Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

WLAN AES Enterprise Auth mit EAP Zert kleine Bug

Mitglied: uLmi

uLmi (Level 2) - Jetzt verbinden

02.11.2011, aktualisiert 18.10.2012, 4286 Aufrufe, 15 Kommentare

Hallo Zusammen,

ich habe hier ein Wlan mit eine AES Enterprise Authentifizierung. Diese ist über ein Zertifikat von Godaddy gesichert.
Die verbindung klappt auch jedoch gibt einen Hinweis darüber das etwas nicht ganz sauber ist...
vielleicht wisst ihr da was ich da noch machen muss (siehe Bild)

2f61f55a445d37b30228fe968a74d2f5 - Klicke auf das Bild, um es zu vergrößern

Viele Grüße,
uLmi
Mitglied: aqui
03.11.2011, aktualisiert 18.10.2012
Dieses Tutorial beschreibt dir was du machen musst:
https://www.administrator.de/wissen/sichere-wlan-benutzer-authentifizier ...
Bitte warten ..
Mitglied: uLmi
03.11.2011 um 09:58 Uhr
das habe ich ja alles gemacht und das Zertikat muss ich ja nicht ausrollen da nicht selbst erstellt....
Bitte warten ..
Mitglied: uLmi
30.05.2012 um 10:59 Uhr
Aqui du scheinst dich mit dem Thema echt gut beschäftigt zu haben.
Ich habe mir dein Toturial durchgelesen.

Der Einzige punkt des Artikels der für mich interessant sein könnte ist der wo das Zert beim XP oder Windows 7 System importiert wird...
Ich dachte jedoch wenn ich mir ein Zertifikat von einer CA kaufe die bereits von allen Clients vertraut wird, muss ich die ganzen Clients eben nicht "anfassen"...

was meint der genau das mit, dass für die Godaddy CA keine gültiger Vertrauensanker hinterlegt ist ?

Gruß
uLmi
Bitte warten ..
Mitglied: aqui
31.05.2012 um 15:40 Uhr
Ganz so einfach ist das ja nicht. Du musst das Clientzertifikat was du von der CA ja signiert bekommen hast für deinen Client ja dem Client noch irgendwie beibringen. Kennen muss er es ja !
Es reicht also nicht das Zertifikat für deinen Client nur auf dem USB Stick in der Hosentasche zu haben, was auch jedem blutigen Laien einleuchtet.
Wenn du manuell die Client Zertifikate ausrollst musst du sie händisch auf jeden Client kopieren wie im Tutorial beschrieben.
Natürlich kannst du die einzelnen Client Zertifikate auch bei einem Doamin Login austomatisch ausrollen lassen auch das ist problemlos möglich.
Du musst also irgendeinen Weg finden das Client Zertifikat auch auf den Client Rechner zu bringen.
WIE du das letztlich machst ist deine Sache aber für die Authentisierung MUSS das Zertikat auf dem Clientrechner sein !! Logisch....
Bitte warten ..
Mitglied: uLmi
01.06.2012 um 13:50 Uhr
also auch wenn das ein öffentlich gekauftes 600 € thawte zertifikat ist, muss ich es auf allen client ausrollen ?

das ist ja ### ich dachte ich spare mir das und die Clients "ziehen" sich da Zertifikat und schauen bei sich nach ob der Aussteller okay ist oder nicht...

also der einzige vorteil der mir gekauftes Zertifikat bringt ist, dass ich nicht auch noch meinen internen CA auf allen client einrichten muss oder ?

aber wenn ich eh schon alle client "anfassen" per GPO oder was auch immer, hätte ich den schritt gleich mit machen können.

bist du dir 100% sicher ? das mit dem Vertrauenanker klingt irgendwie nach was anderem...
Bitte warten ..
Mitglied: aqui
01.06.2012 um 15:52 Uhr
Nein, natürlich nicht, denn das Tawthe ist nur das Root Zertifikat mit dem deine CA aufgesetzt ist. Von dem leiten sich die Client Zertifikate ab, die du auf den Client kopieren musst.
Das ist einen klassiche CA Einrichtung. Es hört sich so ein bischen danach an das du gar nicht richtig verstanden hast wie eine CA aufgesetzt wird bzw. wie das Zertifikats Handling funktioniert. Man kann dir hier nur dringenst raten da mal etwas nachzulesen !
Es bleibt dabei von deiner CA muss ein User Zertifikat erstellt werden was die User über den Web Zertifikatsserver auch selber machen können und dann auf dem Clientrechner installiert werden. Ein klasssicher Standard !!
Ob du es mit GPO oder Login oder mit Brieftauben verteilst spielt für die Zertifikatsauthentisierung keinerlei Rolle.
Bitte warten ..
Mitglied: uLmi
01.06.2012 um 17:14 Uhr
es ist ja auch kein einfaches Thema und ich muss mich in so viele themen reinfuchsen... irgendwas fällt leider immer runter.

ich habe ein Zert gekauft bei godaddy: wlan.domäne.de
dieses hab ich auf dem server eingebunden der den Radius macht..

die CA ist doch Godaddy oder ? also die stelle die mir das zertifikat ausgestellt hat und beglaubigt hat ?

meine Server ist der was ? der Zertfikats "bereitssteller" ?

ist es so, dass der Server den Privat key und der Client den Public key hat oder wie kann ich mir das vorstellen ?

