billythekid
Goto Top

Wie kann ich einem Windows NPS-Server (RADIUS) ein Zertifikat hinterlegen?

Hallo,

Meine Situation:
wir betreiben zwei Windows-Server 2012 basierende Domänencontroller u.a. mit der NPS-Rolle zur RADIUS-Authentifizierung von WLAN-Clients.
Die Server laufen in unserem inneren Netzwerk mit einer lokalen Domain und einer selbstsignierten Root-CA dafür.

Mein Problem:
Die konnektierenden WLAN-Clients zeigen bei der Anmeldung mittels Benutzername/Kennwort einen Zertifikatsfehler an (logisch). Ich möchte

Meine Frage:
Kann ich dem NPS-Server ein im Internet gekauftes Zertifikat hinzufügen, sodass dieses anstelle des Serverzertifikates der Maschine bei der RADIUS-Verbindung genutzt wird?

Content-ID: 291518

Url: https://administrator.de/forum/wie-kann-ich-einem-windows-nps-server-radius-ein-zertifikat-hinterlegen-291518.html

Ausgedruckt am: 28.12.2024 um 19:12 Uhr

aqui
aqui 22.12.2015 um 14:05:14 Uhr
Goto Top
billythekid
billythekid 22.12.2015 um 14:18:34 Uhr
Goto Top
Sorry, damit bin ich genauso schlau wie vorher.
108012
108012 22.12.2015 aktualisiert um 14:21:43 Uhr
Goto Top
Hallo,

man erstellt eine CA und dann dort auch wieder Zertifikate für die WLAN Klienten und diese muss man
dann entweder manuell oder automatisch mittels AD/DC Anmeldung auf die Klienten verteilen.

Sorry, damit bin ich genauso schlau wie vorher.
Ist doch aber alles gut beschrieben worden, oder?

Gruß
Dobby
122990
Lösung 122990 22.12.2015 aktualisiert um 15:49:31 Uhr
Goto Top
Moin,
ist doch ganz einfach.

  • Erst dein Zertifikat wie oben beschrieben inkl. privatem Key auf dem Server ins System importieren
  • Dann im NPS eine Policy erstellen und dort der PEAP Methode das Zertifikat zuweisen

Findest du unter dem Punkt Creating an NPS Policy
auf folgender Seite: https://documentation.meraki.com/MR/Encryption_and_Authentication/Config ...
8. Click Configure to review the Edit Protected EAP Properties. The server certificate should be in the Certificate issued drop down.
Gruß grexit
billythekid
billythekid 22.12.2015 um 15:51:17 Uhr
Goto Top
Genau das was die entscheidende Info! Vielen Dank "grexit".
Noch eine letzte Frage wenn es gestattet ist: Könnte man dieses Zertifikat so erstellen das man den private-Key mit exportieren kann um es somit auf mehreren NPS-Servern zu hinterlegen ohne für jeden ein eigenes zu bauen/kaufen?
122990
122990 22.12.2015 aktualisiert um 16:26:21 Uhr
Goto Top
Zitat von @billythekid:
Noch eine letzte Frage wenn es gestattet ist: Könnte man dieses Zertifikat so erstellen das man den private-Key mit exportieren kann um es somit auf mehreren NPS-Servern zu hinterlegen ohne für jeden ein eigenes zu bauen/kaufen?
Deinen private Key hast du beim Anfordern des Zertifikates erstellt oder du konntest dein Zertifikat in einem *.pfx oder *.p12 Container herunterladen, worin dieser bereits enthalten ist. Also kannst du dein Cert in so vielen Geräten wie du willst hinterlegen, nur muss der verwendete FQDN des Servers mit dem Common-Name oder einem SAN im Zertifikat übereinstimmen, ist ja logisch !

P.s. Beim Import eines Zertifikates in Windows hast du immer die Möglichkeit den privaten Teil des Certs als Exportierbar zu markieren. Wenn man das macht kann man den privaten Teil auch von dieser Maschine herausziehen. Das sollte man aber aus Sicherheitsgründen nur auf sehr vertrauenswürdigen Maschinen machen und ihn selbstverständlich mit einem zusätzlichen Passwort schützen.
billythekid
billythekid 17.12.2019 um 11:27:29 Uhr
Goto Top
Das Problem besteht weiterhin. Ich habe nun ein offizielles Let's Encrypt Zertifikat erstellt und auf dem NPS-Server importiert und im WLAN-NPS-Profil ausgewählt. Dieses wird dem Client auch präsentiert, nur behauptet der weiterhin es wäre nicht vertrauenswürdig?
admeen
admeen 26.02.2020 um 18:39:13 Uhr
Goto Top
Hallo, dürfen wir das Thema nochmal aufwärmen. Ich schätze das der NPS über die IP-Adresse und nicht unter sein Name aufgerufen wird und so passt das Zertifikat nicht. Wenn der Server unter sein Namen aufgerufen wird (z.B. nps.deindomain.de), er ist dort auch erreichbar (DNS A Record) und der Name im Zertifikat hinterlegt ist, sollte eigentlich alles passen. Habt ihr schon das Problem beheben können?