7
Welche Eigenschaften oder Flags muss ein Zertifikat zur Absicherung der Kommunikation mit einem NPS-RADIUS Windows Server 2016 beinhalten?
Hallo Zusammen,
Ziel ist es per NPS sämtliche WLAN-Clients (alle nicht in Domäne Bsp Smartphones) per Windowslogindaten zu authentifzieren (gesichertes Kennwort mittels PEAP).
Hier mein bisheriger Eintrag dazu:
Windows 10 (1709, 1803, 1809) Fehlermeldung "Keine Verbindung mit diesem Netzwerk möglich" - RADIUS (auf NPS Windows Server 2016) mit WLAN IEEE 802.1X Authentifizierung
Damit die WLAN-Clients dem NPS vertrauen ist ein entsprechendes Zertifikat erforderlich.
Welche Eigenschaften (Flags) muss ein Zertifikat zur Absicherung der Kommunikation mit einem NPS/RADIUS (Windows Server 2016) beinhalten?
Vielen Dank für Eure Tipps!
Gruß
Ziel ist es per NPS sämtliche WLAN-Clients (alle nicht in Domäne Bsp Smartphones) per Windowslogindaten zu authentifzieren (gesichertes Kennwort mittels PEAP).
Hier mein bisheriger Eintrag dazu:
Windows 10 (1709, 1803, 1809) Fehlermeldung "Keine Verbindung mit diesem Netzwerk möglich" - RADIUS (auf NPS Windows Server 2016) mit WLAN IEEE 802.1X Authentifizierung
Damit die WLAN-Clients dem NPS vertrauen ist ein entsprechendes Zertifikat erforderlich.
Welche Eigenschaften (Flags) muss ein Zertifikat zur Absicherung der Kommunikation mit einem NPS/RADIUS (Windows Server 2016) beinhalten?
Vielen Dank für Eure Tipps!
Gruß
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 399379
Url: https://administrator.de/contentid/399379
Ausgedruckt am: 24.11.2024 um 13:11 Uhr
7 Kommentare
Neuester Kommentar
Servus
Konfigurieren von Zertifikatvorlagen für PEAP- und EAP-Anforderungen
Sekundäre Anforderungen:
Grüße Uwe
Damit die WLAN-Clients dem NPS vertrauen ist ein entsprechendes Zertifikat erforderlich.
Primäre Anforderungen:Konfigurieren von Zertifikatvorlagen für PEAP- und EAP-Anforderungen
Sekundäre Anforderungen:
- Wie immer muss der Client der ausstellenden CA sein Vertrauen schenken. Bei selbst signierten Zertifikaten ist also dafür zu sorgen das das CA Zertifikat der Zertifizierungsstelle in den Root-Store des Clients importiert werden muss, aber das ist ja hoffentlich bekannt.
- Außerdem ist dafür zu sorgen das die CRL des Zertifikats jederzeit für den Clieng abrufbar ist.
Grüße Uwe
ok vielen Dank
wusste nicht das Windows das auch so handhabt.
Gibt es nicht eine X.509 extension, die diese Abfrage erzwingt zum Vertrauen?
wusste nicht das Windows das auch so handhabt.
Gibt es nicht eine X.509 extension, die diese Abfrage erzwingt zum Vertrauen?
Nein, das wäre sicherheitstechnisch Blödsinn. Überleg doch mal, jeder könnte beliebige Zertifikate faken ohne das der User es mitbekommt, und mit der Hauptzweck von Zertifikaten ist ja die Vertrauenskette.
Moin,
ergänzend sei gesagt, dass man die Validierung durchaus abschalten kann.
Allerdings nicht am Zertifikat sondern am Client z.B. Browser. Bei CLI Tools gibt es meistens einen entsprechenden Parameter.
Beispielsweise kann man bei curl mit dem Parameter - -insecure die Validierung abschalten.
Davon ist aber aus Sicherheitsgründen dringend abzuraten!!!
Beachte auch den Beitrag von @colinardo
Viele Grüße,
Exception
Zitat von @colinardo:
Nein, das wäre sicherheitstechnisch Blödsinn. Überleg doch mal, jeder könnte beliebige Zertifikate faken ohne das der User es mitbekommt, und mit der Hauptzweck von Zertifikaten ist ja die Vertrauenskette.
