28
NPS funktioniert nur "halb"
Hallo zusammen,
ich bitte um Euren Rat.
Ich habe eine neue Labor-Domäne aufgebaut, bestehend aus DC, CA NPs und diversen LAN- und WLAN-Clients.
Die drei Rollen laufen auf drei separaten Maschinen, alles Win Server2022
Die Clients sind allesamt Win11 Enterprise.
Nun ist der Wunsch (der zur Hälfte in Erfüllung gegangen ist), die Clients per 802.1x im WLAN zu authentifizieren.
Zur Hälfte deshalb:
Authentifizierung über PEAP mit MsCHAPv2 (User + Passwort) geht
Authentifizierung über PEAP mit Zertifikat geht nicht.
Leider hänge ich an dieser Stelle und hab keinen Schimmer, wo ich nun anpacken soll.
Im Ereignisprotokoll kann wird der Fehler bzw. das Verhalten leider nicht protokolliert.
Auf dem NPS gibt es:
1. Bring you own Device
Bedingungen:
"Windows-Gruppe": DOMAIN\BYOD-Nutzer
"NAS-Porttyp": Drahtlos (sonstige) OR Drahtlos (IEEE 802.11)
Einstellungen:
"Zugriffsberechtigung": Zugriff gewähren
"EAP-Methode": Geschützes EAP (PEAP) -> Zertifikat für NPS-01 hinterlegt und unter EAP-Typ "Gesichertes Kennwort (EAP-MSCHAP v2)" ausgewählt
"Authentifizierungsmethode": EAP
"Service-Typ": Framed
"Framed-Protokoll":PPP
2. Zertifikat-Authentifizierung
"Windows-Gruppe": DOMAIN\Grp-Wlan_Devices
"NAS-Porttyp": Drahtlos (sonstige) OR Drahtlos (IEEE 802.11)
Einstellungen:
"Zugriffsberechtigung": Zugriff gewähren
"EAP-Methode": Geschützes EAP (PEAP) -> Zertifikat für NPS-01 hinterlegt und unter EAP-Typ "Smartcard oder oneres Zertifikat" ausgewählt
"Authentifizierungsmethode": EAP
"Service-Typ": Framed
"Framed-Protokoll":PPP
Im Anhang vielleicht etwas übersichlticher...
Bin um jede Hilfe sehr dankbar!
Grüße
ich bitte um Euren Rat.
Ich habe eine neue Labor-Domäne aufgebaut, bestehend aus DC, CA NPs und diversen LAN- und WLAN-Clients.
Die drei Rollen laufen auf drei separaten Maschinen, alles Win Server2022
Die Clients sind allesamt Win11 Enterprise.
Nun ist der Wunsch (der zur Hälfte in Erfüllung gegangen ist), die Clients per 802.1x im WLAN zu authentifizieren.
Zur Hälfte deshalb:
Authentifizierung über PEAP mit MsCHAPv2 (User + Passwort) geht
Authentifizierung über PEAP mit Zertifikat geht nicht.
Leider hänge ich an dieser Stelle und hab keinen Schimmer, wo ich nun anpacken soll.
Im Ereignisprotokoll kann wird der Fehler bzw. das Verhalten leider nicht protokolliert.
Auf dem NPS gibt es:
- eine Verbindungsanforderungsrichtlinie, bei der als Bedingung "NAS-Porttyp" der Wert Drahtlos (sonstige) oder Drahtlos (IEEE 802.11) festgelegt wurde.
