123106
Oct 05, 2020, updated at Oct 07, 2020 (UTC)
1299
9
0
DOT1X-Zertifizierung vor dem Windows-Start
Hallo,
beim Ablauf einer DOT1X-Zertifizierung habe ich ein Verständnisproblem: Unsere Windows-Clients sind per GPO mit Client-Zertifikaten versehen (die ich mir im lokalen Zertifikatsspeicher anzeigen lassen kann). Die Authentifizierung an der Cisco ISE funktioniert auch einwandfrei, wie ich beim Einschalten eines Clients am Switchport sehe (Befehl "show authentication session interface..."). Es dauert zwei bis drei Sekunden, dann meldet der Switch-Port eine erfolgreiche Authentifizierung. Zu diesem Zeitpunkt jedoch ist der soeben eingeschaltete PC vielleicht gerade mal aus dem Prozess des Initialisierens heraus und kann eigentlich noch kein Zertifikat aus dem Windows-Zertifikatsspeicher herausgegeben haben.
Meine Frage wäre also: Wie gelangt ein Zertifikat aus dem Windows-Zertifikatsspeicher zum Authentifizierungs-Server, bevor Windows gestartet ist?
Ist mit Sicherheit ein Denkfehler meinerseits - wer kann Licht ins Dunkel bringen?
Vorab vielen Dank und Gruß
Stefano
beim Ablauf einer DOT1X-Zertifizierung habe ich ein Verständnisproblem: Unsere Windows-Clients sind per GPO mit Client-Zertifikaten versehen (die ich mir im lokalen Zertifikatsspeicher anzeigen lassen kann). Die Authentifizierung an der Cisco ISE funktioniert auch einwandfrei, wie ich beim Einschalten eines Clients am Switchport sehe (Befehl "show authentication session interface..."). Es dauert zwei bis drei Sekunden, dann meldet der Switch-Port eine erfolgreiche Authentifizierung. Zu diesem Zeitpunkt jedoch ist der soeben eingeschaltete PC vielleicht gerade mal aus dem Prozess des Initialisierens heraus und kann eigentlich noch kein Zertifikat aus dem Windows-Zertifikatsspeicher herausgegeben haben.
Meine Frage wäre also: Wie gelangt ein Zertifikat aus dem Windows-Zertifikatsspeicher zum Authentifizierungs-Server, bevor Windows gestartet ist?
Ist mit Sicherheit ein Denkfehler meinerseits - wer kann Licht ins Dunkel bringen?
Vorab vielen Dank und Gruß
Stefano
Please also mark the comments that contributed to the solution of the article
Content-Key: 610365
Url: https://administrator.de/contentid/610365
Printed on: April 24, 2024 at 20:04 o'clock
9 Comments
Latest comment
Der Domänenadmin hat vorausschauend agiert und die richtige Gruppenrichtlinie gesetzt:
https://www.heise.de/ct/artikel/Windows-Rechner-zu-schnell-fuer-die-Doma ...
https://www.heise.de/ct/artikel/Windows-Rechner-zu-schnell-fuer-die-Doma ...
und kann eigentlich noch kein Zertifikat aus dem Windows-Zertifikatsspeicher herausgegeben haben.
Woher stammt deine Behauptung? Hast du im Bootprozess schwarz auf weiß gesehen welche DLLs schon geladen wurden, oder ist das nur wieder eine "Vermutung"? Ist es ein Computer oder User-Zertifikat? Auf Computer-Zertifikate hat Windows schon sehr früh im Bootvorgang Zugriff und kann damit die Netzwerkschnittstelle schon sehr zeitig freischalten, noch bevor der Login-Screen überhaupt erst erscheint.
Statt mal zu messen und sich parallel zum aktivierten Dot1x Debugging auf dem Cisco Switch auch den Radius Requests des Switches mit dem Client Port mal mit dem Wireshark anzusehen kann man natürlich auch ein Administrator Forum fragen.
Ein Debug und der Wireshark Trace hätten es sofort wasserdicht beantwortet.... Vermutlich ist Winblows schneller als der TO denkt.
Ein Debug und der Wireshark Trace hätten es sofort wasserdicht beantwortet.... Vermutlich ist Winblows schneller als der TO denkt.
Ah OK verstehe , Troll der keine Antwort will, auch nicht schlecht, na denn Prost mit dem Gesöff aus Duseldorf.