excaliburx
Jan 25, 2019
view2778
view7
0
Goto Top

Welche Eigenschaften oder Flags muss ein Zertifikat zur Absicherung der Kommunikation mit einem NPS-RADIUS Windows Server 2016 beinhalten?

GermansolvedQuestionWindows ServerMicrosoft
Hallo Zusammen,

Ziel ist es per NPS sämtliche WLAN-Clients (alle nicht in Domäne Bsp Smartphones) per Windowslogindaten zu authentifzieren (gesichertes Kennwort mittels PEAP).

Hier mein bisheriger Eintrag dazu:
Windows 10 (1709, 1803, 1809) Fehlermeldung "Keine Verbindung mit diesem Netzwerk möglich" - RADIUS (auf NPS Windows Server 2016) mit WLAN IEEE 802.1X Authentifizierung

Damit die WLAN-Clients dem NPS vertrauen ist ein entsprechendes Zertifikat erforderlich.

Welche Eigenschaften (Flags) muss ein Zertifikat zur Absicherung der Kommunikation mit einem NPS/RADIUS (Windows Server 2016) beinhalten?

Vielen Dank für Eure Tipps!

Gruß
comment-contentCommentShareShare
Share on Facebook Share on Twitter Share on Reddit Share on Linkedin

Content-Key: 399379

Url: https://administrator.de/contentid/399379

Printed on: April 19, 2024 at 20:04 o'clock

7 Comments
Latest comment
Goto Top
Member: colinardo
colinardo Jan 25, 2019 updated at 08:14:56 (UTC)
Goto Top
Servus
Damit die WLAN-Clients dem NPS vertrauen ist ein entsprechendes Zertifikat erforderlich.
Primäre Anforderungen:
Konfigurieren von Zertifikatvorlagen für PEAP- und EAP-Anforderungen
Sekundäre Anforderungen:
  • Wie immer muss der Client der ausstellenden CA sein Vertrauen schenken. Bei selbst signierten Zertifikaten ist also dafür zu sorgen das das CA Zertifikat der Zertifizierungsstelle in den Root-Store des Clients importiert werden muss, aber das ist ja hoffentlich bekannt.
  • Außerdem ist dafür zu sorgen das die CRL des Zertifikats jederzeit für den Clieng abrufbar ist.

Grüße Uwe
Member: dodo30
dodo30 Jan 25, 2019 updated at 18:27:43 (UTC)
Goto Top
ok vielen Dank

wusste nicht das Windows das auch so handhabt.

Gibt es nicht eine X.509 extension, die diese Abfrage erzwingt zum Vertrauen?
Member: colinardo
colinardo Jan 25, 2019 updated at 18:54:15 (UTC)
Goto Top
Zitat von @dodo30:
Gibt es nicht eine X.509 extension, die diese Abfrage erzwingt zum Vertrauen?
Nein, das wäre sicherheitstechnisch Blödsinn. Überleg doch mal, jeder könnte beliebige Zertifikate faken ohne das der User es mitbekommt, und mit der Hauptzweck von Zertifikaten ist ja die Vertrauenskette.
Mitglied: 129580
129580 Jan 25, 2019 updated at 19:10:41 (UTC)
Goto Top
Moin,

Zitat von @colinardo:

Zitat von @dodo30:
Gibt es nicht eine X.509 extension, die diese Abfrage erzwingt zum Vertrauen?
Nein, das wäre sicherheitstechnisch Blödsinn. Überleg doch mal, jeder könnte beliebige Zertifikate faken ohne das der User es mitbekommt, und mit der Hauptzweck von Zertifikaten ist ja die Vertrauenskette.

ergänzend sei gesagt, dass man die Validierung durchaus abschalten kann.
Allerdings nicht am Zertifikat sondern am Client z.B. Browser. Bei CLI Tools gibt es meistens einen entsprechenden Parameter.
Beispielsweise kann man bei curl mit dem Parameter - -insecure die Validierung abschalten.

Davon ist aber aus Sicherheitsgründen dringend abzuraten!!!
Beachte auch den Beitrag von @colinardo

Viele Grüße,
Exception
Member: dodo30
dodo30 Jan 25, 2019 at 19:51:53 (UTC)
Goto Top
ok.

vielen Dank euch
Member: Excaliburx
Excaliburx Jan 30, 2019 at 06:58:04 (UTC)
Goto Top
Oben ist beschrieben, wie man ein solches Zertifikat von einer Firmeninternen CA erstellt.

Benötigt wird jedoch ein solches Zertifikat von einer öffentlichen CA z.B. Symantec/Digicert (ehemals Verisign), um sicherzustellen, dass alle Endgeräte der CA vertrauen.

1. Wo kann man ein solches zertifiziertes Zertifikat z.B. von Symantec beantragen/kaufen?
Folgende Website habe ich gefunden:
https://www.sslmarket.de/

2. Was genau muss auf der genannten Website für ein Zertifikat (und ggf. noch weitere Optionen) ausgewählt werden, um den NPS/RADIUS Server zu zertifizieren?

Gruß
Member: colinardo
Solution colinardo Jan 30, 2019 updated at 07:18:47 (UTC)
Goto Top
Zitat von @Excaliburx:

Oben ist beschrieben, wie man ein solches Zertifikat von einer Firmeninternen CA erstellt.
Na und wo ist der Unterschied? Die Anforderungen stehen dort klar und deutlich! Und die gelten auch für externe CAs.
Benötigt wird jedoch ein solches Zertifikat von einer öffentlichen CA z.B. Symantec/Digicert (ehemals Verisign), um sicherzustellen, dass alle Endgeräte der CA vertrauen.

1. Wo kann man ein solches zertifiziertes Zertifikat z.B. von Symantec beantragen/kaufen?
Überall. Das Zertifikat ist ein simples Server-Auth Zertifikat. Selbst die kostenlosen von Let's Encrypt kannst du dazu verwenden.

2. Was genau muss auf der genannten Website für ein Zertifikat (und ggf. noch weitere Optionen) ausgewählt werden, um den NPS/RADIUS Server zu zertifizieren?
Also manchmal wundern mich die Fragesteller hier echt.
Es steht exakt im Link was gegeben sein muss, du hättest es nur lesen müssen.

1. Common-Name muss vorhanden sein. = Standard
2. RSA als Crypro-Protokoll = Standard
3. Common Name muss im Subject Alternative Name vorhanden sein = Standard
4. Enhanced Key Usage muss die OID für Server-Authentifizierung enthalten = Standard für Server Zertifikate

Alles in allem ein vollkommen einfaches Standard Server-Authentifizierungs-Zertifikat das du an jeder Ecke bekommst.
Erstelle dir mit obigen Angaben ein CSR auf deinem Server den reichst du bei deiner ausgesuchten CA ein, fertig ist die Laube.
Ich sehe hier das Problem nicht.
GermansolvedQuestionWindows ServerMicrosoft
Hotly discussed
gleixnerdCheck of ZFW Firewallgleixnerd - 3 CommentsAlexWishaHow to set up and configure a Linux GRE tunnelAlexWisha - 3 CommentsjstrickerWIREGUARD VPN ON UDM PRO BEHIND FRITZBOX - HANDSHAKE DID NOT COMPLETEjstricker - 3 CommentsDaniEnd of Support dates for Office 2016, 2019 Apps und Productivity ServersDani - 1 Comment