Probleme mit Zertifikaten WPA2 Enterprise
Hallo liebe Leute,
ich administriere in einer Schule (ich bin Lehrer an einer beruflichen Schule) das Netzwerk.
Das WLAN ist als WPA2 Ejnterprise ausgelegt. Ein Mitgliedsserver hat die Rollen Zertifikatsdienste und NPS.
Seit kurzem habe ich das Problem, dass die Schullaptops sich nicht mehr automatisch mit dem WLAN verbinden, so dass die Benutzer-Anmeldung an der Domäne fehlschlägt.
Im Eventlog eines Laptops finde ich nun eine Fehlermeldung von der Quelle Schannel mit derEreignis Id 36882.
"Das vom Remoteserver erhaltene Zertifikat wurde von einer nicht vertrauenswürdigen Zertifizierungsstelle ausgestellt. Aus diesem Grund können keine der im Zertifikat enthalten Daten verifiziert werden. Fehler bei der SSL-Verbindungsanforderung. Die angehängten Daten enthalten das Serverzertifikat."
Ich habe schon seit ewigen Zeiten an den Einstellungen nichts mehr geändert, so dass ich dies als Fehlerquelle ausschließen möchte.
Alles googeln hat bisher leider noch keine Lampe bei mir aufleuchten lassen.
Hat jemand einen Hinweis, wonach ich schauen sollte. Die von mir eingerichtete CA hat bisher funktioniert und die Zertifikate, die per GPO ausgeliefert werden, machten bisher auch keine Probleme. Leider kenne ich mich mit Zertifikaten nicht besonders gut aus, so dass ich auch keine Idee mehr habe.
Liebe Grüße
Uwe
ich administriere in einer Schule (ich bin Lehrer an einer beruflichen Schule) das Netzwerk.
Das WLAN ist als WPA2 Ejnterprise ausgelegt. Ein Mitgliedsserver hat die Rollen Zertifikatsdienste und NPS.
Seit kurzem habe ich das Problem, dass die Schullaptops sich nicht mehr automatisch mit dem WLAN verbinden, so dass die Benutzer-Anmeldung an der Domäne fehlschlägt.
Im Eventlog eines Laptops finde ich nun eine Fehlermeldung von der Quelle Schannel mit derEreignis Id 36882.
"Das vom Remoteserver erhaltene Zertifikat wurde von einer nicht vertrauenswürdigen Zertifizierungsstelle ausgestellt. Aus diesem Grund können keine der im Zertifikat enthalten Daten verifiziert werden. Fehler bei der SSL-Verbindungsanforderung. Die angehängten Daten enthalten das Serverzertifikat."
Ich habe schon seit ewigen Zeiten an den Einstellungen nichts mehr geändert, so dass ich dies als Fehlerquelle ausschließen möchte.
Alles googeln hat bisher leider noch keine Lampe bei mir aufleuchten lassen.
Hat jemand einen Hinweis, wonach ich schauen sollte. Die von mir eingerichtete CA hat bisher funktioniert und die Zertifikate, die per GPO ausgeliefert werden, machten bisher auch keine Probleme. Leider kenne ich mich mit Zertifikaten nicht besonders gut aus, so dass ich auch keine Idee mehr habe.
Liebe Grüße
Uwe
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 367192
Url: https://administrator.de/contentid/367192
Ausgedruckt am: 22.11.2024 um 02:11 Uhr
6 Kommentare
Neuester Kommentar
Ich muss ehrlich zugeben, dass ich noch keine Zertifikate für 802.1x genutzt habe, und auch keinen Microsoft AAA Server. Aber ich vermute fast, dass deine Zertifikate verfallen sind und deshalb nicht mehr vertraut werden. Hast du auf eines der Zertifikate geschaut? Bis wann ist es noch gültig?
Alternativ könnte es auch schlicht daran liegen, dass der Certificate Authority, dein Zertifikatsdienst-Server, nicht mehr in der liste der vertrauten Zertifikatsserver steht.