Gruß und danke für deine Hilfe.
uLmi
Bitte warten ..
Mitglied: aqui
02.06.2012 um 12:43 Uhr
Nein, die CA ist deine die DU dir definierst. Godaddy zertifiziert sie bzw. dein CA Rootzertifikat mit seinem Schlüssel nur als vertrauenswürdig, weil Godaddy nachweislich auch als vertrauenswürdig gilt ! Mit dem Zertifikat von Godaddy gilt dein Zertifikat dann auch als vertrauenswürdig. So funktioniert das...
Du willst doch deinenCA benutzen und logischerweise NICHT die von Godaddy ...was nebenbei ja auch gar nicht geht.
Es geht so wie du es beschrieben hast. Besorg dir mal ein Buch über PGP und lies dich da mal etwas rein...!
Bitte warten ..
Mitglied: invero
30.07.2012 um 17:58 Uhr
Hallo zusammen.

Ich habe auch einen FreeRADIUS Server unter Debian Squeeze aufgesetzt und bekomme dieselbe Meldung wie uLmi.

Ich habe TTLS-MSCHAPV2 konfiguriert. Die Userdaten sind in einer Textdatei und die Passwörter sind mit NTLM gehascht.

Frage: Kennt ihr irgendeine Möglichkeit FreeRADIUS so zu konfigurieren, dass man sich von Windows Clients aus nur mit Benutzername und Kennwort verbindet, ohne dass das obige Fenster erscheint?

Voraussetzung ist, dass Passwörtergehascht gespeichert werden müssen. Ziel ist, wenn es geht natürlich, keine Zertifikate oder spezielle WLAN Verbindungen an den Windows Clients zu installieren bzw. zu konfigurieren,. also nur SSID auswählen, Benutzername, Kennwort und los legen.

HELP!!!!!
Danke
Bitte warten ..
Mitglied: aqui
30.07.2012, aktualisiert um 18:19 Uhr
Ja, liest dir dieses Tutorial genau durch:
https://www.administrator.de/contentid/142241
Dort ist eine wasserdichte Konfiguration beschrieben.
Allerdings hat Debian das Problem das der FreeRadius dort im Paket nicht mit SSL Support konfiguriert ist, was auch im Tutorial so angemerkt ist.
Du musst also am besten die Sourcen bei Debian selber mit SSL Support übersetzen. OpenSuSe hat das schon gleich mit drin im Paket.
Du klickst dann nur im .1x Client an das keine Zertifikats Authentisierung passieren soll, dann kommt logischerweise auch kein Fenster.
Ist aber etwas risikoreich, denn so könnte man dir jeden x-beliebigen Radius Server im Netz unterschieben ohne das die Endgeräte es merken mit Usern die du ggf. nicht haben willst ! Damit hebelt man eigentlich diese Sicherheitsoption wieder aus.
Aber wenn du damit kein problem hast funktioniert es natürlich auch so..keine Frage !
Bitte warten ..
Mitglied: invero
30.07.2012 um 18:26 Uhr
Ich weiss was du meinst aqui, aber wir haben hier potenziell 300 Windows Clients + Gäste. Am liebsten hätte ich es so, dass ich gar nichts am Windows Rechner konfigurieren bzw. installieren muss.

Ich habe es so weit, nur ich kriege diese blöde Meldung. Wenn du sagst es geht nicht, dann geht's halt nicht, aber ich dachte ich frag mal nach.

Der Teil der Anleitung "WLAN Client einrichten" muss ich gar nicht machen. Ich habe mir ein Testzertifikat von GeoTrust geholt.

Ich wähle das SSID aus, Benutzername, Passwort und krieg das Fenster. Klicke ich auf verbinden klappt es ja. Leider ist diese Lösung nicht gut genung.....

Also wenn du eine andere Methode kennst, dann wäre ich dir ein Lebenlang (und in den nächsten Leben auch) dankbar.

Danke für die super schnelle Antwort
Saludos!
Bitte warten ..
Mitglied: aqui
30.07.2012 um 18:32 Uhr
Hast du das Geotrust Zertifikat auch auf dem Client importiert oder ggf. über einen Domänen Login automatisch mit ausgerollt ?? Das musst du zwingend machen !
Ansonsten hast du ja einen Zertifikats Mismatch und dann ist es logisch das so ein Window aufpoppt.
Genua das ist auch vermutlich das problem des TOs das er eben das nicht gemacht hat.
Bitte warten ..
Mitglied: invero
31.07.2012 um 10:50 Uhr
@aqui: auch wenn Geotrust als authentifizierte CA in Windows 7 eingetragen ist?

So wie ich es verstanden habe, muss man dieses Zertifikat so oder so den Client zur Verfügung stellen und er muss es akzeptieren bzw. importieren, richtig?

