Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWünsch Dir wasWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Nicht vertrauenswürdiges Root Zertifikat, wie mache ich es vertrauenswürdig?

Mitglied: moppi1988

moppi1988 (Level 1) - Jetzt verbinden

05.06.2020 um 15:54 Uhr, 424 Aufrufe, 8 Kommentare

Wir betreiben eine Freeradius-Server unter Ubuntu als virtuelle Maschine. Dort habe ich ein Root-Zertifikat und ein Client-Zertifikat
erzeugt und auf einem Win10 Pro Laptop importiert. Dieser ist Teil einer Domäne.
Das CA-Zertifikat macht keine Probleme, solange sich ein Nutzer über WLAN und Radius per PEAP (Nutzername/Passwort) authentifiziert.
Aber will ich mittels TLS und Client-Zertifikat arbeiten, sagt der Radiusserver, dass das CA-Zertifikat nicht in Ordnung sei und die PC-
Ereignisanzeige meldet "Das vom Remoteserver empfangene Zertifikat wurde von einer nicht vertrauenswürdigen Zertifizierungsstelle
ausgestellt. ... Fehler bei der TLS Verbindungsanforderung".

Wie mache ich denn das CA-Zertifikat vertrauenswürdig? Es steht auf dem Client-PC im Cert-Folder
"Vertrauenswürdige Stammzertifizierungsstellen". Reicht das eigentlich nicht?
Muss ich vielleicht was in der Domäne machen?

Vielen Dank!
Mitglied: bloodstix
LÖSUNG 05.06.2020 um 16:04 Uhr
Hast du das CA-Cert auch auf dem Radius entsprechend hinterlegt? Weil: Die Meldung sagt ja das der Remote-Server das Zert nicht mag.
Bitte warten ..
Mitglied: moppi1988
05.06.2020 um 18:02 Uhr
Eigentlich schon: /etc/freeradius/3.0/certs
Bitte warten ..
Mitglied: altmetaller
05.06.2020 um 23:56 Uhr
Hallo,

und wer hat das ausgestellt? Guck' doch mal rein, dann kennst Du die Quelle?!?

Gruß,
Jörg
Bitte warten ..
Mitglied: moppi1988
06.06.2020 um 08:20 Uhr
Das ist ein selbst ausgestelltes Zertifikat
Bitte warten ..
Mitglied: 144260
06.06.2020, aktualisiert um 09:15 Uhr
Dort habe ich ein Root-Zertifikat und ein Client-Zertifikat
Blödsinn, man nutzt kein Zertifizierungstellenzertifikat für einen Radius-Server, dafür stellt man von der CA explizit ein Server-Zertifikat aus und bindet das in den Radius ein! Ein kompromitierter Radius Server würde sonst deine ganze CA kompromittieren!
Es steht auf dem Client-PC im Cert-Folder "Vertrauenswürdige Stammzertifizierungsstellen". Reicht das eigentlich nicht?
Das reicht nur wenn es im Computer-Certificate-Store und nicht im Client-Store dort abgelegt ist.
Am Client muss natürlich ein Client-Zertifikat inkl. private Key importiert werden, ein reines Zertifikat bringt es nicht.

Und wie immer bei Tests mit freeradius, diesen im Debug Mode starten (radiusd -X) dann sieht man auch was Sache ist.
Bitte warten ..
Mitglied: moppi1988
06.06.2020 um 11:19 Uhr
Ich habe auf dem Ubuntu-Radiusserver im o.a. Folder entsprechend der Dokumentation des Freeradius ein CA und ein Server-Cert hinterlegt. Das CA und ein extra generiertes Client Cert habe ich dann auf den Win10 Client kopiert und im Computer-Certificate-Store installiert.

freeradius -X hatte ich natürlich laufen. Ich bin jetzt und den nächsten Tagen nicht in der Schule, in der das läuft. Deshalb kann ich im Moment nicht die exakte Meldung wiedergeben. Ich erinnere mich aber an eine Fehlermeldung am Anfang der TLS -Verhandlung, etwa "... unknown CA cert" oder so ähnlich.

