8
WLAN Zertifikat muss von der gleichen CA ausgestellt sein wie NPS Zertifikat
Hallo zusammen,
ich habe hier ein merkwürdiges Verhalten mit IOS Geräten in Verbindung mit Radius Authentifizierung.
Vielleicht hat das der eine oder der andere schon gehabt und kann was dazu sagen.
Wir haben folgende (neue) CA-Infrastruktur
Root CA -> ( mehrere) Sub-CAs -> Zertifikate
Zertifikate werden über JAMF verteilt, Radius Server ist Windows Server 2022, issuing Sub-CA ist eine domainintegrierte CA mit Windows Server 2022, IOS Geräte sind auf dem aktuellsten Stand.
CRLs sind von allen Zertifikaten und CA Zertifikaten richtig hinterlegt und werden von den Geräten auch erreicht. Auch aus dem Internet.
Wenn das Zertifikat vom NPS Server von der gleichen Sub-CA ausgestellt ist wie die WLAN Zertifikate funktioniert die Anmeldung problemlos, wenn das NPS Zertifikat von einer anderen Sub-CA ausgestellt ist, Root-CA ist wohlgemerkt die selbe, funktioniert es nicht, es gibt keine Meldung auf dem NPS Server, Iphone verweigert einfach die Authentifizierung.
Ich kann mir das Verhalten nicht erklären, NPS Zertifikat ist bei beiden Fällen auf dem Gerät.
Vielleicht kennt jemand dieses Verhalten und kann es erklären?
Bonusfrage: Gibt es irgendwelche Logs die man aus dem IPhone auslesen kann und wenn ja wie kann man die auslesen?
Viele Grüße
ich habe hier ein merkwürdiges Verhalten mit IOS Geräten in Verbindung mit Radius Authentifizierung.
Vielleicht hat das der eine oder der andere schon gehabt und kann was dazu sagen.
Wir haben folgende (neue) CA-Infrastruktur
Root CA -> ( mehrere) Sub-CAs -> Zertifikate
Zertifikate werden über JAMF verteilt, Radius Server ist Windows Server 2022, issuing Sub-CA ist eine domainintegrierte CA mit Windows Server 2022, IOS Geräte sind auf dem aktuellsten Stand.
CRLs sind von allen Zertifikaten und CA Zertifikaten richtig hinterlegt und werden von den Geräten auch erreicht. Auch aus dem Internet.
Wenn das Zertifikat vom NPS Server von der gleichen Sub-CA ausgestellt ist wie die WLAN Zertifikate funktioniert die Anmeldung problemlos, wenn das NPS Zertifikat von einer anderen Sub-CA ausgestellt ist, Root-CA ist wohlgemerkt die selbe, funktioniert es nicht, es gibt keine Meldung auf dem NPS Server, Iphone verweigert einfach die Authentifizierung.
Ich kann mir das Verhalten nicht erklären, NPS Zertifikat ist bei beiden Fällen auf dem Gerät.
Vielleicht kennt jemand dieses Verhalten und kann es erklären?
Bonusfrage: Gibt es irgendwelche Logs die man aus dem IPhone auslesen kann und wenn ja wie kann man die auslesen?
Viele Grüße
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 669617
Url: https://administrator.de/forum/wlan-zertifikat-muss-von-der-gleichen-ca-ausgestellt-sein-wie-nps-zertifikat-669617.html
Ausgedruckt am: 21.12.2024 um 16:12 Uhr
8 Kommentare
Neuester Kommentar
Keine Meldung vom NPS heißt? Es gibt da auch nicht in der Ereignisanzeige bzw NPS Log?
Zitat von @150631:
Keine Meldung vom NPS heißt? Es gibt da auch nicht in der Ereignisanzeige bzw NPS Log?
Keine Meldung vom NPS heißt? Es gibt da auch nicht in der Ereignisanzeige bzw NPS Log?
Genau, kein Ereignis in der Ereignisanzeige, d.h. es wird gar nicht versucht zu authentifizieren.
eventuell liegts ja an der Option
(bei Windows Clients)
Identität des Servers (also NPS) mittels Zertifkatprüfung überprüfen
Bei windows kann man den Haken wegmachen dann ist es egal ob der Client dem NPS Zertifikat vertraut.
In dem fall wird wohl dem eben nicht vertraut und somit kommuniziert der Client nicht mehr mit dem NPS System.