Nein, das wäre sicherheitstechnisch Blödsinn. Überleg doch mal, jeder könnte beliebige Zertifikate faken ohne das der User es mitbekommt, und mit der Hauptzweck von Zertifikaten ist ja die Vertrauenskette.
ergänzend sei gesagt, dass man die Validierung durchaus abschalten kann.
Allerdings nicht am Zertifikat sondern am Client z.B. Browser. Bei CLI Tools gibt es meistens einen entsprechenden Parameter.
Beispielsweise kann man bei curl mit dem Parameter - -insecure die Validierung abschalten.
Davon ist aber aus Sicherheitsgründen dringend abzuraten!!!
Beachte auch den Beitrag von @colinardo
Viele Grüße,
Exception
ok.
vielen Dank euch
vielen Dank euch
Oben ist beschrieben, wie man ein solches Zertifikat von einer Firmeninternen CA erstellt.
Benötigt wird jedoch ein solches Zertifikat von einer öffentlichen CA z.B. Symantec/Digicert (ehemals Verisign), um sicherzustellen, dass alle Endgeräte der CA vertrauen.
1. Wo kann man ein solches zertifiziertes Zertifikat z.B. von Symantec beantragen/kaufen?
Folgende Website habe ich gefunden:
https://www.sslmarket.de/
2. Was genau muss auf der genannten Website für ein Zertifikat (und ggf. noch weitere Optionen) ausgewählt werden, um den NPS/RADIUS Server zu zertifizieren?
Gruß
Benötigt wird jedoch ein solches Zertifikat von einer öffentlichen CA z.B. Symantec/Digicert (ehemals Verisign), um sicherzustellen, dass alle Endgeräte der CA vertrauen.
1. Wo kann man ein solches zertifiziertes Zertifikat z.B. von Symantec beantragen/kaufen?
Folgende Website habe ich gefunden:
https://www.sslmarket.de/
2. Was genau muss auf der genannten Website für ein Zertifikat (und ggf. noch weitere Optionen) ausgewählt werden, um den NPS/RADIUS Server zu zertifizieren?
Gruß
Zitat von @Excaliburx:
Oben ist beschrieben, wie man ein solches Zertifikat von einer Firmeninternen CA erstellt.
Na und wo ist der Unterschied? Die Anforderungen stehen dort klar und deutlich! Und die gelten auch für externe CAs.Oben ist beschrieben, wie man ein solches Zertifikat von einer Firmeninternen CA erstellt.
Benötigt wird jedoch ein solches Zertifikat von einer öffentlichen CA z.B. Symantec/Digicert (ehemals Verisign), um sicherzustellen, dass alle Endgeräte der CA vertrauen.
1. Wo kann man ein solches zertifiziertes Zertifikat z.B. von Symantec beantragen/kaufen?
Überall. Das Zertifikat ist ein simples Server-Auth Zertifikat. Selbst die kostenlosen von Let's Encrypt kannst du dazu verwenden.1. Wo kann man ein solches zertifiziertes Zertifikat z.B. von Symantec beantragen/kaufen?
2. Was genau muss auf der genannten Website für ein Zertifikat (und ggf. noch weitere Optionen) ausgewählt werden, um den NPS/RADIUS Server zu zertifizieren?
Also manchmal wundern mich die Fragesteller hier echt.Es steht exakt im Link was gegeben sein muss, du hättest es nur lesen müssen.
1. Common-Name muss vorhanden sein. = Standard
2. RSA als Crypro-Protokoll = Standard
3. Common Name muss im Subject Alternative Name vorhanden sein = Standard
4. Enhanced Key Usage muss die OID für Server-Authentifizierung enthalten = Standard für Server Zertifikate
Alles in allem ein vollkommen einfaches Standard Server-Authentifizierungs-Zertifikat das du an jeder Ecke bekommst.
Erstelle dir mit obigen Angaben ein CSR auf deinem Server den reichst du bei deiner ausgesuchten CA ein, fertig ist die Laube.
Ich sehe hier das Problem nicht.
