cookies77
Goto Top

Mehrere Standorte - ein Windows CA Server - jeder Standort mit eigenem Radius Server

Hallo,
wir haben eine Domäne über mehrer Standorte mit einem CA Server an einem Standort.
Bisher authentifizieren (Zertifikatbasiert) die Wireless Clients von allen Standorten auf den eine Radius Server wo auch die CA installiert ist.
Da wir doch zwischendurch mit Leitungsausfällen zwischen den Standorten zu kämpfen haben, möchte ich nun an jedem Standort min. einen eigenen Radius Server betreiben.

Nun zu der Frage:
Wenn ich bei den neuen Radius Servern das entsprechende Zertifikat auswählen möchte gegen welches Authentifiziert werden soll, habe ich auf den Servern nur das eigene Server-Zertikat zur Verfügen.
Mir wird jedoch nicht das root CA Zertifikat angezeigt, gegen welches die Clients sich authentifizieren müssen. (Ist auch klar - dieses ist ja auch nicht auf den Servern Installiert ist)
Muss oder kann ich das root CA Zertifikat exportieren und auf den Radius Servern importieren, oder muss ich hier anders vorgehen?

Content-ID: 516095

Url: https://administrator.de/forum/mehrere-standorte-ein-windows-ca-server-jeder-standort-mit-eigenem-radius-server-516095.html

Ausgedruckt am: 22.12.2024 um 21:12 Uhr

141815
Lösung 141815 16.11.2019 aktualisiert um 10:10:41 Uhr
Goto Top
Ist auch klar - dieses ist ja auch nicht auf den Servern Installiert ist
Und das ist auch gut so, das Root-Zertifikat der CA bleibt mit seinem private Key da wo es auch bleiben soll auf der CA, woanders hat das nirgendwo was zu suchen!!! Ein Root-Zertifikat hat nämlich besonderen Schutz nötig, sonst könnte dir ein Einbrecher in den Radius im schlimmsten Fall den private Key stehlen und eigene Zertifikate ausstellen. Noch besser ist es das Root der CA mit einer offline CA zu betreiben aber das ist hier jetzt nicht das Thema.

Für jeden Radius den du betreibst erstellt man ein eigenes Zertifikat das von deiner CA signiert ist und installiert das jeweils am Radius. Alternativ kannst du dir natürlich auch ein Wildcard-Zertifikat generieren und das auf allen Radius-Servern installieren, nat. mit private Key, sonst taucht das Cert ja nicht in der Auswahl auf, das sollte hoffentlich klar sein, wenn dir der Zusammenhang nicht klar ist solltest du nochmal die Grundlagen für Zertifikate durchlesen.
Cookies77
Cookies77 16.11.2019 um 10:33:26 Uhr
Goto Top
Danke Dir für die schnelle Antwort!