Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

WLAN EAP-TLS mit FreeRadius unsupported certificate

Mitglied: Phill93

Phill93 (Level 1) - Jetzt verbinden

10.04.2017 um 16:34 Uhr, 1091 Aufrufe, 6 Kommentare

Hallo,

bin hier am verzweifeln. Bekomme von meinem FreeRadius immer die Fehlermeldung "TLS Alert write:fatal:unsupported certificate ".
Beide (Radius und Client) haben ein any Purpose Zertifikat von einer CA.

Weis wer was da schief geht?

eap.conf (Freeradius)
01.
eap {
02.
                default_eap_type = tls
03.

04.
                timer_expire     = 60
05.

06.
                ignore_unknown_eap_types = no
07.

08.
                cisco_accounting_username_bug = no
09.

10.
                max_sessions = ${max_requests}
11.

12.
                tls {
13.
                        #
14.
                        #  These is used to simplify later configurations.
15.
                        #
16.
                        certdir = ${confdir}/certs
17.
                        cadir = ${confdir}/certs
18.

19.
                        #private_key_password = whatever
20.
                        private_key_file = ${certdir}/radius.key
21.

22.
                        certificate_file = ${certdir}/radius.pem
23.

24.
                        CA_file = ${cadir}/ca.pem
25.

26.
                        dh_file = ${certdir}/dh
27.
                        random_file = /dev/urandom
28.

29.

30.
                        CA_path = ${cadir}
31.

32.
                        cipher_list = "DEFAULT"
33.
                        make_cert_command = "${certdir}/bootstrap"
34.

35.
                        ecdh_curve = "prime256v1"
36.

37.
                        cache {
38.
                              enable = no
39.
                              lifetime = 24 # hours
40.
                              max_entries = 255
41.
                        }
42.

43.
                        verify {
44.
                        }
45.

46.
                }
47.