Danke nochmals, deine Hilfe ist im Moment großartig.
Bitte warten ..
Mitglied: aqui
31.07.2012 um 11:34 Uhr
Ja, das ist richtig ! OK, wenn die Root CA im Client eingetragen ist dann sollte es auch so klappen.
Es ist ja erstmal kein Unterschied ob du dir die Zertifikate selber generierst mit eigener CA wie im Tutorial beschrieben oder ob du sie mit einem von Geotrust CA signierten Key generierst. Ein Client Zertifikat brauchst du immer.
Bitte warten ..
Mitglied: uLmi
31.07.2012 um 16:01 Uhr
invero wenn du rausgefunden hast wie das klappt, dann schreib bitte die lösung.

ich bin interessiert. ich bin nämlich auch davon ausgegangen:
@aqui: auch wenn Geotrust als authentifizierte CA in Windows 7 eingetragen ist?

und verstehe nicht warum ich noch was importieren soll ...

aber wie gesagt wenn du es hast lass mich bitte wissen ich wäre dir sehr dankbar.
Bitte warten ..
Ähnliche Inhalte
Verschlüsselung & Zertifikate
Massenausstellung SMIME Zert
Frage von SlainteMhathVerschlüsselung & Zertifikate3 Kommentare

Moin zusammen, ich darf demnächst ca. 250-300 S/MIME Zertifikate einkaufen. Dabei hab' ich natürlich keine Lust die Namen und ...

LAN, WAN, Wireless

WLAN EAP-TLS mit FreeRadius unsupported certificate

Frage von Phill93LAN, WAN, Wireless6 Kommentare

Hallo, bin hier am verzweifeln. Bekomme von meinem FreeRadius immer die Fehlermeldung "TLS Alert write:fatal:unsupported certificate ". Beide (Radius ...

LAN, WAN, Wireless

WLan-Authentifizierung über NPS mit EAP-TLS

Frage von KopeckLAN, WAN, Wireless1 Kommentar

Hallo, ich habe folgendes Problem: Ich würde gerne mein WLan mit Hilfe von (Benutzer)Zertifikaten absichern. Habe nun in einer ...

Administrator.de Feedback

Bug Formatierung

Frage von freesoloAdministrator.de Feedback9 Kommentare

Schreibt mal folgendes um einen Link kursiv darzustellen Ergebnis: https:administrator.de Oder ebenfalls Ergebnis: Das ist ein Link // Wohl ...

Neue Wissensbeiträge
Windows 10

Windows 10 - Programme laufen schneller, wenn Sie mit Administratorrechten ausgeführt werden !

Erfahrungsbericht von 1Werner1 vor 4 StundenWindows 106 Kommentare

Moin, das wollte ich erst nicht glauben, aber es ist so. Wenn Ihr ein Programm mit Administratorrechten unter Windows ...

Sicherheits-Tools
Putty hat heftige Bugs korrigiert!
Information von Lochkartenstanzer vor 1 TagSicherheits-Tools5 Kommentare

Moin, Wie man aus herauslesen kann, sind in den Versionen vor 0.71 gravierende Bugs, die es angeraten erscheinen lassen, ...

Off Topic
Sachen die die Welt nicht braucht - Platz 1
Tipp von brammer vor 4 TagenOff Topic20 Kommentare

Hallo, ich habs als Tipp angelegt als Erfahrungsbericht nein Danke brammer

Humor (lol)
Spirit of Health-Kongress in Berlin
Information von AnkhMorpork vor 4 TagenHumor (lol)6 Kommentare

tgif! Beim dritten Spirit of Health-Kongress trafen sich am Wochenende Alternativmediziner und Naturheilkundler im Maritim Hotel Berlin, um sich ...

Heiß diskutierte Inhalte
Windows Server
Eingeschränkte Gruppen - Spezielle Benutzergruppe hinzufügen
Frage von killtecWindows Server16 Kommentare

Hallo, ich möchte gerne folgendes Realisieren: Ich habe bei mir Eingeschränkte Gruppen via GPO aktiv und möchte nun der ...

DNS
Größere DNS Probleme nach zweitem DC. Eigentlich sollte es auch dadurch besser werden
Frage von TeWutzDNS13 Kommentare

Hallo zusammen, nachdem ich letzte Woche erfolgreich einen zweiten DC ) an den Start gebracht habe melden sich weiterhin ...

LAN, WAN, Wireless
Switch als Verbindung von 2 Netzwerken
gelöst Frage von Lutz-ReLAN, WAN, Wireless12 Kommentare

Guten Tag Ich hab folgendes Problem 2 Rechner und 2 IP Kameras sind ohne dhcp in einen IP4 Netzwerk ...

Netzwerkgrundlagen
Reicht 10GBit Uplink Port für Stacking für ein 10GBit Switch?
gelöst Frage von walnickNetzwerkgrundlagen12 Kommentare

Hallo, Ich habe eine frage. Ich überlege gerade 2 neue Switche von CiscoSG350XG-24F  zu kaufen und die als Core ...