- zwei Netzwerkrichtlinien (um die zweite geht es)
1. Bring you own Device
Bedingungen:
"Windows-Gruppe": DOMAIN\BYOD-Nutzer
"NAS-Porttyp": Drahtlos (sonstige) OR Drahtlos (IEEE 802.11)
Einstellungen:
"Zugriffsberechtigung": Zugriff gewähren
"EAP-Methode": Geschützes EAP (PEAP) -> Zertifikat für NPS-01 hinterlegt und unter EAP-Typ "Gesichertes Kennwort (EAP-MSCHAP v2)" ausgewählt
"Authentifizierungsmethode": EAP
"Service-Typ": Framed
"Framed-Protokoll":PPP
2. Zertifikat-Authentifizierung
"Windows-Gruppe": DOMAIN\Grp-Wlan_Devices
"NAS-Porttyp": Drahtlos (sonstige) OR Drahtlos (IEEE 802.11)
Einstellungen:
"Zugriffsberechtigung": Zugriff gewähren
"EAP-Methode": Geschützes EAP (PEAP) -> Zertifikat für NPS-01 hinterlegt und unter EAP-Typ "Smartcard oder oneres Zertifikat" ausgewählt
"Authentifizierungsmethode": EAP
"Service-Typ": Framed
"Framed-Protokoll":PPP
Im Anhang vielleicht etwas übersichlticher...
Bin um jede Hilfe sehr dankbar!
Grüße
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 91376450111
Url: https://administrator.de/contentid/91376450111
Printed on: April 27, 2024 at 09:04 o'clock
28 Comments
Latest comment
Nachtrag: Screenshot der GPO Wlan Profil Verteilung
Und darauf Achten das im Client Cert als erstes Clientauthentifizierung stehst sonst wirds auch nix
Müsste ja so passen nehme ich an?
Für die Zukunft, falls das mal nicht stimmen sollte... Wie ändere ich die Reihenfolge?
Für die Zukunft, falls das mal nicht stimmen sollte... Wie ändere ich die Reihenfolge?
Zitat von @Sommelier:
Müsste ja so passen nehme ich an?
Für die Zukunft, falls das mal nicht stimmen sollte... Wie ändere ich die Reihenfolge?
Müsste ja so passen nehme ich an?
Für die Zukunft, falls das mal nicht stimmen sollte... Wie ändere ich die Reihenfolge?
Da du hier beide Zertifikate von der SUB-CA CA-01-CA ausgestellt hast und beides für eine Clientauthentifizierung genutzt werden kann wird durch deine GPO geschaut welches Zertifikat passt (weil simple certification selection --> bei mehreren Zertifikaten wird das Zertifikat ausgewählt was am neusten ist).
Falls du die Reihenfolge in der Listenansicht meinst brauchst du lediglich nur nach deiner Zertifikatsvorlage sortieren :X
Bzgl. WLAN:
Hast du auch das WLAN auf Enterprise PEAP gestellt? Nicht, dass das WLAN MSCHAP erwartet..?
VG
Wie kommst du auf Sub-CA? Es gibt in dem Labor-Aufbau nur eine einzige CA.
Mir ist schon untergekommen, dass hier einmal an erster Stelle "Clientauthentifizierung" steht (siehe Screenshot zeile zwei) und beim nächsten mal an erster Stelle "Serverauthetifizierung".
Nachschub weil vergessen
Falls du die Reihenfolge in der Listenansicht meinst brauchst du lediglich nur nach deiner Zertifikatsvorlage sortieren :X
Das ist mir schon klar. Mir geht es um die Reihenfolge "Beabsichtigte Zwecke".Mir ist schon untergekommen, dass hier einmal an erster Stelle "Clientauthentifizierung" steht (siehe Screenshot zeile zwei) und beim nächsten mal an erster Stelle "Serverauthetifizierung".
Nachschub weil vergessen
Hast du auch das WLAN auf Enterprise PEAP gestellt? Nicht, dass das WLAN MSCHAP erwartet..?
Das WLAN lässt sich dahingehend nicht konfigureieren. Man kann hier nur zwischen WPA2 Personal, WPA2 Enterprise wählenZitat von @Sommelier:
Wie kommst du auf Sub-CA? Es gibt in dem Labor-Aufbau nur eine einzige CA.
Mir ist schon untergekommen, dass hier einmal an erster Stelle "Clientauthentifizierung" steht (siehe Screenshot zeile zwei) und beim nächsten mal an erster Stelle "Serverauthetifizierung".
