B importiert.
Auch der Client B, mit einem anderen Hostname, kann sich jetzt per EAP-TLS authentifizieren!?
Ich dachte die Echtheit der Zertifikate/Clients wird überprüft und muss zusammen passen?
kann mir das freundlicherweise jemand erklären?
Beste Grüße
GlaD0S
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 566163
Url: https://administrator.de/contentid/566163
Printed on: April 26, 2024 at 14:04 o'clock
3 Comments
Latest comment
Ich unterstelle dir das du eine CA in deiner AD betreibst und weil die Clients bereits member sind bekommen die das automatisch.
Ich mache das auch so, kann dir empfehlen zusätzlich per MAC Adresse zu autorisieren.
Probier einfach irgendein Handy aus und du wirst sehen das es nicht klappt ehe du das cert importierst oder die cert Prüfung überspringst.
Ich mache das auch so, kann dir empfehlen zusätzlich per MAC Adresse zu autorisieren.
Probier einfach irgendein Handy aus und du wirst sehen das es nicht klappt ehe du das cert importierst oder die cert Prüfung überspringst.
Hi user217,
sorry für die lückenhafte Info.
Du hast Recht, ich habe eine unternehmsintegrierte CA in meinem AD. (Zertifikatdienststelle: Server 2019 DC).
Dann habe ich eine neue Computer Clientzertifkat-Vorlage erzeugt die ich per Auto Enrollment verteile.
Client A bekommt das Zertifikat automatisch, Client B ist nicht berechtigt, besitzt also kein eigenes Zertifikat. Nach dem Import des "fremden" Zertifikats geht die EAP-TLS Authentifizierung aber problemlos und im NPS Log sehe ich dass Client B tatsächlich mit dem Zertifikat von Client A die Authentifizierung durchführt. Hostname von Client B ist anders als der Hostname der im verwendeten Zertifikat zur Authentifizierung steht.
sorry für die lückenhafte Info.
Du hast Recht, ich habe eine unternehmsintegrierte CA in meinem AD. (Zertifikatdienststelle: Server 2019 DC).
Dann habe ich eine neue Computer Clientzertifkat-Vorlage erzeugt die ich per Auto Enrollment verteile.
Client A bekommt das Zertifikat automatisch, Client B ist nicht berechtigt, besitzt also kein eigenes Zertifikat. Nach dem Import des "fremden" Zertifikats geht die EAP-TLS Authentifizierung aber problemlos und im NPS Log sehe ich dass Client B tatsächlich mit dem Zertifikat von Client A die Authentifizierung durchführt. Hostname von Client B ist anders als der Hostname der im verwendeten Zertifikat zur Authentifizierung steht.
Sonst kein Tipp für mich?
kA, vielleicht is mein Verständnis von Zertifikaten oder NPS einfach noch nicht so groß und das ist ein ganz normales verhalten!?
Aber würde mich freuen, wenn mir da jemand auf die Sprünge helfen könnte.
Ich dachte bisher immer dass mit den Zertifikaten auch immer überprüft wird, ob der Client-Hostname bzw Client-Benutzername auch wirklich zum Namen im Zertifikat passt!?
Oder besteht die Validierung wirklich rein aus dem priv.-Key, und mit dem exportieren kann jeder der ihn bekommt, sich damit valide authentifizieren? -
kA, vielleicht is mein Verständnis von Zertifikaten oder NPS einfach noch nicht so groß und das ist ein ganz normales verhalten!?
Aber würde mich freuen, wenn mir da jemand auf die Sprünge helfen könnte.
Ich dachte bisher immer dass mit den Zertifikaten auch immer überprüft wird, ob der Client-Hostname bzw Client-Benutzername auch wirklich zum Namen im Zertifikat passt!?
Oder besteht die Validierung wirklich rein aus dem priv.-Key, und mit dem exportieren kann jeder der ihn bekommt, sich damit valide authentifizieren? -