Wie kann ich einem Windows NPS-Server (RADIUS) ein Zertifikat hinterlegen?

Mitglied: billythekid

billythekid (Level 1) - Jetzt verbinden

22.12.2015, aktualisiert 17.12.2019, 8117 Aufrufe, 8 Kommentare

Hallo,

Meine Situation:
wir betreiben zwei Windows-Server 2012 basierende Domänencontroller u.a. mit der NPS-Rolle zur RADIUS-Authentifizierung von WLAN-Clients.
Die Server laufen in unserem inneren Netzwerk mit einer lokalen Domain und einer selbstsignierten Root-CA dafür.

Mein Problem:
Die konnektierenden WLAN-Clients zeigen bei der Anmeldung mittels Benutzername/Kennwort einen Zertifikatsfehler an (logisch). Ich möchte

Meine Frage:
Kann ich dem NPS-Server ein im Internet gekauftes Zertifikat hinzufügen, sodass dieses anstelle des Serverzertifikates der Maschine bei der RADIUS-Verbindung genutzt wird?
Mitglied: billythekid
22.12.2015 um 14:18 Uhr
Sorry, damit bin ich genauso schlau wie vorher.
Bitte warten ..
Mitglied: Dobby
22.12.2015, aktualisiert um 14:21 Uhr
Hallo,

man erstellt eine CA und dann dort auch wieder Zertifikate für die WLAN Klienten und diese muss man
dann entweder manuell oder automatisch mittels AD/DC Anmeldung auf die Klienten verteilen.

Sorry, damit bin ich genauso schlau wie vorher.
Ist doch aber alles gut beschrieben worden, oder?

Gruß
Dobby

Bitte warten ..
Mitglied: 122990
122990 (Level 2)
LÖSUNG 22.12.2015, aktualisiert um 15:49 Uhr
Moin,
ist doch ganz einfach.

  • Erst dein Zertifikat wie oben beschrieben inkl. privatem Key auf dem Server ins System importieren
  • Dann im NPS eine Policy erstellen und dort der PEAP Methode das Zertifikat zuweisen

Findest du unter dem Punkt Creating an NPS Policy
auf folgender Seite: https://documentation.meraki.com/MR/Encryption_and_Authentication/Config ...
Gruß grexit
Bitte warten ..
Mitglied: billythekid
22.12.2015 um 15:51 Uhr
Genau das was die entscheidende Info! Vielen Dank "grexit".
Noch eine letzte Frage wenn es gestattet ist: Könnte man dieses Zertifikat so erstellen das man den private-Key mit exportieren kann um es somit auf mehreren NPS-Servern zu hinterlegen ohne für jeden ein eigenes zu bauen/kaufen?
Bitte warten ..
Mitglied: 122990
122990 (Level 2)
22.12.2015, aktualisiert um 16:26 Uhr
Zitat von @billythekid:
Noch eine letzte Frage wenn es gestattet ist: Könnte man dieses Zertifikat so erstellen das man den private-Key mit exportieren kann um es somit auf mehreren NPS-Servern zu hinterlegen ohne für jeden ein eigenes zu bauen/kaufen?
Deinen private Key hast du beim Anfordern des Zertifikates erstellt oder du konntest dein Zertifikat in einem *.pfx oder *.p12 Container herunterladen, worin dieser bereits enthalten ist. Also kannst du dein Cert in so vielen Geräten wie du willst hinterlegen, nur muss der verwendete FQDN des Servers mit dem Common-Name oder einem SAN im Zertifikat übereinstimmen, ist ja logisch !

