hexpert1961
Goto Top

Probleme mit Zertifikaten WPA2 Enterprise

Hallo liebe Leute,

ich administriere in einer Schule (ich bin Lehrer an einer beruflichen Schule) das Netzwerk.
Das WLAN ist als WPA2 Ejnterprise ausgelegt. Ein Mitgliedsserver hat die Rollen Zertifikatsdienste und NPS.
Seit kurzem habe ich das Problem, dass die Schullaptops sich nicht mehr automatisch mit dem WLAN verbinden, so dass die Benutzer-Anmeldung an der Domäne fehlschlägt.
Im Eventlog eines Laptops finde ich nun eine Fehlermeldung von der Quelle Schannel mit derEreignis Id 36882.

"Das vom Remoteserver erhaltene Zertifikat wurde von einer nicht vertrauenswürdigen Zertifizierungsstelle ausgestellt. Aus diesem Grund können keine der im Zertifikat enthalten Daten verifiziert werden. Fehler bei der SSL-Verbindungsanforderung. Die angehängten Daten enthalten das Serverzertifikat."

Ich habe schon seit ewigen Zeiten an den Einstellungen nichts mehr geändert, so dass ich dies als Fehlerquelle ausschließen möchte.

Alles googeln hat bisher leider noch keine Lampe bei mir aufleuchten lassen.

Hat jemand einen Hinweis, wonach ich schauen sollte. Die von mir eingerichtete CA hat bisher funktioniert und die Zertifikate, die per GPO ausgeliefert werden, machten bisher auch keine Probleme. Leider kenne ich mich mit Zertifikaten nicht besonders gut aus, so dass ich auch keine Idee mehr habe.

Liebe Grüße
Uwe

Content-ID: 367192

Url: https://administrator.de/contentid/367192

Ausgedruckt am: 22.11.2024 um 02:11 Uhr

Kryolyt
Kryolyt 07.03.2018 um 16:12:10 Uhr
Goto Top
Ich muss ehrlich zugeben, dass ich noch keine Zertifikate für 802.1x genutzt habe, und auch keinen Microsoft AAA Server. Aber ich vermute fast, dass deine Zertifikate verfallen sind und deshalb nicht mehr vertraut werden. Hast du auf eines der Zertifikate geschaut? Bis wann ist es noch gültig?

Alternativ könnte es auch schlicht daran liegen, dass der Certificate Authority, dein Zertifikatsdienst-Server, nicht mehr in der liste der vertrauten Zertifikatsserver steht.
DerSchorsch
DerSchorsch 07.03.2018 um 17:28:38 Uhr
Goto Top
Hallo Uwe,

bei dieser Art der Authentifizierung muss ähnlich wie z.B. bei https der Server dem Client ein gültiges Zertifikat vorweisen, bevor dieser die Anmeldedaten übermittelt.
Da es sich hierbei um interne Geräte handelt wird häufig eine interne CA verwendet. Die Clients müssen dann dieser CA vertrauen, was sich recht einfach per GPO erledigen lässt. Knackpunkt: alle Zertifkate haben ein Ablaufdatum, so auch die CA.
Dein "seit ewigen Zeiten an den Einstellungen nichts mehr geändert" deutet darauf hin, dass das ganze schon ein paar Jahre läuft..

Auch wenn du auf deine Systeme nicht genauer eingehst, nutzt du wohl doch einen Windows_Server.
Schauen mal in der Zertifizierungsstellen-Verwaltung, ob diese noch gültig ist. Falls nicht, dann musst du das "Zertifizierungsstellenzertifkat" erneuern und auf die Clients neu ausrollen. Da diese sich nicht mehr per WLAN anmelden, halt am Kabel...

Gruß,
Schorsch
hexpert1961
hexpert1961 08.03.2018 um 07:23:16 Uhr
Goto Top
Hi und danke erstmal, dass Du Dich damit beschäftigt hast.

Das Stammzertifikat ist noch gültig bis September 1018 und das Zertifikat, dass der Client hat, trägt das gleiche Datum.

Wo gibt es eine Liste der vertrauenswürdigen Zertifikatsserver?
Wenn ich mit certmgr.msc mir den Zertifikatsspeicher für Vertrauenswürdige Stammzertifizierungsstellen anschaue, befindet sich dort das Zertifikat.

Liebe Grüße
Uwe
hexpert1961
hexpert1961 08.03.2018 aktualisiert um 07:28:39 Uhr
Goto Top
Hallo Schorsch,

auch Dir danke ich für Deine Überlegungen.

Die "üblichen" GPOs zur Zertifikatsverteilung und -erneuerung sind konfiguriert...sonst hätte ich tatsächlich schon länger ein Problem face-smile

Wie bereits geschrieben, sollte das Stammzertifikat noch gültig sein.
Ich hatte auch bereits das Stammzertifikat erneuert auf der CA und der Client (Laptop), mit dem ich das derzeit teste, war auch erneut per Kabel mit dem LAN verbunden. Ich habe ihn auch mal aus der Domäne entfernt und neu hinzugefügt. Hat aber nichts gebracht.

Liebe Grüße
Uwe
Kryolyt
Kryolyt 08.03.2018 um 08:02:28 Uhr
Goto Top
Das meinte ich mit meinen beiden punkten. Dann bin ich hier leider am Ende mit meinem Latein.

Viel Glück aber bei der Fehlersuche und behebung.
Dani
Dani 10.03.2018 um 14:03:22 Uhr
Goto Top
Hallo Uwe,
"Das vom Remoteserver erhaltene Zertifikat wurde von einer nicht vertrauenswürdigen Zertifizierungsstelle ausgestellt. Aus diesem Grund können keine der im Zertifikat enthalten Daten verifiziert werden. Fehler bei der SSL-Verbindungsanforderung. Die angehängten Daten enthalten das Serverzertifikat."
Exportiere das Zertifikat am einem Client über die MMC und lege es z.B. auf C:\Temp ab. Bitte nutze einen aussagekräftigen Namen, damit du später nichts durcheinander bringst. Danach über die Kommandozeile eine manuelle Prüfung vornehmen. Dazu gibst du ein:
certutil -f –urlfetch -verify C:\Temp\namezertifikat.endung

Parallel/Danach einfach das Zertifikat mit einem Doppelklick öffnen, Reiter "Zertifizierungspfad" anklicken und kontrolliere ob dort alles in Ordnung ist.

Leider kenne ich mich mit Zertifikaten nicht besonders gut aus, so dass ich auch keine Idee mehr habe.
Bevor man etwas implementiert, macht man sich eigentlich auch Gedanken wer das Ganze hinterher entstören kann.


Gruß,
Dani