4
IAS Radius fuer WLAN 802.1X mit PEAP (EAP-MSCHAPv2) Zertifikats-Drama
Im internet gibts geschätzte 5000 Webseiten die berichten wie man sowas einrichtet.
Probleme hab ich (gelegentlich!) noch mit dem Serverzertifikat für den IAS.
Ich hab laufende Systeme installiert - gelegentlich gibts bei Neuinstallationen jedoch Zertifikatsfehler.
Ich denke fast alles gelesen zu haben zu dem Thema - meine Fragen lauten ganz konkret:
- frisst IAS nur 1024bit Zertifikate oder geht auch 2048bit?
- Muss die CA Zertifizierungsstelle wenn man es mit Windows Server 2003 macht eine "Enterprise Edition" sein um passende IAS Certifikate für EAP zu erstellen?
- Am liebsten würd ich ruckzuck ne eigene CA mit openssl machen und dort das keypair für den IAS generieren und den Cert-Request signieren und dann private key & Zertifikat in den IAS importieren.
Kann mir einer die 4-5 openssl Befehle posten damit ein PASSENDES Zertifikat für den IAS herausspringt?
Danke
Probleme hab ich (gelegentlich!) noch mit dem Serverzertifikat für den IAS.
Ich hab laufende Systeme installiert - gelegentlich gibts bei Neuinstallationen jedoch Zertifikatsfehler.
Ich denke fast alles gelesen zu haben zu dem Thema - meine Fragen lauten ganz konkret:
- frisst IAS nur 1024bit Zertifikate oder geht auch 2048bit?
- Muss die CA Zertifizierungsstelle wenn man es mit Windows Server 2003 macht eine "Enterprise Edition" sein um passende IAS Certifikate für EAP zu erstellen?
- Am liebsten würd ich ruckzuck ne eigene CA mit openssl machen und dort das keypair für den IAS generieren und den Cert-Request signieren und dann private key & Zertifikat in den IAS importieren.
Kann mir einer die 4-5 openssl Befehle posten damit ein PASSENDES Zertifikat für den IAS herausspringt?
Danke
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 91892
Url: https://administrator.de/contentid/91892
Ausgedruckt am: 16.11.2024 um 01:11 Uhr
4 Kommentare
Neuester Kommentar
http://davidhajek.blogspot.com/2007/10/generating-windows-ias-peap-ldap ...
Na, geht scheinbar doch mit openssl ein Zertifikat fuer den IAS zu brutzeln.
Morgen mal testen ob das auch in der Praxis fun###iert...
Na, geht scheinbar doch mit openssl ein Zertifikat fuer den IAS zu brutzeln.
Morgen mal testen ob das auch in der Praxis fun###iert...
Mensch - gibts hier keinen der jemals mit CA und IAS gearbeitet hat?
Menno.
Jedenfalls siehts so aus - die Microsaft CA muss als "Enteprise CA" auf einem DC installiert werden.
Als Standalone CA kann man es zwar auch betreiben - es spuckt jedoch keine Certificates aus die der IAS benutzen könnte! Man kriegt zwar super Zertifikate - nur funktionierts einfach nicht!
Man muss also entweder eine _Enterprise CA auf dem DC installieren, oder man installiert nen Test-DC z. B. in der VM wo man dann die CA installiert (vorher IIS installieren!) und dann kann man damit Certificates erzeugen, die man für den produktiven IAS, der in der Produktivdomäne ist, nutzen kann.
Das Root CA Zertifikat der "test-domäne" muss natürlich exportiert werden und auf dem IAS in den Certstore "Vertrauenswürdige Zertifizerungsstellen" oder so ähnlich kopiert werden sonst wirds Zertifikat nicht als vertrauenswürdig eingestuft.
Ausserdem muss das ROOT CA Zertifikat auf die Clients ausgerollt werden - und zwar beim Local Computer ... Certstore und auch beim Current User Certstore für vertrauenswürdige CAs da ja die Clients biem WLAN Zugriff das IAS Serverzertifikat auf Vertrauenswürdigkeit prüfen sollen - und dafür brauchen sie halt das Root CA Zertifikat der CA die das IAS zertifikat signiert hat.
Menno.
Jedenfalls siehts so aus - die Microsaft CA muss als "Enteprise CA" auf einem DC installiert werden.
Als Standalone CA kann man es zwar auch betreiben - es spuckt jedoch keine Certificates aus die der IAS benutzen könnte! Man kriegt zwar super Zertifikate - nur funktionierts einfach nicht!
Man muss also entweder eine _Enterprise CA auf dem DC installieren, oder man installiert nen Test-DC z. B. in der VM wo man dann die CA installiert (vorher IIS installieren!) und dann kann man damit Certificates erzeugen, die man für den produktiven IAS, der in der Produktivdomäne ist, nutzen kann.
Das Root CA Zertifikat der "test-domäne" muss natürlich exportiert werden und auf dem IAS in den Certstore "Vertrauenswürdige Zertifizerungsstellen" oder so ähnlich kopiert werden sonst wirds Zertifikat nicht als vertrauenswürdig eingestuft.
Ausserdem muss das ROOT CA Zertifikat auf die Clients ausgerollt werden - und zwar beim Local Computer ... Certstore und auch beim Current User Certstore für vertrauenswürdige CAs da ja die Clients biem WLAN Zugriff das IAS Serverzertifikat auf Vertrauenswürdigkeit prüfen sollen - und dafür brauchen sie halt das Root CA Zertifikat der CA die das IAS zertifikat signiert hat.
Hier auch nochmal die Lösung des Problems!
Ich habe eine Doku geschrieben, wie man mittels openssl Zertifikate generiert, die für eine Authentifizierung mittels PEAP über Microsoft IAS genutzt werden können.
Hier der Link zur Doku:
http://rapidshare.com/files/358808958/Erstellen_von_Zertifikaten_f__r_I ...
Bei der Erstellung der Doku waren die Informationen auf folgender Website äußerst hilfreich:
http://www.cs.bham.ac.uk/~smp/resources/p ...
Natürlich kann man die Authentifizierung mittels Zertifikaten auch mit dem Enterprise Server von Microsoft realisieren. Das ist bedeutend einfacher.
Wie es funktioniert ist hier gut erklärt:
http://www.microsoft.com/germany/technet/ ...
So, das sollte jedem helfen, der mal mit dem Thema Authentifizierung mittels Zertifikaten unter Windows in Berührung kommt.
Bei Fragen oder Verbesserungsvorschlägen einfach melden.
Ich habe eine Doku geschrieben, wie man mittels openssl Zertifikate generiert, die für eine Authentifizierung mittels PEAP über Microsoft IAS genutzt werden können.
Hier der Link zur Doku:
http://rapidshare.com/files/358808958/Erstellen_von_Zertifikaten_f__r_I ...
Bei der Erstellung der Doku waren die Informationen auf folgender Website äußerst hilfreich:
http://www.cs.bham.ac.uk/~smp/resources/p ...
Natürlich kann man die Authentifizierung mittels Zertifikaten auch mit dem Enterprise Server von Microsoft realisieren. Das ist bedeutend einfacher.
Wie es funktioniert ist hier gut erklärt:
http://www.microsoft.com/germany/technet/ ...
So, das sollte jedem helfen, der mal mit dem Thema Authentifizierung mittels Zertifikaten unter Windows in Berührung kommt.
Bei Fragen oder Verbesserungsvorschlägen einfach melden.
Geil, danke für die tolle Anleitung!!!!!
Gruss
Gruss