Alternativ könnte es auch schlicht daran liegen, dass der Certificate Authority, dein Zertifikatsdienst-Server, nicht mehr in der liste der vertrauten Zertifikatsserver steht.
Hallo Uwe,
bei dieser Art der Authentifizierung muss ähnlich wie z.B. bei https der Server dem Client ein gültiges Zertifikat vorweisen, bevor dieser die Anmeldedaten übermittelt.
Da es sich hierbei um interne Geräte handelt wird häufig eine interne CA verwendet. Die Clients müssen dann dieser CA vertrauen, was sich recht einfach per GPO erledigen lässt. Knackpunkt: alle Zertifkate haben ein Ablaufdatum, so auch die CA.
Dein "seit ewigen Zeiten an den Einstellungen nichts mehr geändert" deutet darauf hin, dass das ganze schon ein paar Jahre läuft..
Auch wenn du auf deine Systeme nicht genauer eingehst, nutzt du wohl doch einen Windows_Server.
Schauen mal in der Zertifizierungsstellen-Verwaltung, ob diese noch gültig ist. Falls nicht, dann musst du das "Zertifizierungsstellenzertifkat" erneuern und auf die Clients neu ausrollen. Da diese sich nicht mehr per WLAN anmelden, halt am Kabel...
Gruß,
Schorsch
bei dieser Art der Authentifizierung muss ähnlich wie z.B. bei https der Server dem Client ein gültiges Zertifikat vorweisen, bevor dieser die Anmeldedaten übermittelt.
Da es sich hierbei um interne Geräte handelt wird häufig eine interne CA verwendet. Die Clients müssen dann dieser CA vertrauen, was sich recht einfach per GPO erledigen lässt. Knackpunkt: alle Zertifkate haben ein Ablaufdatum, so auch die CA.
Dein "seit ewigen Zeiten an den Einstellungen nichts mehr geändert" deutet darauf hin, dass das ganze schon ein paar Jahre läuft..
Auch wenn du auf deine Systeme nicht genauer eingehst, nutzt du wohl doch einen Windows_Server.
Schauen mal in der Zertifizierungsstellen-Verwaltung, ob diese noch gültig ist. Falls nicht, dann musst du das "Zertifizierungsstellenzertifkat" erneuern und auf die Clients neu ausrollen. Da diese sich nicht mehr per WLAN anmelden, halt am Kabel...
Gruß,
Schorsch
Hallo Uwe,
Parallel/Danach einfach das Zertifikat mit einem Doppelklick öffnen, Reiter "Zertifizierungspfad" anklicken und kontrolliere ob dort alles in Ordnung ist.
Gruß,
Dani
"Das vom Remoteserver erhaltene Zertifikat wurde von einer nicht vertrauenswürdigen Zertifizierungsstelle ausgestellt. Aus diesem Grund können keine der im Zertifikat enthalten Daten verifiziert werden. Fehler bei der SSL-Verbindungsanforderung. Die angehängten Daten enthalten das Serverzertifikat."
Exportiere das Zertifikat am einem Client über die MMC und lege es z.B. auf C:\Temp ab. Bitte nutze einen aussagekräftigen Namen, damit du später nichts durcheinander bringst. Danach über die Kommandozeile eine manuelle Prüfung vornehmen. Dazu gibst du ein:certutil -f –urlfetch -verify C:\Temp\namezertifikat.endung
Parallel/Danach einfach das Zertifikat mit einem Doppelklick öffnen, Reiter "Zertifizierungspfad" anklicken und kontrolliere ob dort alles in Ordnung ist.
Leider kenne ich mich mit Zertifikaten nicht besonders gut aus, so dass ich auch keine Idee mehr habe.
Bevor man etwas implementiert, macht man sich eigentlich auch Gedanken wer das Ganze hinterher entstören kann.Gruß,
Dani