spacyfreak
Goto Top

IAS Radius fuer WLAN 802.1X mit PEAP (EAP-MSCHAPv2) Zertifikats-Drama

Im internet gibts geschätzte 5000 Webseiten die berichten wie man sowas einrichtet.
Probleme hab ich (gelegentlich!) noch mit dem Serverzertifikat für den IAS.
Ich hab laufende Systeme installiert - gelegentlich gibts bei Neuinstallationen jedoch Zertifikatsfehler.
Ich denke fast alles gelesen zu haben zu dem Thema - meine Fragen lauten ganz konkret:

- frisst IAS nur 1024bit Zertifikate oder geht auch 2048bit?
- Muss die CA Zertifizierungsstelle wenn man es mit Windows Server 2003 macht eine "Enterprise Edition" sein um passende IAS Certifikate für EAP zu erstellen?

- Am liebsten würd ich ruckzuck ne eigene CA mit openssl machen und dort das keypair für den IAS generieren und den Cert-Request signieren und dann private key & Zertifikat in den IAS importieren.
Kann mir einer die 4-5 openssl Befehle posten damit ein PASSENDES Zertifikat für den IAS herausspringt?

Danke

Content-Key: 91892

Url: https://administrator.de/contentid/91892

Printed on: April 22, 2024 at 16:04 o'clock

Member: spacyfreak
spacyfreak Jul 13, 2008 at 12:53:29 (UTC)
Goto Top
http://davidhajek.blogspot.com/2007/10/generating-windows-ias-peap-ldap ...

Na, geht scheinbar doch mit openssl ein Zertifikat fuer den IAS zu brutzeln.
Morgen mal testen ob das auch in der Praxis fun###iert...
Member: spacyfreak
spacyfreak Jul 15, 2008 at 19:33:34 (UTC)
Goto Top
Mensch - gibts hier keinen der jemals mit CA und IAS gearbeitet hat?
Menno.

Jedenfalls siehts so aus - die Microsaft CA muss als "Enteprise CA" auf einem DC installiert werden.
Als Standalone CA kann man es zwar auch betreiben - es spuckt jedoch keine Certificates aus die der IAS benutzen könnte! Man kriegt zwar super Zertifikate - nur funktionierts einfach nicht!

Man muss also entweder eine _Enterprise CA auf dem DC installieren, oder man installiert nen Test-DC z. B. in der VM wo man dann die CA installiert (vorher IIS installieren!) und dann kann man damit Certificates erzeugen, die man für den produktiven IAS, der in der Produktivdomäne ist, nutzen kann.
Das Root CA Zertifikat der "test-domäne" muss natürlich exportiert werden und auf dem IAS in den Certstore "Vertrauenswürdige Zertifizerungsstellen" oder so ähnlich kopiert werden sonst wirds Zertifikat nicht als vertrauenswürdig eingestuft.

Ausserdem muss das ROOT CA Zertifikat auf die Clients ausgerollt werden - und zwar beim Local Computer ... Certstore und auch beim Current User Certstore für vertrauenswürdige CAs da ja die Clients biem WLAN Zugriff das IAS Serverzertifikat auf Vertrauenswürdigkeit prüfen sollen - und dafür brauchen sie halt das Root CA Zertifikat der CA die das IAS zertifikat signiert hat.
Mitglied: 87794
87794 Feb 24, 2010 at 14:46:34 (UTC)
Goto Top
Hier auch nochmal die Lösung des Problems!

Ich habe eine Doku geschrieben, wie man mittels openssl Zertifikate generiert, die für eine Authentifizierung mittels PEAP über Microsoft IAS genutzt werden können.

Hier der Link zur Doku:
http://rapidshare.com/files/358808958/Erstellen_von_Zertifikaten_f__r_I ...

Bei der Erstellung der Doku waren die Informationen auf folgender Website äußerst hilfreich:
http://www.cs.bham.ac.uk/~smp/resources/p ...

Natürlich kann man die Authentifizierung mittels Zertifikaten auch mit dem Enterprise Server von Microsoft realisieren. Das ist bedeutend einfacher.

Wie es funktioniert ist hier gut erklärt:
http://www.microsoft.com/germany/technet/ ...

So, das sollte jedem helfen, der mal mit dem Thema Authentifizierung mittels Zertifikaten unter Windows in Berührung kommt.

Bei Fragen oder Verbesserungsvorschlägen einfach melden.
Member: spacyfreak
spacyfreak Mar 08, 2010 at 12:51:22 (UTC)
Goto Top
Geil, danke für die tolle Anleitung!!!!!

Gruss