Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Probleme mit Zertifikaten WPA2 Enterprise

Mitglied: hexpert1961

hexpert1961 (Level 1) - Jetzt verbinden

07.03.2018 um 12:25 Uhr, 679 Aufrufe, 6 Kommentare, 1 Danke

Hallo liebe Leute,

ich administriere in einer Schule (ich bin Lehrer an einer beruflichen Schule) das Netzwerk.
Das WLAN ist als WPA2 Ejnterprise ausgelegt. Ein Mitgliedsserver hat die Rollen Zertifikatsdienste und NPS.
Seit kurzem habe ich das Problem, dass die Schullaptops sich nicht mehr automatisch mit dem WLAN verbinden, so dass die Benutzer-Anmeldung an der Domäne fehlschlägt.
Im Eventlog eines Laptops finde ich nun eine Fehlermeldung von der Quelle Schannel mit derEreignis Id 36882.

"Das vom Remoteserver erhaltene Zertifikat wurde von einer nicht vertrauenswürdigen Zertifizierungsstelle ausgestellt. Aus diesem Grund können keine der im Zertifikat enthalten Daten verifiziert werden. Fehler bei der SSL-Verbindungsanforderung. Die angehängten Daten enthalten das Serverzertifikat."

Ich habe schon seit ewigen Zeiten an den Einstellungen nichts mehr geändert, so dass ich dies als Fehlerquelle ausschließen möchte.

Alles googeln hat bisher leider noch keine Lampe bei mir aufleuchten lassen.

Hat jemand einen Hinweis, wonach ich schauen sollte. Die von mir eingerichtete CA hat bisher funktioniert und die Zertifikate, die per GPO ausgeliefert werden, machten bisher auch keine Probleme. Leider kenne ich mich mit Zertifikaten nicht besonders gut aus, so dass ich auch keine Idee mehr habe.

Liebe Grüße
Uwe
Mitglied: Kryolyt
07.03.2018 um 16:12 Uhr
Ich muss ehrlich zugeben, dass ich noch keine Zertifikate für 802.1x genutzt habe, und auch keinen Microsoft AAA Server. Aber ich vermute fast, dass deine Zertifikate verfallen sind und deshalb nicht mehr vertraut werden. Hast du auf eines der Zertifikate geschaut? Bis wann ist es noch gültig?

Alternativ könnte es auch schlicht daran liegen, dass der Certificate Authority, dein Zertifikatsdienst-Server, nicht mehr in der liste der vertrauten Zertifikatsserver steht.
Bitte warten ..
Mitglied: DerSchorsch
07.03.2018 um 17:28 Uhr
Hallo Uwe,

bei dieser Art der Authentifizierung muss ähnlich wie z.B. bei https der Server dem Client ein gültiges Zertifikat vorweisen, bevor dieser die Anmeldedaten übermittelt.
Da es sich hierbei um interne Geräte handelt wird häufig eine interne CA verwendet. Die Clients müssen dann dieser CA vertrauen, was sich recht einfach per GPO erledigen lässt. Knackpunkt: alle Zertifkate haben ein Ablaufdatum, so auch die CA.
Dein "seit ewigen Zeiten an den Einstellungen nichts mehr geändert" deutet darauf hin, dass das ganze schon ein paar Jahre läuft..

Auch wenn du auf deine Systeme nicht genauer eingehst, nutzt du wohl doch einen Windows_Server.
Schauen mal in der Zertifizierungsstellen-Verwaltung, ob diese noch gültig ist. Falls nicht, dann musst du das "Zertifizierungsstellenzertifkat" erneuern und auf die Clients neu ausrollen. Da diese sich nicht mehr per WLAN anmelden, halt am Kabel...

Gruß,
Schorsch
Bitte warten ..
Mitglied: hexpert1961
08.03.2018 um 07:23 Uhr
Hi und danke erstmal, dass Du Dich damit beschäftigt hast.

Das Stammzertifikat ist noch gültig bis September 1018 und das Zertifikat, dass der Client hat, trägt das gleiche Datum.

Wo gibt es eine Liste der vertrauenswürdigen Zertifikatsserver?
Wenn ich mit certmgr.msc mir den Zertifikatsspeicher für Vertrauenswürdige Stammzertifizierungsstellen anschaue, befindet sich dort das Zertifikat.

Liebe Grüße
Uwe
Bitte warten ..
Mitglied: hexpert1961
08.03.2018, aktualisiert um 07:28 Uhr
Hallo Schorsch,

auch Dir danke ich für Deine Überlegungen.

Die "üblichen" GPOs zur Zertifikatsverteilung und -erneuerung sind konfiguriert...sonst hätte ich tatsächlich schon länger ein Problem

Wie bereits geschrieben, sollte das Stammzertifikat noch gültig sein.
Ich hatte auch bereits das Stammzertifikat erneuert auf der CA und der Client (Laptop), mit dem ich das derzeit teste, war auch erneut per Kabel mit dem LAN verbunden. Ich habe ihn auch mal aus der Domäne entfernt und neu hinzugefügt. Hat aber nichts gebracht.

Liebe Grüße
Uwe
Bitte warten ..
Mitglied: Kryolyt
08.03.2018 um 08:02 Uhr
Das meinte ich mit meinen beiden punkten. Dann bin ich hier leider am Ende mit meinem Latein.