Wie kommst du auf Sub-CA? Es gibt in dem Labor-Aufbau nur eine einzige CA.
Falls du die Reihenfolge in der Listenansicht meinst brauchst du lediglich nur nach deiner Zertifikatsvorlage sortieren :X
Das ist mir schon klar. Mir geht es um die Reihenfolge "Beabsichtigte Zwecke".Mir ist schon untergekommen, dass hier einmal an erster Stelle "Clientauthentifizierung" steht (siehe Screenshot zeile zwei) und beim nächsten mal an erster Stelle "Serverauthetifizierung".
Yoa, dann nur die eine CA - hab ich wohl überlesen. Ist aber auch egal, da du zwei Zertifikate für die Clientauthentifizierung hast vom selben Aussteller und deine GPO beim verbinden des WLANs beide in Betracht zieht zum Einreichen am NPS.
Gibt es denn Unterschiede innerhalb der Zertifikate? Welche Infos hat das Zertifikat (SAN)?
Ob die MMC Client- oder Serverauthentifizierung an erster oder zweiter Stelle anzeigt ist irrelevant für die Funktionalität eines Zertifikates - das Zertifikat kann für beides genutzt werden.
Ggfs. mal in der GPO folgendes testen:
WLAN Properties --> Select a network authentication Method --> statt PEAP --> Microosft: Smart Card or other certificate und unter Properties entsprechend das simple certificate selection, use a certificate on this computer und unten die rootCA auswählen.
Brauchst du sonst erst mal nicht als GPO definieren sondern lokal am Client das WLAN Profil per GUI konfigurieren. Kannst dadurch schneller testen.
Kommen irgendwelche Anfragen von deinem Client auf dem NPS an?
Welche WLAN Lösung nutzt ihr?
VG
2Gibt es denn Unterschiede innerhalb der Zertifikate? Welche Infos hat das Zertifikat (SAN)?
Das Zertifikat (bzw. die Vorlage) mit der Bezeichnung "Computer 802x" ist ein Duplikat der Standard-Vorlage "Computer".Einziger Unterschied: es wurde eine Sicherheitsgruppe (Grp-WLan_Devices) hinzugefügt, welche folgende Berechtigungen hat:
Lesen, Registrieren, automatisch registrieren
WLAN Properties --> Select a network authentication Method --> statt PEAP --> Microosft: Smart Card or other certificate und unter Properties entsprechend das simple certificate selection, use a certificate on this computer und unten die rootCA auswählen.
bereits getestet, ohne ErfolgAnfragen kommen jede Menge durch, jedoch enden die in einem Loop und die Authentifizierung schlägt nach etwa ein bis eineinhalb Minuten fehl.
Überprüft wurde mittels Microsoft Network Monitor
Bitte beachten und aufmerksam lesen, Wichtig!
KB5014754—Certificate-based authentication changes on Windows domain controllers
Sid.
KB5014754—Certificate-based authentication changes on Windows domain controllers
Im Ereignisprotokoll kann wird der Fehler bzw. das Verhalten leider nicht protokolliert.
Das ausführliche Logging kannst du im NPS aktivieren, dann siehst du auch was schief läuft.Sid.
1
Guten Morgen zusammen und vielen Dank nochmals für eure Hilfe!
Aus purer Verzweiflung habe ich nun ein weiteres Mal die GPO bzw. das WLAN-Profil wie von @Celiko beschrieben eingestellt.
Plötzlich werden auch Anfragen im Eventlog protokolliert.
Anbei ein Screenshot.
Offenbar besteht nun das Problem, dass mit EAP nicht umgegangen werden kann... siehe letzte Zeile
Aus purer Verzweiflung habe ich nun ein weiteres Mal die GPO bzw. das WLAN-Profil wie von @Celiko beschrieben eingestellt.
Zitat von @Celiko:
WLAN Properties --> Select a network authentication Method --> statt PEAP --> Microosft: Smart Card or other certificate und unter Properties entsprechend das simple certificate selection, use a certificate on this computer und unten die rootCA auswählen.