48.
        }
wpa_supplicant.conf (Client)
01.
network={
02.
        ssid="IoTs"
03.
        scan_ssid=1     
04.
        key_mgmt=WPA-EAP
05.
        proto=WPA2
06.
        eap=TLS
07.
        identity="PI1"
08.
        ca_cert="/root/ca-2"
09.
        client_cert="/root/wlan.pem"
10.
        private_key="/root/wlan.key"    
11.
}
Log (Radius)
01.
Mon Apr 10 16:33:30 2017 : Info: # Executing section authorize from file /etc/freeradius/sites-enabled/default
02.
Mon Apr 10 16:33:30 2017 : Info: +group authorize {
03.
Mon Apr 10 16:33:30 2017 : Info: ++[preprocess] = ok
04.
Mon Apr 10 16:33:30 2017 : Info: ++[chap] = noop
05.
Mon Apr 10 16:33:30 2017 : Info: ++[mschap] = noop
06.
Mon Apr 10 16:33:30 2017 : Info: ++[digest] = noop
07.
Mon Apr 10 16:33:30 2017 : Info: [suffix] No '@' in User-Name = "PI1", looking up realm NULL
08.
Mon Apr 10 16:33:30 2017 : Info: [suffix] No such realm "NULL"
09.
Mon Apr 10 16:33:30 2017 : Info: ++[suffix] = noop
10.
Mon Apr 10 16:33:30 2017 : Info: [eap] EAP packet type response id 9 length 253
11.
Mon Apr 10 16:33:30 2017 : Info: [eap] No EAP Start, assuming it's an on-going EAP conversation
12.
Mon Apr 10 16:33:30 2017 : Info: ++[eap] = updated
13.
Mon Apr 10 16:33:30 2017 : Info: ++[files] = noop
14.
Mon Apr 10 16:33:30 2017 : Info: ++[expiration] = noop
15.
Mon Apr 10 16:33:30 2017 : Info: ++[logintime] = noop
16.
Mon Apr 10 16:33:30 2017 : Info: ++[pap] = noop
17.
Mon Apr 10 16:33:30 2017 : Info: +} # group authorize = updated
18.
Mon Apr 10 16:33:30 2017 : Info: Found Auth-Type = EAP
19.
Mon Apr 10 16:33:30 2017 : Info: # Executing group from file /etc/freeradius/sites-enabled/default
20.
Mon Apr 10 16:33:30 2017 : Info: +group authenticate {
21.
Mon Apr 10 16:33:30 2017 : Info: [eap] Request found, released from the list
22.
Mon Apr 10 16:33:30 2017 : Info: [eap] EAP/tls
23.
Mon Apr 10 16:33:30 2017 : Info: [eap] processing type tls
24.
Mon Apr 10 16:33:30 2017 : Info: [tls] Authenticate
25.
Mon Apr 10 16:33:30 2017 : Info: [tls] processing EAP-TLS
26.
Mon Apr 10 16:33:30 2017 : Info: [tls] eaptls_verify returned 7 
27.
Mon Apr 10 16:33:30 2017 : Info: [tls] Done initial handshake
28.
Mon Apr 10 16:33:30 2017 : Info: [tls] <<< TLS 1.0 Handshake [length 0cd3], Certificate  
29.
Mon Apr 10 16:33:30 2017 : Error: --> verify error:num=26:unsupported certificate purpose 
30.
Mon Apr 10 16:33:30 2017 : Info: [tls] >>> TLS 1.0 Alert [length 0002], fatal unsupported_certificate  
31.
Mon Apr 10 16:33:30 2017 : Error: TLS Alert write:fatal:unsupported certificate
32.
Mon Apr 10 16:33:30 2017 : Error:     TLS_accept: error in error
33.
Mon Apr 10 16:33:30 2017 : Error: rlm_eap: SSL error error:140890B2:SSL routines:SSL3_GET_CLIENT_CERTIFICATE:no certificate returned
34.
Mon Apr 10 16:33:30 2017 : Error: SSL: SSL_read failed in a system call (-1), TLS session fails.
35.
Mon Apr 10 16:33:30 2017 : Debug: TLS receive handshake failed during operation
36.
Mon Apr 10 16:33:30 2017 : Info: [tls] eaptls_process returned 4 
37.
Mon Apr 10 16:33:30 2017 : Info: [eap] Handler failed in EAP/tls
38.
Mon Apr 10 16:33:30 2017 : Info: [eap] Failed in EAP select
39.
Mon Apr 10 16:33:30 2017 : Info: ++[eap] = invalid
40.
Mon Apr 10 16:33:30 2017 : Info: +} # group authenticate = invalid
41.
Mon Apr 10 16:33:30 2017 : Info: Failed to authenticate the user.
42.
Mon Apr 10 16:33:30 2017 : Info: Using Post-Auth-Type REJECT
43.
Mon Apr 10 16:33:30 2017 : Info: # Executing group from file /etc/freeradius/sites-enabled/default
44.
Mon Apr 10 16:33:30 2017 : Info: +group REJECT {
45.
Mon Apr 10 16:33:30 2017 : Info: [attr_filter.access_reject]    expand: %{User-Name} -> PI1
46.
Mon Apr 10 16:33:30 2017 : Debug: attr_filter: Matched entry DEFAULT at line 11
47.
Mon Apr 10 16:33:30 2017 : Info: ++[attr_filter.access_reject] = updated
48.
Mon Apr 10 16:33:30 2017 : Info: +} # group REJECT = updated
49.
Mon Apr 10 16:33:30 2017 : Info: Delaying reject of request 7 for 1 seconds
50.
Mon Apr 10 16:33:30 2017 : Debug: Going to the next request
51.
Mon Apr 10 16:33:30 2017 : Debug: Waking up in 0.9 seconds.
52.
Mon Apr 10 16:33:31 2017 : Info: Sending delayed reject for request 7
Mitglied: Looser27
10.04.2017 um 16:44 Uhr
Versuch mal nach der Anleitung

https://www.administrator.de/wissen/ubuntu-14-04-16-04-lts-server-freera ...

Zertifikat kannst Du dann immer noch tauschen.

Gruß

Looser
Bitte warten ..
Mitglied: Phill93
10.04.2017 um 18:39 Uhr
Hallo,

Danke für die ganzen Anleitungen leider machen die alle kein EAP-TLS auf reiner Zertifikatsbasis. Sondern nutzen immer noch ein User Backend zusätzlich. Desweiteren wird überall die interne CA des Radius Verwendet was bei mir ebenfalls nicht möglich ist.

Gruß

Phill93
Bitte warten ..
Mitglied: michaaa
04.11.2017 um 19:28 Uhr
Ist das Problem mittlerweile gelöst? Ich bin nämlich auf das gleiche Problem gestoßen.

Ich habe den Eindruck, dass es am Client-Zertifikat liegt. Nachdem ich (fast) alle X.501 Extensions deaktiviert habe, nur OID 1.3.6.1.4.1.311.17.2 (TLS Web Client Authentication) drin gelassen habe, funktionierte der EAP-TLS Request.

Ich muss mal testen, welches Attribut genau zu dem Verify Error 26 führt.

