8
Nicht vertrauenswürdiges Root Zertifikat, wie mache ich es vertrauenswürdig?
Wir betreiben eine Freeradius-Server unter Ubuntu als virtuelle Maschine. Dort habe ich ein Root-Zertifikat und ein Client-Zertifikat
erzeugt und auf einem Win10 Pro Laptop importiert. Dieser ist Teil einer Domäne.
Das CA-Zertifikat macht keine Probleme, solange sich ein Nutzer über WLAN und Radius per PEAP (Nutzername/Passwort) authentifiziert.
Aber will ich mittels TLS und Client-Zertifikat arbeiten, sagt der Radiusserver, dass das CA-Zertifikat nicht in Ordnung sei und die PC-
Ereignisanzeige meldet "Das vom Remoteserver empfangene Zertifikat wurde von einer nicht vertrauenswürdigen Zertifizierungsstelle
ausgestellt. ... Fehler bei der TLS Verbindungsanforderung".
Wie mache ich denn das CA-Zertifikat vertrauenswürdig? Es steht auf dem Client-PC im Cert-Folder
"Vertrauenswürdige Stammzertifizierungsstellen". Reicht das eigentlich nicht?
Muss ich vielleicht was in der Domäne machen?
Vielen Dank!
erzeugt und auf einem Win10 Pro Laptop importiert. Dieser ist Teil einer Domäne.
Das CA-Zertifikat macht keine Probleme, solange sich ein Nutzer über WLAN und Radius per PEAP (Nutzername/Passwort) authentifiziert.
Aber will ich mittels TLS und Client-Zertifikat arbeiten, sagt der Radiusserver, dass das CA-Zertifikat nicht in Ordnung sei und die PC-
Ereignisanzeige meldet "Das vom Remoteserver empfangene Zertifikat wurde von einer nicht vertrauenswürdigen Zertifizierungsstelle
ausgestellt. ... Fehler bei der TLS Verbindungsanforderung".
Wie mache ich denn das CA-Zertifikat vertrauenswürdig? Es steht auf dem Client-PC im Cert-Folder
"Vertrauenswürdige Stammzertifizierungsstellen". Reicht das eigentlich nicht?
Muss ich vielleicht was in der Domäne machen?
Vielen Dank!
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 577066
Url: https://administrator.de/contentid/577066
Printed on: April 19, 2024 at 04:04 o'clock
8 Comments
Latest comment
Hast du das CA-Cert auch auf dem Radius entsprechend hinterlegt? Weil: Die Meldung sagt ja das der Remote-Server das Zert nicht mag.
Eigentlich schon: /etc/freeradius/3.0/certs
Hallo,
und wer hat das ausgestellt? Guck' doch mal rein, dann kennst Du die Quelle?!?
Gruß,
Jörg
und wer hat das ausgestellt? Guck' doch mal rein, dann kennst Du die Quelle?!?
Gruß,
Jörg
Das ist ein selbst ausgestelltes Zertifikat
Dort habe ich ein Root-Zertifikat und ein Client-Zertifikat
Blödsinn, man nutzt kein Zertifizierungstellenzertifikat für einen Radius-Server, dafür stellt man von der CA explizit ein Server-Zertifikat aus und bindet das in den Radius ein! Ein kompromitierter Radius Server würde sonst deine ganze CA kompromittieren!Es steht auf dem Client-PC im Cert-Folder "Vertrauenswürdige Stammzertifizierungsstellen". Reicht das eigentlich nicht?
Das reicht nur wenn es im Computer-Certificate-Store und nicht im Client-Store dort abgelegt ist.Am Client muss natürlich ein Client-Zertifikat inkl. private Key importiert werden, ein reines Zertifikat bringt es nicht.
Und wie immer bei Tests mit freeradius, diesen im Debug Mode starten (radiusd -X) dann sieht man auch was Sache ist.
Ich habe auf dem Ubuntu-Radiusserver im o.a. Folder entsprechend der Dokumentation des Freeradius ein CA und ein Server-Cert hinterlegt. Das CA und ein extra generiertes Client Cert habe ich dann auf den Win10 Client kopiert und im Computer-Certificate-Store installiert.
freeradius -X hatte ich natürlich laufen. Ich bin jetzt und den nächsten Tagen nicht in der Schule, in der das läuft. Deshalb kann ich im Moment nicht die exakte Meldung wiedergeben. Ich erinnere mich aber an eine Fehlermeldung am Anfang der TLS -Verhandlung, etwa "... unknown CA cert" oder so ähnlich.
Ich bin mir nicht klar, ob das Problem auf der Windows-Seite (Client oder Domäne) oder auf der Seite des Radius liegt.
freeradius -X hatte ich natürlich laufen. Ich bin jetzt und den nächsten Tagen nicht in der Schule, in der das läuft. Deshalb kann ich im Moment nicht die exakte Meldung wiedergeben. Ich erinnere mich aber an eine Fehlermeldung am Anfang der TLS -Verhandlung, etwa "... unknown CA cert" oder so ähnlich.
Ich bin mir nicht klar, ob das Problem auf der Windows-Seite (Client oder Domäne) oder auf der Seite des Radius liegt.
Ich habe auf dem Ubuntu-Radiusserver im o.a. Folder entsprechend der Dokumentation des Freeradius ein CA und ein Server-Cert hinterlegt. Das CA und ein extra generiertes Client Cert habe ich dann auf den Win10 Client kopiert und im Computer-Certificate-Store installiert.
Warum nicht gleich so in den ersten Post schreiben?Ich bin mir nicht klar, ob das Problem auf der Windows-Seite (Client oder Domäne) oder auf der Seite des Radius liegt.
Ganz einfach von nem Linux Device aus(z.B. mit wpa_supplicant) testen dann hast du es schwarz auf weiß. Primär muss der Client erst mal der CA vertrauen, der Radius liefert nur das Cert aus, alles andere erledigt dann die Zertifikatskette.oder so ähnlich.
Dann lies erst nochmal ganz genau nach wenn du die Logs wieder vor dir hast...