WLAN Properties --> Select a network authentication Method --> statt PEAP --> Microosft: Smart Card or other certificate und unter Properties entsprechend das simple certificate selection, use a certificate on this computer und unten die rootCA auswählen.
Plötzlich werden auch Anfragen im Eventlog protokolliert.
Anbei ein Screenshot.
Offenbar besteht nun das Problem, dass mit EAP nicht umgegangen werden kann... siehe letzte Zeile
Naja das Umstellen musst du dann ja auch auf beiden Seiten machen , sowohl in der GPO als auch in der NPS Netzwerkrichtlinie von PEAP auf "Microosft: Smart Card or other certificate" stellen, deswegen kommt ja auch die Fehlermeldung.
1
Ich würde ja jetzt sagen, das war beabsichtgt für Testzwecke um zu zeigen, dass die Anfragen am NPS ankommen... Aber wir wollen ja ehrlich bleiben :X
... und schon steht nichts mehr in den Logs vom NPS im Eventviewer, keine Verbindung kommt zu Stande
... und schon steht nichts mehr in den Logs vom NPS im Eventviewer, keine Verbindung kommt zu Stande
Dann Check deinen Radius Traffic oder schneide mit Wireshark zum AP mit.
Beachte auch meinen oben genannten Hinweis zu den Strong-Certificate Merkmalen.
Und sicherstellen das am AP auch auf EAP-Passthrough gestellt ist.
Und auf jeden Fall bei Änderungen Clientneustart machen nicht nur GPO Refresh!
Beachte auch meinen oben genannten Hinweis zu den Strong-Certificate Merkmalen.
Und sicherstellen das am AP auch auf EAP-Passthrough gestellt ist.
Und auf jeden Fall bei Änderungen Clientneustart machen nicht nur GPO Refresh!
1
und anbei der Screenshot...
Sieht man ja schon was fehlt. Die Antwort vom Radius Server also Access-Accept oder Access-Reject. Da stimmt also schon was bei der grundlegenden Einrichtung nicht (z.B. Radius Client-Password mismatch) .
Der NPS kann seine Log-Dateien auch auf die Festplatte schreiben. Findest du unter "Accounting" --> Log File Properties. Müsste C:\Windows\system32\logfiles sein.
Da mal reinschauen. Da findest du evtl. mehr.
Da mal reinschauen. Da findest du evtl. mehr.
so schaut es aus, wenn ich ein Gerät mittels PEAP MSCHAPv2 im WLAN anmelde.
Also das Passwort vom RADIUS-Client passt, sonst ginge ja garnichts.
Also das Passwort vom RADIUS-Client passt, sonst ginge ja garnichts.
Tja wir kennen deine APs und dessen Einstellung nicht - auch nicht die der Zertifikate. Schöne Ratestunde 🧐.
#push
Letztlich gibt es drei Komponenten...
NPS, AP und Client.
Wäre nochmal hilfreich zu wissen welche APs ihr nutzt und wie das konfiguriert ist*
Hattest du bereits im NPS die Authentifizierungsmethode ebenfalls auf Microsoft Smartcard and other certificate umgestellt? Sonst greift die NPS Policy nicht*
logge ich alles mit.