So würde ich die Lage einschätzen.
Wo man sowas im Apple einstellen kann? >> viel spass beim suchen
(bei Windows Clients)
Identität des Servers (also NPS) mittels Zertifkatprüfung überprüfen
Bei windows kann man den Haken wegmachen dann ist es egal ob der Client dem NPS Zertifikat vertraut.
In dem fall wird wohl dem eben nicht vertraut und somit kommuniziert der Client nicht mehr mit dem NPS System.
So würde ich die Lage einschätzen.
Wo man sowas im Apple einstellen kann? >> viel spass beim suchen
Moin.
Es könnte auch sein das Apple bei erstmaligen Vertrauen des Radius Cert sich dieses für das aktuelle WLAN Profil merkt und bei einem plötzlichen Wechsel wie du es hier machst dann denkt, das da jemand Man In the Middle spielen will und das Verbinden dann verweigert. Mangels Eierföhn kann ich das hier leider nicht verifizieren.
Also mal das WLAN Profil löschen und neu anlegen und neu versuchen.
https://support.apple.com/de-de/guide/deployment/depabc994b84/web
Des weiteren hat Apple auch spezielle Anforderungen an die Zertifikate:
https://support.apple.com/en-us/103769
https://support.apple.com/en-us/102028
Gruß catrell
Es könnte auch sein das Apple bei erstmaligen Vertrauen des Radius Cert sich dieses für das aktuelle WLAN Profil merkt und bei einem plötzlichen Wechsel wie du es hier machst dann denkt, das da jemand Man In the Middle spielen will und das Verbinden dann verweigert. Mangels Eierföhn kann ich das hier leider nicht verifizieren.
Also mal das WLAN Profil löschen und neu anlegen und neu versuchen.
https://support.apple.com/de-de/guide/deployment/depabc994b84/web
Vertrauen:
* Vertrauenswürdige Zertifikate: Wenn das untergeordnete Zertifikat des RADIUS-Servers in einer Zertifikate-Payload im selben Profil bereitgestellt wird, das die 802.1X-Konfiguration enthält, kann der Administrator sie dort auswählen. Auf diese Weise wird der anfordernde Client so konfiguriert, dass er nur die Verbindung zu einem 802.1X-Netzwerk mit einem RADIUS-Server herstellt, der sich durch eines der in der Liste enthaltenen Zertifikate ausweist. Bei einer solchen Konfiguration wird die 802.1X-Verbindung kryptografisch an bestimmte Zertifikat angeheftet.
* Vertrauenswürdige Serverzertifikat-Namen: Mit diesem Array kann das anfordernde Gerät so konfiguriert werden, dass es nur die Verbindung zu einem RADIUS-Server herstellt, der sich durch ein Zertifikat ausweist, dessen Name mit einem der aufgelisteten Namen übereinstimmt. In diesem Feld sind Platzhalterzeichen zulässig. Beispiel: Bei Eingabe von „*.betterbag.com“ wird „radius1.betterbag.com“ oder „radius2.betterbag.com“ als CN (Common Name) des Zertifikats erwartet. Platzhalterzeichen bieten Administratoren mehr Flexibilität, wenn Änderungen an verfügbaren RADIUS- oder Zertifizierungsinstanz-Servern auftreten.
Des weiteren hat Apple auch spezielle Anforderungen an die Zertifikate:
https://support.apple.com/en-us/103769
https://support.apple.com/en-us/102028
Gruß catrell
2
Der NPS schreibt noch mal eigene Logs.
ja aber wenn der client kein bock auf auth hat, was in dem fall vermutlich so ist, dann ladet auch nix im log vom NPS.
kann man dann nur am client was sehen in logs wenn er den logs hat
im switch kann man im debug meist dann sowas sehen wie "no response from device" oder so...
dann meldet der switch auch nix zum NPS daher auch nix im log.
kann man dann nur am client was sehen in logs wenn er den logs hat
im switch kann man im debug meist dann sowas sehen wie "no response from device" oder so...
dann meldet der switch auch nix zum NPS daher auch nix im log.
Wenn es das denn nun war als Lösung bitte nicht vergessen deinen Tread dann auch als erledigt zu markieren!
Wie kann ich einen Beitrag als gelöst markieren?
Wie kann ich einen Beitrag als gelöst markieren?