Viel Glück aber bei der Fehlersuche und behebung.
Bitte warten ..
Mitglied: Dani
10.03.2018 um 14:03 Uhr
Hallo Uwe,
"Das vom Remoteserver erhaltene Zertifikat wurde von einer nicht vertrauenswürdigen Zertifizierungsstelle ausgestellt. Aus diesem Grund können keine der im Zertifikat enthalten Daten verifiziert werden. Fehler bei der SSL-Verbindungsanforderung. Die angehängten Daten enthalten das Serverzertifikat."
Exportiere das Zertifikat am einem Client über die MMC und lege es z.B. auf C:\Temp ab. Bitte nutze einen aussagekräftigen Namen, damit du später nichts durcheinander bringst. Danach über die Kommandozeile eine manuelle Prüfung vornehmen. Dazu gibst du ein:
01.
certutil -f –urlfetch -verify C:\Temp\namezertifikat.endung
Parallel/Danach einfach das Zertifikat mit einem Doppelklick öffnen, Reiter "Zertifizierungspfad" anklicken und kontrolliere ob dort alles in Ordnung ist.

Leider kenne ich mich mit Zertifikaten nicht besonders gut aus, so dass ich auch keine Idee mehr habe.
Bevor man etwas implementiert, macht man sich eigentlich auch Gedanken wer das Ganze hinterher entstören kann.


Gruß,
Dani
Bitte warten ..
Ähnliche Inhalte
Windows Server
Zertifikat Problem mit SBS 2011
Frage von jensgebkenWindows Server7 Kommentare

Hallo Gemeinschaft, Ich möchte auf meinem SBS 2011 ein selbst erstelltes Zertifikat einrichten, so dass ich auch von extern ...

Microsoft
Exchange Server SAN Zertifikat Problem
gelöst Frage von brooksMicrosoft2 Kommentare

Hallo, ich arbeite gerade daran, meinen Exchange Server von 2010 auf 2016 umzubauen mit neuer Hardware. Eine Maschine : ...

LAN, WAN, Wireless

Schwachstelle im WPA2 Protokoll veröffentlicht

Information von colinardoLAN, WAN, Wireless10 Kommentare

An alle Wireless User da draußen. So ziemlich jeder AP ist von der Schwachstelle betroffen da die Schwachstelle das ...

LAN, WAN, Wireless

Verständnisfrage zu dem WPA2-Bug

Frage von Winfried-HHLAN, WAN, Wireless10 Kommentare

Hallo in die Runde, liebe WLAN-Experten, ich habe mal eine Frage zu dem Sicherheitsbug in der WPA2-Verschlüsselung. Wir verwenden ...

Neue Wissensbeiträge
Voice over IP

Telekom Umstellung von ISDN Anlagenanschluss auf IP-Telefonie

Erfahrungsbericht von NixVerstehen vor 2 TagenVoice over IP6 Kommentare

Hallo zusammen, nachdem nun vor ein paar Tagen die zwangsweise Umstellung von ISDN auf IP-Telefonie problemlos über die Bühne ...

Apple

Apple Special Event vom 10.09.2019: Arcade, TV+, iPad und iPadOS, Watch und iPhone 11

Information von Trontur vor 4 TagenApple2 Kommentare

Hier könnt ihr euch die Keynote von Tim Cook auf dem Apple Special Event vom 10.09.2019 anschauen: September Event ...

LAN, WAN, Wireless

Das RIPE ist quasi endgültig leer was IPv4 angeht

Information von LordGurke vor 11 TagenLAN, WAN, Wireless8 Kommentare

Das RIPE teilt mit, dass sie erwarten, Ende des Jahres keine /22-IPv4-Allocations (1.024 Adressen) mehr vergeben zu können. Dann ...

Verschlüsselung & Zertifikate

Ein besserer Weg zur Delegation of Control für Bitlocker Recoverykeys

Anleitung von DerWoWusste vor 11 TagenVerschlüsselung & Zertifikate

Will man Supportmitarbeitern ermöglichen, Bitlocker-Recoverykeys auszulesen, dann bietet sich eigentlich der Delegation of Control Wizard an. Ich zeige zunächst ...

Heiß diskutierte Inhalte
Hyper-V
Umzug Hyper-V mit VM in anderen Netzwerkabschnitt
gelöst Frage von keine-ahnungHyper-V9 Kommentare

Moin at all, ich habe leider den Freitag verpennt - daher meine obligate Freitagsfrage erst jetzt Ich habe einen ...

Windows 10
Windows 10 ( upgrade per media creator von win7 ) hat keine Systemwiederherstellung
gelöst Frage von knirschkeWindows 108 Kommentare

Hallo ! Habe letztlich mein Win7 auf Win10 aufgepeppt per Media Creator. Ging - obzwar recht spät - ganz ...

Windows Server
Drucker auf dem Terminalserver 2016 via Printserver wird nicht angezeigt
Frage von EchterHansenWindows Server7 Kommentare

Moin Moin, ich habe hier zwei 2016er Terminalserver und einen 2016er Printserver, auf dem ca. 10 RICOH-Drucker Typ 4. ...

Hardware
Ausrichtung Profilschienen - was würdet ihr empfehlen?
gelöst Frage von ShihanHardware7 Kommentare

Ich habe einen Digitus 19" 12 U Netzwerkschrank. Dieser hätte eigentlich nur vorne Profilschienen, da ich aber im hinteren ...