thaddaeus93
Goto Top

Freeradius für WLAN und vertrauenswürdige Zertifikate (am iPhone)

Hallo Zusammen,

ich habe bei mir folgende Konstellation:
- Radius-Server (Freeradius) mit gekauften Zertifikaten (RapidSSL)
- Radius-Server ist öffentlich erreichbar
- In den WLAN-Access-Points ist die IP-Adresse des Radius-Servers eingetragen

Trotz aller meiner Bemühungen, wird das Zertifikat am iPhone als "nicht vertrauenswürdig" angezeigt.
Hat jemand von Euch eine Idee, wie ich es schaffen könnte, damit das Zertifikat als "grün" dargestellt wird?

MfG

Content-ID: 476452

Url: https://administrator.de/contentid/476452

Ausgedruckt am: 08.11.2024 um 00:11 Uhr

Dani
Dani 23.07.2019 um 10:57:28 Uhr
Goto Top
Moin,
Trotz aller meiner Bemühungen, wird das Zertifikat am iPhone als "nicht vertrauenswürdig" angezeigt.
wird den das SSL-Zertifikat in den gängigen Browsern wie Chrome, Firefox, Safarie als vertrauenswürdig angezeigt?
Handelt es sich um ein Named oder Wildcard-Zertifikat? Bei letzterem bin ich mir nicht sicher, ob dies unterstützt wird.
Um welches Modell von iPhone handelt es sich und ist die neuste Version von iOS installiert?


Gruß,
Dani
thaddaeus93
thaddaeus93 23.07.2019 um 11:08:35 Uhr
Goto Top
Moin Dani,

Danke für die Antwort - es sieht so aus, dass das Zertifikat (wenn ich es auf einem Webserver installiere) auch als vertrauenswürdig dargestellt wird. Es handelt sich um ein Named-Zertifikat.

Ich habe ein iPhone 8 mit iOS 12.1.4 - das ist allerdings nicht die neueste Version, das hole ich aber nach!

Gruß
Frank
img_2508
Dani
Dani 23.07.2019 um 12:04:02 Uhr
Goto Top
Moin,
Apple pfelgt sauber zeitnah immer einen KB-Artikel dazu. Scheint so, als wäre RapidSSL in der Vergangenheit negativ aufgefallen. In der Liste es nicht enthalten...


Gruß,
Dani
thaddaeus93
thaddaeus93 23.07.2019 um 13:40:28 Uhr
Goto Top
Moin Dani,

Zitat von @Dani:
Apple pfelgt sauber zeitnah immer einen KB-Artikel dazu. Scheint so, als wäre RapidSSL in der Vergangenheit negativ aufgefallen. In der Liste es nicht enthalten...

Das würde erklären, warum das Zertifikat so günstig war face-wink

Wenn ich die weiteren Details des Zertifikates anschaue, sehe ich die Organisation "DigiCert", die ist auf der Liste (von Apple) allerdings wiederum aufgeführt. Ist das Zertifikat nun trotzdem für das iPhone "glaubwürdig"?

image-1

Gruß
Frank
Dani
Dani 23.07.2019 um 13:52:58 Uhr
Goto Top
Moin,
Das würde erklären, warum das Zertifikat so günstig war
Das sagt darüber nichts aus... wir nutzen für unser Lab günstige Zertifikate von GlobalSign und bis dato keinerlei Probleme. Wichtig ist, dass man vorher einen Blick in solche Übersichten wirft. face-smile

Wenn ich die weiteren Details des Zertifikates anschaue, sehe ich die Organisation "DigiCert", die ist auf der Liste (von Apple) allerdings wiederum aufgeführt.
Achtung, es geht nicht um die Organisation sondern um das Zertifikat der jeweiligen Zertifizierungstelle. Sieht man auch gut an den Seriennummern.


Gruß,
Dani
thaddaeus93
thaddaeus93 26.07.2019 um 18:50:50 Uhr
Goto Top
Moin Dani,

ich muss das Thema trotz der hohen Außentemperaturen nochmal aufwärmen. Ich habe mir jetzt ein 30-Tage-Testzertifikat vom Anbieter "GeoTrust RSA CA 2018" bestellt und auf dem Freeradius hinterlegt.

Das Zertifikat wird auch vom iPhone korrekt erkannt, trotzdem tritt wieder die Fehlermeldung "nicht vertrauenswürdig" auf. Hast du vielleicht noch eine Idee?

image-1

Gruß
Frank
140447
Lösung 140447 26.07.2019 aktualisiert um 20:18:16 Uhr
Goto Top
Laut Apple ist das beim erstmaligen Kontakt via 802.1x und der SSID normal, erst wenn man dem Zertifikat oben sein Vertrauen als User abnickt ist es vertrauenswürdig für das OS, unabhängig davon ob es von einer gültigen CA stammt. So ähnlich wie wenn man mit einem SSH Client das erste mal mit einem System Kontakt aufnimmt, da wird man auch erst mal auf den Fingerprint hingewiesen und muss es abnicken.
Mit entsprechend gepushtem Profil und Zertifikat lässt dich das aber auch umgehen.
thaddaeus93
thaddaeus93 07.08.2019 um 09:49:00 Uhr
Goto Top
Hallo Dani, Hallo routerborad,

also scheinbar ist es tatsächlich so, dass die Zertifikate immer als "nicht vertrauenswürdig" eingestuft werden, egal ob diese gekauft sind oder woher sie auch gekauft sind.

Finde ich etwas schade, da jetzt mein ganzer Aufwand ja quasi "umsonst" war - aber ist halt so.

Danke Euch natürlich trotzdem!

Gruß
Frank
admeen
admeen 26.02.2020 aktualisiert um 20:25:28 Uhr
Goto Top
Hallo Frank, was passiert wenn du im AP statt IP-Adresse den FQDN des Servers einträgst?