"NPS-01","IAS",10/10/2023,11:40:44,1,"host/Laptop-02.sub.domain.tld","sub.domain.tld/Devices/Clients/Mobile/Laptop-02","E6-63-DA-72-37-6D:Home","1C-BF-C0-87-82-35",,,"e663da72376d","172.20.255.10",,0,"172.20.255.10"," AP2",,,19,"CONNECT 0Mbps 802.11b",,2,5,"Wifi Cert Auth",0,"311 1 172.20.10.60 10/08/2023 07:06:33 3960",,,,,,,,,"6EA105A8256C8421",,,,,,"D7AA07DFF84A0EB4",,,,,,,,,,,,,,,,,,,"Wifi Auth Int Devices",1,,,,
"NPS-01","IAS",10/10/2023,11:40:44,11,,"sub.domain.tld/Devices/Clients/Mobile/Laptop-02",,,,,,,,0,"172.20.255.10"," AP2",,,,,,,5,"Wifi Cert Auth",0,"311 1 172.20.10.60 10/08/2023 07:06:33 3960",30,,,,,,,,"6EA105A8256C8421",,,,,,,,,,,,,,,,,,,,,,,,,"Wifi Auth Int Devices",1,,,,
"NPS-01","IAS",10/10/2023,11:40:44,1,"host/Laptop-02.sub.domain.tld","sub.domain.tld/Devices/Clients/Mobile/Laptop-02","E6-63-DA-72-37-6D:Home","1C-BF-C0-87-82-35",,,"e663da72376d","172.20.255.10",,0,"172.20.255.10"," AP2",,,19,"CONNECT 0Mbps 802.11b",,2,5,"Wifi Cert Auth",0,"311 1 172.20.10.60 10/08/2023 07:06:33 3961",,,,,,,,,"6EA105A8256C8421",,,,,,"D7AA07DFF84A0EB4",,,,,,,,,,,,,,,,,,,"Wifi Auth Int Devices",1,,,,
"NPS-01","IAS",10/10/2023,11:40:44,11,,"sub.domain.tld/Devices/Clients/Mobile/Laptop-02",,,,,,,,0,"172.20.255.10"," AP2",,,,,,,5,"Wifi Cert Auth",0,"311 1 172.20.10.60 10/08/2023 07:06:33 3961",30,,,,,,,,"6EA105A8256C8421",,,,,,,,,,,,,,,,,,,,,,,,,"Wifi Auth Int Devices",1,,,,
"NPS-01","IAS",10/10/2023,11:40:46,1,"host/Laptop-02.sub.domain.tld","sub.domain.tld/Devices/Clients/Mobile/Laptop-02","E6-63-DA-72-37-6D:Home","1C-BF-C0-87-82-35",,,"e663da72376d","172.20.255.10",,0,"172.20.255.10"," AP2",,,19,"CONNECT 0Mbps 802.11b",,2,5,"Wifi Cert Auth",0,"311 1 172.20.10.60 10/08/2023 07:06:33 3962",,,,,,,,,"580707AB41B8A4D6",,,,,,"AD29972CCDF60B12",,,,,,,,,,,,,,,,,,,"Wifi Auth Int Devices",1,,,,
"NPS-01","IAS",10/10/2023,11:40:46,11,,"sub.domain.tld/Devices/Clients/Mobile/Laptop-02",,,,,,,,0,"172.20.255.10"," AP2",,,,,,,5,"Wifi Cert Auth",0,"311 1 172.20.10.60 10/08/2023 07:06:33 3962",30,,,,,,,,"580707AB41B8A4D6",,,,,,,,,,,,,,,,,,,,,,,,,"Wifi Auth Int Devices",1,,,,
"NPS-01","IAS",10/10/2023,11:40:46,1,"host/Laptop-02.sub.domain.tld","sub.domain.tld/Devices/Clients/Mobile/Laptop-02","E6-63-DA-72-37-6D:Home","1C-BF-C0-87-82-35",,,"e663da72376d","172.20.255.10",,0,"172.20.255.10"," AP2",,,19,"CONNECT 0Mbps 802.11b",,2,5,"Wifi Cert Auth",0,"311 1 172.20.10.60 10/08/2023 07:06:33 3963",,,,,,,,,"580707AB41B8A4D6",,,,,,"AD29972CCDF60B12",,,,,,,,,,,,,,,,,,,"Wifi Auth Int Devices",1,,,,