P.s. Beim Import eines Zertifikates in Windows hast du immer die Möglichkeit den privaten Teil des Certs als Exportierbar zu markieren. Wenn man das macht kann man den privaten Teil auch von dieser Maschine herausziehen. Das sollte man aber aus Sicherheitsgründen nur auf sehr vertrauenswürdigen Maschinen machen und ihn selbstverständlich mit einem zusätzlichen Passwort schützen.
Bitte warten ..
Mitglied: billythekid
17.12.2019 um 11:27 Uhr
Das Problem besteht weiterhin. Ich habe nun ein offizielles Let's Encrypt Zertifikat erstellt und auf dem NPS-Server importiert und im WLAN-NPS-Profil ausgewählt. Dieses wird dem Client auch präsentiert, nur behauptet der weiterhin es wäre nicht vertrauenswürdig?
Bitte warten ..
Mitglied: admeen
26.02.2020 um 18:39 Uhr
Hallo, dürfen wir das Thema nochmal aufwärmen. Ich schätze das der NPS über die IP-Adresse und nicht unter sein Name aufgerufen wird und so passt das Zertifikat nicht. Wenn der Server unter sein Namen aufgerufen wird (z.B. nps.deindomain.de), er ist dort auch erreichbar (DNS A Record) und der Name im Zertifikat hinterlegt ist, sollte eigentlich alles passen. Habt ihr schon das Problem beheben können?
Bitte warten ..
Heiß diskutierte Inhalte
Off Topic
Ein Weg weg von Microsoft. Wie würde man es angehen? Lasst uns doch etwas spinnen
it-fraggleVor 1 TagAllgemeinOff Topic51 Kommentare

Guten Morgen Kollegen, es treibt mich schon seit einigen Jahren um, dass es sinnvoll wäre langsam einen Weg weg von Microsoftprodukten zu finden. Mir ...

Hardware
Versorgungsengpass Chips
NebellichtVor 1 TagAllgemeinHardware19 Kommentare

Allg. frage ich mich ja warum Apple auf ARM frühzeitig gesetzt hat. Die Automobilindustrie gerade Absatzprobleme hat, weil keine Chips mehr geliefert werden können. ...

Server-Hardware
HPE ProLiant MicroServer Gen10 Plus - Wo wird das OS installiert?
mayho33Vor 1 TagFrageServer-Hardware13 Kommentare

Hallo @ All, Ich liebäugle mit einem neuem Server (siehe Überschrift). Mein alter Gen8 ist zwar immer noch am laufen, aber es gibt einiges ...

Windows Server
Server 2019 RDS-CALs für Domänen-Admins? Ernsthaft?
gelöst anteNopeVor 1 TagFrageWindows Server7 Kommentare

Nabend zusammen, ich habe hier heute einen RDS auf Basis eines Server 2019 STD installiert und mit User-CALs lizenziert. Soweit funktioniert auch alles. Nur ...

Festplatten, SSD, Raid
Wie würdet ihr eine Datenrettung machen?
pd.edvVor 19 StundenFrageFestplatten, SSD, Raid11 Kommentare

Hallo, ich arbeite gerade an einem Blog-Artikel zum Thema Datenrettung und würde mich brennend interessieren wie Ihr eine Datenrettung angehen würdet. Sagen wir mal ...

Exchange Server
Transparente Mail-Archivierung Exch. 2016 m. direktem Outlook-Zugriff
departure69Vor 1 TagFrageExchange Server17 Kommentare

Hallo. - Windows 2016 AD-Domäne, 2 DCs unter W2K16 Std. (1 x physisch, 1 x virtuell unter Hyper-V), Funktionsebene 2016 - Exchange 2016 unter ...

Multimedia
PDF Dokumente KOSTENLOS ausfüllen, wie?
Mrhallo19981Vor 1 TagFrageMultimedia12 Kommentare

Hallo, ich möchte PDF Dokumente kostenlos ausfüllen. Anschließend sollen diese Signiert werden. Signieren tu ich mit einem Zertifikat von Adobe. Deswegen ist es wichtig, ...

Ubuntu
Installiert auf Rechner
khaldrogoVor 10 StundenFrageUbuntu9 Kommentare

Hallo Leute, Wir haben einen neuen Server bekommen, auf dem wir per Remotedesktopverbindung verbunden sind und arbeiten. Auf dem Server sind leider nicht alle ...