Wie lassen sich mit den MS Zertifikatsdiensten Zertifikate für Access Points ausstellen?
Ich bin dabei ein WLAN-Netzwerk mit EAP-Verschlüsselung aufzubauen. Wie lässt sich mit den vorhandenen Micrsoft Active Directory Zertifikatsdiensten ein Zertifikat für die Access-Points ausstellen?
Für die automatische Anmeldung an WLAN-Access Points möchte ich Zertifikate nutzen. Die Clients sollen per Radius authentifiziert werden, doch wie lässen sich für die Access Points Zertifikate erstellen? Ich habe hier bei mir einen Lancom 320-agn AP, doch dieser unterstützt anscheinend keine Zertifikatanforderungen (*.req), mit deren Hilfe ich dann öffentlichen + privaten Schlüssel erstellen kann. Geht das irgendwie über die Webregistrierung, aber im Normalfall bekommt man dort doch auch nur den öffentlichen Schlüssel (*.cer), oder nicht? Würde die Registrierung z. B. an einem normalen Windows Client überhaupt klappen, in dem Zertifikat wird doch festgeschrieben, für wen dieses ausgestellt wurde und das lässt sich doch auch nicht ändern, oder?
Ich hoffe, mir kann da noch jemand etwas klarheit reinbringen. Mit XCA lässt sich sowas doch auch machen, aber nur für die APs will ich nicht noch eine zusätzliche Lösung.
PSaR04
Für die automatische Anmeldung an WLAN-Access Points möchte ich Zertifikate nutzen. Die Clients sollen per Radius authentifiziert werden, doch wie lässen sich für die Access Points Zertifikate erstellen? Ich habe hier bei mir einen Lancom 320-agn AP, doch dieser unterstützt anscheinend keine Zertifikatanforderungen (*.req), mit deren Hilfe ich dann öffentlichen + privaten Schlüssel erstellen kann. Geht das irgendwie über die Webregistrierung, aber im Normalfall bekommt man dort doch auch nur den öffentlichen Schlüssel (*.cer), oder nicht? Würde die Registrierung z. B. an einem normalen Windows Client überhaupt klappen, in dem Zertifikat wird doch festgeschrieben, für wen dieses ausgestellt wurde und das lässt sich doch auch nicht ändern, oder?
Ich hoffe, mir kann da noch jemand etwas klarheit reinbringen. Mit XCA lässt sich sowas doch auch machen, aber nur für die APs will ich nicht noch eine zusätzliche Lösung.
PSaR04
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 180598
Url: https://administrator.de/forum/wie-lassen-sich-mit-den-ms-zertifikatsdiensten-zertifikate-fuer-access-points-ausstellen-180598.html
Ausgedruckt am: 23.12.2024 um 08:12 Uhr
5 Kommentare
Neuester Kommentar
Du brauchst für den Access Point garkein Zertifikat, sondern für den Radius Server.
Wenn du mit einem Windows Client via WLAN / 802.1X auf die SSID zugreifen willst, geht das EAP Protokoll los, das den anfragenden Cient erstmal authentisiert.
Die Anfrage geht via EAP zum Access Point. Der packt das EAP in Radiuspakete und sendet sie zum Radiusserver.
Der RAdius-Server schickt sein Radius-Server Zertifikat (!) zum WLAN Client.
Dies dient dazu dass sich der Radius Server beim Client authentisiert ("..ich bin wirklich der echte, gute Radius-Server, glaub mir.. hie rist mein Ausweis..").
Der Ciient vertraut dem Radiusserver weil er dem RAdiusserverzertifikat vertraut. Das Root Zertifikat der CA, die das Radiusserverzertifikat signiert hat, hat der Client nämlich unter seinen "VErtrauenswürdigen Stammzertifizierungsstellen".
Mittels des RAdius SErver Zertifikates - das auch den öffentlichen Schlüssel des Radiusservers enthält - kann der WLAN Client nun seine Authentisierung verschlüsselt zum Radius-Server schicken.
Zwischen Client und Radiusserver entsteht ein TLS Tunnel (wie bei SSL wenn man auf eine https Webseite geht).
1. Variante: PEAP EAP-MSchapv2
Der Client sendet nun seine Windoes Anmeldecredentials (username kennwort) zum Radius, der den User authentisiert.
Stimmen die Credentials, sendet der Radius Server ein RAdius Accept Paket an den WLAN AP, und der WLAN Client ist drin und erhält eine IP vom WLAN DhCP Server.
2. Variante: PEAP EAP-TLS
Hier läufts genauso ab - nur dass auch der Client ein Zertifikat hat, das den User authentisiert.
In dem Fall werden vom Client nicht die Windows User Cedentials zur Authentisierung genommen, sondern das Cientzertifikat.
Wenn du mit einem Windows Client via WLAN / 802.1X auf die SSID zugreifen willst, geht das EAP Protokoll los, das den anfragenden Cient erstmal authentisiert.
Die Anfrage geht via EAP zum Access Point. Der packt das EAP in Radiuspakete und sendet sie zum Radiusserver.
Der RAdius-Server schickt sein Radius-Server Zertifikat (!) zum WLAN Client.
Dies dient dazu dass sich der Radius Server beim Client authentisiert ("..ich bin wirklich der echte, gute Radius-Server, glaub mir.. hie rist mein Ausweis..").
Der Ciient vertraut dem Radiusserver weil er dem RAdiusserverzertifikat vertraut. Das Root Zertifikat der CA, die das Radiusserverzertifikat signiert hat, hat der Client nämlich unter seinen "VErtrauenswürdigen Stammzertifizierungsstellen".
Mittels des RAdius SErver Zertifikates - das auch den öffentlichen Schlüssel des Radiusservers enthält - kann der WLAN Client nun seine Authentisierung verschlüsselt zum Radius-Server schicken.
Zwischen Client und Radiusserver entsteht ein TLS Tunnel (wie bei SSL wenn man auf eine https Webseite geht).
1. Variante: PEAP EAP-MSchapv2
Der Client sendet nun seine Windoes Anmeldecredentials (username kennwort) zum Radius, der den User authentisiert.
Stimmen die Credentials, sendet der Radius Server ein RAdius Accept Paket an den WLAN AP, und der WLAN Client ist drin und erhält eine IP vom WLAN DhCP Server.
2. Variante: PEAP EAP-TLS
Hier läufts genauso ab - nur dass auch der Client ein Zertifikat hat, das den User authentisiert.
In dem Fall werden vom Client nicht die Windows User Cedentials zur Authentisierung genommen, sondern das Cientzertifikat.