"NPS-01","IAS",10/10/2023,11:40:46,11,,"sub.domain.tld/Devices/Clients/Mobile/Laptop-02",,,,,,,,0,"172.20.255.10"," AP2",,,,,,,5,"Wifi Cert Auth",0,"311 1 172.20.10.60 10/08/2023 07:06:33 3963",30,,,,,,,,"580707AB41B8A4D6",,,,,,,,,,,,,,,,,,,,,,,,,"Wifi Auth Int Devices",1,,,,
"NPS-01","IAS",10/10/2023,11:40:49,1,"host/Laptop-02.sub.domain.tld","sub.domain.tld/Devices/Clients/Mobile/Laptop-02","E6-63-DA-72-37-6D:Home","1C-BF-C0-87-82-35",,,"e663da72376d","172.20.255.10",,0,"172.20.255.10"," AP2",,,19,"CONNECT 0Mbps 802.11b",,2,5,"Wifi Cert Auth",0,"311 1 172.20.10.60 10/08/2023 07:06:33 3964",,,,,,,,,"580707AB41B8A4D6",,,,,,"AD29972CCDF60B12",,,,,,,,,,,,,,,,,,,"Wifi Auth Int Devices",1,,,,
"NPS-01","IAS",10/10/2023,11:40:49,11,,"sub.domain.tld/Devices/Clients/Mobile/Laptop-02",,,,,,,,0,"172.20.255.10"," AP2",,,,,,,5,"Wifi Cert Auth",0,"311 1 172.20.10.60 10/08/2023 07:06:33 3964",30,,,,,,,,"580707AB41B8A4D6",,,,,,,,,,,,,,,,,,,,,,,,,"Wifi Auth Int Devices",1,,,,
"NPS-01","IAS",10/10/2023,11:40:55,1,"host/Laptop-02.sub.domain.tld","sub.domain.tld/Devices/Clients/Mobile/Laptop-02","E6-63-DA-72-37-6D:Home","1C-BF-C0-87-82-35",,,"e663da72376d","172.20.255.10",,0,"172.20.255.10"," AP2",,,19,"CONNECT 0Mbps 802.11b",,2,5,"Wifi Cert Auth",0,"311 1 172.20.10.60 10/08/2023 07:06:33 3965",,,,,,,,,"580707AB41B8A4D6",,,,,,"AD29972CCDF60B12",,,,,,,,,,,,,,,,,,,"Wifi Auth Int Devices",1,,,,
"NPS-01","IAS",10/10/2023,11:40:55,11,,"sub.domain.tld/Devices/Clients/Mobile/Laptop-02",,,,,,,,0,"172.20.255.10"," AP2",,,,,,,5,"Wifi Cert Auth",0,"311 1 172.20.10.60 10/08/2023 07:06:33 3965",30,,,,,,,,"580707AB41B8A4D6",,,,,,,,,,,,,,,,,,,,,,,,,"Wifi Auth Int Devices",1,,,, Tja wir kennen deine APs und dessen Einstellung nicht
auch nicht die der Zertifikate.
was für Informationen benötigt ihr denn?für den Laboraufbau ausgemusterte Unifi-Hardware *schäm*.
Hattest du bereits im NPS die Authentifizierungsmethode ebenfalls auf Microsoft Smartcard and other certificate umgestellt? Sonst greift die NPS Policy nicht
jawohl, das wurde alles umgestellt, wie von euch oben gebeten.
Die Einstellungen in der GPO unter
Computer\Windows-Einstellungen\Sicherheitseinstellungen\drahtlosnetzwerkrichtlinien hast du angepasst
bzw. hier deine WLAN´s hinzugefügt und den WLAN´s das passende Auth. Protokoll mitgegeben.
Als Bsp. so:
Passende CA hast du auch angegeben ?
Computer\Windows-Einstellungen\Sicherheitseinstellungen\drahtlosnetzwerkrichtlinien hast du angepasst
bzw. hier deine WLAN´s hinzugefügt und den WLAN´s das passende Auth. Protokoll mitgegeben.
Als Bsp. so:
Passende CA hast du auch angegeben ?
ja das passt alles.
Wie in deinem Screenshot.
Dann Eigenschaften ->
Wie in deinem Screenshot.