Bei FreeRadius 3 erzeugt das bootstrap-Script im cert-Verzeichnis der Beispiel-Config genau so ein Client-Zertifikat, dass eben nur diese eine Extension aktiviert hat... ich habe es mit dieser Demo-CA nicht getestet, aber ich vermute, dass es damit funktioniert.
Bitte warten ..
Mitglied: Phill93
06.11.2017 um 20:33 Uhr
Hallo,

Ja das Problem hab ich gelöst.
Der Fehler lag in den Zertifikatserweiterungen.
Das Client Zertifikat muss Client Authentification unterstützen.

Gruß

Phill93
Bitte warten ..
Mitglied: michaaa
06.11.2017 um 20:51 Uhr
In meinem Fall hat es auch nicht funktioniert, wenn zu viele Attribute im Client-Zertifikat enthalten waren. Client Authentification hatte ich von Anfang an drin.
Bitte warten ..
Ähnliche Inhalte
Firewall
PfSense: Freeradius, NUR EAP-TLS
Frage von mrserious73Firewall

Hallo zusammen, gibt's eine Möglichkeit, den Radiusserver in pfSense wirklich NUR EAP-TLS machen zu lassen? Man kann die restlichen ...

LAN, WAN, Wireless

PfSense: Freeradius, EAP-TLS, VLAN-Zuordnung

Frage von mrserious73LAN, WAN, Wireless5 Kommentare

Hallo zusammen, ich verwende nun Freeradius auf pfSense, um ein EAP-TLS für's WLAN zu stellen. In Zukunft möchte ich ...

LAN, WAN, Wireless

WLan-Authentifizierung über NPS mit EAP-TLS

Frage von KopeckLAN, WAN, Wireless1 Kommentar

Hallo, ich habe folgendes Problem: Ich würde gerne mein WLan mit Hilfe von (Benutzer)Zertifikaten absichern. Habe nun in einer ...

LAN, WAN, Wireless

WLAN mit Zertifikaten über Freeradius

Frage von TheBesthLAN, WAN, Wireless1 Kommentar

Hallo, ich habe mal eine spezielle Frage: Ist es möglich Freeradius so zu konfigurieren, dass ich folgendes erreichen kann: ...

Neue Wissensbeiträge
Windows 7

Südkoreas Regierung setzt auf Linux, um Windows 7 Clients abzulösen

Information von kgborn vor 3 StundenWindows 7

Kleiner Infosplitter zum Wochenanfang: Während München (LiMux) und die niedersächsische Finanzverwaltung von Linux auf einen Windows 10-Client (und Office) ...

Internet
Big Brother is Watching You
Information von transocean vor 14 StundenInternet

Moin, die Datenkrake Google fischt Informationen über Einkäufe ab, die GMail Nutzer im Netz tätigen. Gruß Uwe

Datenschutz
TeamViewer gehackt !
Information von aqui vor 16 StundenDatenschutz4 Kommentare

Hat schon einen Grund warum verantwortungsvolle Admins diese Software nicht einsetzen und sie in den meisten größeren Firmen aus ...

Netzwerke

Cisco Security Warnung für SoHo Switches der SG Serie

Information von aqui vor 1 TagNetzwerke3 Kommentare

Update auf eine aktuelle Version wäre also eine gute Idee ! ;-)

Heiß diskutierte Inhalte
Netzwerkgrundlagen
Netzwerk IP Kamera nur an einem Rechner sichtbar
Frage von Lutz-ReNetzwerkgrundlagen8 Kommentare

Guten Abend Ich hab in einem IP 4 Netzwerk mit gleichen Subnetz zwei Kameras mit festen IP Adresse und ...

Verschlüsselung & Zertifikate
Verschlüsselungsmethoden für Netzwerkdateien im Firmennetzwerk
Frage von kafipauseVerschlüsselung & Zertifikate7 Kommentare

Hallo, ich suche für meine Firma eine Verschlüsselungssoftware, um einige Ordner auf einem Fileserver zu verschlüsseln und verschiedenen Gruppen ...

Microsoft Office
Office 2010, 2013, 2016 und 2019 auf einem PC ohne Dualboot?
gelöst Frage von RT81-2019Microsoft Office6 Kommentare

Office 2010, 2013, 2016 und 2019 auf einem PC ohne Dualboot? In wie fern ist es möglich, das 2010 ...

LAN, WAN, Wireless
OpenVpn - Options error: Maximum option line length (256) exceeded - Editor Notepad++
Frage von mike7050LAN, WAN, Wireless5 Kommentare

Hallo zusammen, ich komme nicht mehr weiter leider: Ich habe OpenVPN auf zwei Windows 10 Pro Notebooks eingerichtet. Notebook ...