WLAN 802.1X PEAP EAP MSchapv2 IAS Radius Serverzertifikat CN muss mit DNS bzw Hostname des IAS übereinstimmen?
Hallo,
wenn ich auf einem IAS Radius Server für WLAN Authentisierung via PEAP/EAP-MSchap-v2 ein Serverzertifikat verwende, MUSS das CN Attribut im Serverzertifikat mit dem tatsächlichen DNS/Hostnamen des IAS RAdiusservers übereinstimmen?
Wir verwenden hierfür Verisign WLAN Server Zertifikat da das Verisign Root CA Zertifikat bereits auf allen gängigen Clients installiert ist.
Nun will ich für einen Backup Radius nicht nochmal das Verisign Zertifikat kaufen müssen.
Irgendwie klappt es aber nicht, der einzige KOnfigurationsunterschied scheint zu sein dass der Backup-Radius Hostname nicht zum installierten Verisign Zertifikat CN (Common Name) zusammenpasst.
Ansonsten werf ich mal Wireshark an und schaue ob der Client überhaupt versucht den DNS Namen aufzulösen.
Kann er aber eigentlich garnicht, da der Client ja VOR ERFOLGREICHER Authentisierung garkeine IP-Adresse hat und somit auch garkeinen DNS Server abfragen kann.
Wenn ich auf dem Client Endgerät die Option "Serverzertifikat überprüfen" DEAKTIVERE in den WLAN Adapter Einstellungen, KLAPPT die Authentisierung, also scheint der Client dem Radius Serverzertifikat nicht zu trauen, obwohl der Client das Root Zertifikat von Verisign installiert hat und dem Serverzertifikat eigentlich vertrauen müsste.
Gruss, spacyfreak
wenn ich auf einem IAS Radius Server für WLAN Authentisierung via PEAP/EAP-MSchap-v2 ein Serverzertifikat verwende, MUSS das CN Attribut im Serverzertifikat mit dem tatsächlichen DNS/Hostnamen des IAS RAdiusservers übereinstimmen?
Wir verwenden hierfür Verisign WLAN Server Zertifikat da das Verisign Root CA Zertifikat bereits auf allen gängigen Clients installiert ist.
Nun will ich für einen Backup Radius nicht nochmal das Verisign Zertifikat kaufen müssen.
Irgendwie klappt es aber nicht, der einzige KOnfigurationsunterschied scheint zu sein dass der Backup-Radius Hostname nicht zum installierten Verisign Zertifikat CN (Common Name) zusammenpasst.
Ansonsten werf ich mal Wireshark an und schaue ob der Client überhaupt versucht den DNS Namen aufzulösen.
Kann er aber eigentlich garnicht, da der Client ja VOR ERFOLGREICHER Authentisierung garkeine IP-Adresse hat und somit auch garkeinen DNS Server abfragen kann.
Wenn ich auf dem Client Endgerät die Option "Serverzertifikat überprüfen" DEAKTIVERE in den WLAN Adapter Einstellungen, KLAPPT die Authentisierung, also scheint der Client dem Radius Serverzertifikat nicht zu trauen, obwohl der Client das Root Zertifikat von Verisign installiert hat und dem Serverzertifikat eigentlich vertrauen müsste.
Gruss, spacyfreak
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 187283
Url: https://administrator.de/forum/wlan-802-1x-peap-eap-mschapv2-ias-radius-serverzertifikat-cn-muss-mit-dns-bzw-hostname-des-ias-187283.html
Ausgedruckt am: 22.12.2024 um 11:12 Uhr
9 Kommentare
Neuester Kommentar
Reden wir von IAS im w2k3 oder vom NPS im w2k8?! Da besteht ein Unterschied.
Zitat aus Technet:
http://technet.microsoft.com/de-de/library/cc759575(v=ws.10).aspx#cert_ ...
Gruesse
Zitat aus Technet:
Bei drahtlosen Clients kann PEAP-EAP-MS-CHAPv2 als Authentifizierungsmethode eingesetzt werden. PEAP-EAP-MS-CHAPv2 ist eine kennwortbasierte Methode zur Benutzerauthentifizierung, die TLS mit Serverzertifikaten einsetzt. Während der PEAP-EAP-MS-CHAPv2-Authentifizierung stellt der IAS- oder RADIUS-Server ein Zertifikat zur Überprüfung seiner Identität für den Client bereit (sofern die Option Serverzertifikat überprüfen auf dem Client unter Windows XP Professional konfiguriert wurde). Die Clientcomputer- und Benutzerauthentifizierung wird anhand von Kennwörtern ausgeführt, wodurch Schwierigkeiten bei der Bereitstellung von Zertifikaten für drahtlose Clientcomputer teilweise beseitigt werden.
Gruesse
WLAN 802.1X PEAP EAP MSchapv2 IAS Radius Serverzertifikat CN muss mit DNS bzw Hostname des IAS übereinstimmen?
Nein, das ist Schnurz.
Diese Übereinstimmung ist bei Webseiten wichtig, weil so die Gültigkeit vom Zertifikat bestimmt wird.
Bei WLAN hätte man sowas höchstens über die SSID machen können, wird es aber nicht.
Da der Client also den Namen gegen nichts prüfen kann ist er auch egal.
Du kannst am Client lediglich vorgeben, dass er nur Zertifikate mit einem bestimmten Namen und CA für diese SSID akzeptieren soll.
obwohl der Client das Root Zertifikat von Verisign installiert hat und dem Serverzertifikat eigentlich vertrauen müsste.
Sowas passiert gerne mal wenn dir Zertifikate im Chain fehlen.
Das kannst du prüfen indem du auf dem Server mal den IIS installierst und über HTTPS von diesem Client aus ansprichst.
Hast du das Zertifikat auch im Computerspeicher (nicht Benutzerspeicher) importiert?