Dann Eigenschaften ->
- haken bei "Use simple certificate selection"
- haken bei "Verify the server's identity by validating the certificate"
- passende Root-CA angekreuzt
- haken bei "Certificate Issuer"
- wieder die Root-CA angekreuzt und bei Intermediate-CA ebenfalls die root-CA
auch nicht die der Zertifikate.
was für Informationen benötigt ihr denn?Schau mal nicht nur in die Logs des NPS sondern auch in die Security-Events des DCs.
Schau mal nicht nur in die Logs des NPS sondern auch in die Security-Events des DCs.
das sieht alles in Ordnung aus. Jedenfall in meinen Augen keine Auffälligkeiten. Hast du was Spezielles, wonach ich suchen müsste?Im Anhang Screenshots der Zertifikatvorlage
Hallo,
ich wollte gestern zum x-ten Mal die Zertifikats-Authentifizierung einrichten und laufe da ins Leere.
PreLogon klappt nicht, weil angeblich das Computer-Zertifikat nicht gefunden wird.
Das ist aber korrekt ausgestellt und wird auch automatisch korrekt neu ausgestellt.
Es kann bei der Anmeldung nicht gefunden/gelesen werden.
Die Konfiguration ist meiner sehr ähnlich und ich habe sogar schon aus funktionierenden Sites die Konfiguration übernommen - gleicher Effekt.
Dein Eintrag ist außerdem brandaktuell und ich würde mich gerne anschließen.
Hoffentlich lösen wir das gemeinsam.
LG
Lukas
ich wollte gestern zum x-ten Mal die Zertifikats-Authentifizierung einrichten und laufe da ins Leere.
PreLogon klappt nicht, weil angeblich das Computer-Zertifikat nicht gefunden wird.
Das ist aber korrekt ausgestellt und wird auch automatisch korrekt neu ausgestellt.
Es kann bei der Anmeldung nicht gefunden/gelesen werden.
Die Konfiguration ist meiner sehr ähnlich und ich habe sogar schon aus funktionierenden Sites die Konfiguration übernommen - gleicher Effekt.
Dein Eintrag ist außerdem brandaktuell und ich würde mich gerne anschließen.
Hoffentlich lösen wir das gemeinsam.
LG
Lukas
Verwendest du dieses Zertifikat für die Computer-Authentifizierung mache ich die Vorlage ein wenig anders:
1. Laufzeit 2 Jahre : 8 Wochen (ist Geschmackssache)
2. Anforderungsverarbeitung: Exportieren von privatem Schlüssel zulassen
3. Antragstellername: Format des Antragstellernamens DNS-Name
4. Sicherheit: Lesen ist nicht aktivert, Registrieren & Automatisch registrieren aktiviert
1. Laufzeit 2 Jahre : 8 Wochen (ist Geschmackssache)
2. Anforderungsverarbeitung: Exportieren von privatem Schlüssel zulassen
3. Antragstellername: Format des Antragstellernamens DNS-Name
4. Sicherheit: Lesen ist nicht aktivert, Registrieren & Automatisch registrieren aktiviert
2. Anforderungsverarbeitung: Exportieren von privatem Schlüssel zulassen
Achtung, das sollte man eigentlich niemals für Client-Templates anhaken, sonst kann jeder der mal kurz Zugriff auf die Kiste hat, das Zertifikat samt Private-Key exportieren.Die Einstellung hat auch keinerlei Einfluss auf die Funktionsweise des Zertifikates in dem o.g. Zusammenhang.
Hallo,
da hast du recht - das macht natürlich nicht für jeden Sinn.
Ich hab das für die Zertifikate aktiviert gehabt, damit ich z.B. Android/iOS/MacOS auch "ausrollen" kann.
Ist also bei mir im kontrollierten Umfeld geschehen.
Danke für den Hinweis.
LG
Lukas
da hast du recht - das macht natürlich nicht für jeden Sinn.
Ich hab das für die Zertifikate aktiviert gehabt, damit ich z.B. Android/iOS/MacOS auch "ausrollen" kann.
Ist also bei mir im kontrollierten Umfeld geschehen.
Danke für den Hinweis.
LG
Lukas