Ich bin mir nicht klar, ob das Problem auf der Windows-Seite (Client oder Domäne) oder auf der Seite des Radius liegt.
Bitte warten ..
Mitglied: 144260
LÖSUNG 06.06.2020, aktualisiert um 13:28 Uhr
Ich habe auf dem Ubuntu-Radiusserver im o.a. Folder entsprechend der Dokumentation des Freeradius ein CA und ein Server-Cert hinterlegt. Das CA und ein extra generiertes Client Cert habe ich dann auf den Win10 Client kopiert und im Computer-Certificate-Store installiert.
Warum nicht gleich so in den ersten Post schreiben?
Ich bin mir nicht klar, ob das Problem auf der Windows-Seite (Client oder Domäne) oder auf der Seite des Radius liegt.
Ganz einfach von nem Linux Device aus(z.B. mit wpa_supplicant) testen dann hast du es schwarz auf weiß. Primär muss der Client erst mal der CA vertrauen, der Radius liefert nur das Cert aus, alles andere erledigt dann die Zertifikatskette.
oder so ähnlich.
Dann lies erst nochmal ganz genau nach wenn du die Logs wieder vor dir hast...
Bitte warten ..
Ähnliche Inhalte
Verschlüsselung & Zertifikate
Root Zertifikat in Firefox importieren
gelöst Frage von DarkScabsVerschlüsselung & Zertifikate6 Kommentare

Hallo Zusammen, wir müssen bei uns ein Root-Zertifikat in den Firefox importieren, um eine sichere Verbindung zu unserem internen ...

Windows 7
Windows 7 Root Zertifikat erneuern
gelöst Frage von quiddiWindows 72 Kommentare

Hallo zusammen, beim Installieren von einem Programm(genauer: Siemens S7 TIA v15.1) erhalte ich die Fehlermeldung von Windows, dass Windows ...

Exchange Server

Exchange Zertifikat Untrusted Root im Connector

Frage von westberlinerExchange Server2 Kommentare

Hallo Zusammen, ich bin dabei parallel einen Exchange 2016 für meinen 2010 einzurichten. Ich habe einen Sendeconnector nun angelegt, ...

Windows Server

Hyper V Root-Server

gelöst Frage von snigglsWindows Server4 Kommentare

Hallo, ich werkel auf einem gemieteten Root-Server mit Windows Server 2016, drauf habe ich zu Testzwecken noch einen Hyper-V ...

Neue Wissensbeiträge
LAN, WAN, Wireless
Sophos Central Wireless v2.3.0-6 massive Probleme
Information von Voiper vor 1 TagLAN, WAN, Wireless

Hallo Zusammen, wenn Ihr Sophos Central nutzt und die neuen APX Accesspoints im Einsatz habt, vermeidet das Update der ...

Off Topic
Wuebra - tech-flare
Information von tech-flare vor 2 TagenOff Topic3 Kommentare

Servus, Nein ihr seid mich nicht los Aus Wuebra wird tech-flare. Schöne Restwoche :)

Ausbildung
Crashkurs in Computertools - das fehlende Semester
Information von NetzwerkDude vor 2 TagenAusbildung

Moin, habe eigentlich was anderes gesucht, aber zufällig diesen MIT Kurs gefunden: Sind 11 Lektionen je 1 Stunde, als ...

Windows Netzwerk
Unsichtbare DHCP Leases finden und löschen
Anleitung von binBash86 vor 3 TagenWindows Netzwerk

Wir hatten häufiger das Problem, dass ein Windows DHCP Server scheinbar keine Leases mehr frei hat, wenn man aber ...

Heiß diskutierte Inhalte
SAN, NAS, DAS
Server -VS- NAS ?
Frage von Mann-000SAN, NAS, DAS26 Kommentare

Hallo zusammen, ich habe einige Seite durchgelesen (viel altes Zeug von 2011 etc. gefunden) und frage mich immer noch, ...

Windows 10
W10 Netzlaufwerk alter SAMBA Server funktioniert nicht mehr seit Update 2004
Frage von leon123Windows 1021 Kommentare

Hallo zusammen, ich habe bei allen Windows 10 mit Update 2004 das Problem, dass Verbundene Netzlaufwerke eines älteren SAMBA ...

Windows 10
Bekannter hat auf Mal folgende Windows Meldung beim hochfahren.Wir müssen das Kennwort für ihr Microsoft Konto bestätigen
Frage von martink1Windows 1021 Kommentare

Siehe anhängendes Bild. Egal was eingegeben wird , es geht irgendwie nicht weiter . Man kommt auch aus diesen ...

Hyper-V
VHDX löschen (Datei wird verwendet)
gelöst Frage von 72-dpijunkieHyper-V21 Kommentare

Guten Morgen zusammen, ich habe ein Problemchen und weiß nicht mehr weiter. Vielleicht kann mir jemand von euch helfen? ...