Zertifikat für IAS Radius Server mit openssl erstellen
Ich würde gerne schnell und unkompliziert ein Zertifikat für einen IAS Radiusserver erstellen, der damit 802.1X mit PEAP (EAP-MSCHAPv2) machen können soll.
Es gibt zig Webseiten die dokumentieren wie man unter openssl eine Root CA aufsetzt, wie man einen Cert-Request erzeugt und diesen dann signiert.
Da sinds jedoch oft mehr Informationen als man braucht.
Bevor ich jedoch jetzt damit rumexperimentiere - kann mir jemand die Befehle der Reihe nach auflisten (von A-Z) der das schonmal gemacht hat so dass es auch für den IAS passt?
1. Root CA aufsetzen
1.1. Schlüsselpaar für Root CA generieren
1.2. Root CA Zertifikat generieren
2. Schlüsselpaar für IAS Server generieren
2.1 Cert-Request für IAS Server ias.firma.de generieren (ias.firma.de/ Einsatzzweck für Serverauthentisieren)
3. Cert-Request mit der Root CA signieren
4. Aus privatem Key und Zertifikat ein .pfx File erzeugen das man im IAS installieren kann, das den priv. Schlüssel als auch das Zertifikat enthält.
Danke
Es gibt zig Webseiten die dokumentieren wie man unter openssl eine Root CA aufsetzt, wie man einen Cert-Request erzeugt und diesen dann signiert.
Da sinds jedoch oft mehr Informationen als man braucht.
Bevor ich jedoch jetzt damit rumexperimentiere - kann mir jemand die Befehle der Reihe nach auflisten (von A-Z) der das schonmal gemacht hat so dass es auch für den IAS passt?
1. Root CA aufsetzen
1.1. Schlüsselpaar für Root CA generieren
1.2. Root CA Zertifikat generieren
2. Schlüsselpaar für IAS Server generieren
2.1 Cert-Request für IAS Server ias.firma.de generieren (ias.firma.de/ Einsatzzweck für Serverauthentisieren)
3. Cert-Request mit der Root CA signieren
4. Aus privatem Key und Zertifikat ein .pfx File erzeugen das man im IAS installieren kann, das den priv. Schlüssel als auch das Zertifikat enthält.
Danke
Please also mark the comments that contributed to the solution of the article
Content-ID: 91883
Url: https://administrator.de/contentid/91883
Printed on: October 8, 2024 at 00:10 o'clock
11 Comments
Latest comment
Hallo,
auch wenns etwas umfangreicher ist:
http://www.microsoft.com/germany/technet/datenbank/articles/900010.mspx
Gruß,
Schorsch
auch wenns etwas umfangreicher ist:
http://www.microsoft.com/germany/technet/datenbank/articles/900010.mspx
Gruß,
Schorsch
Hallo,
genau bei dieser Anleitung bin ich gerade. Ich habe meine CA installiert und möchte jetzt das die RAS-Richtlinie erstellen. Beim Auswählen von PEAP bzw dessen Konfiguration bekomme ich eine Fehlermeldung, dass kein Zertifikat gefunden werden konnte, welches mit PEAP funktioniert.
Wie muss ich denn das benötigte Zertifikat erstellen? Es handelt sich bei der Installation der CA wohl auch nur um eine art abgespeckte Version der CA welche durch ein Script installiert wird. Ich hab also auch noch keine Möglichkeit gefunden überhaupt ein Zertifikat auszustellen!?
Ich hab vor ein paar Jahren mal eine CA aufgesetzt und da konnte man über eine Weboberfläche ein Zertifiakt anfordern bzw später registrieren. Das geht mit dieser CA hier aber nicht!?
Vielen Dank für jede Hilfe schonmal im Voraus
Gruß
Michael
genau bei dieser Anleitung bin ich gerade. Ich habe meine CA installiert und möchte jetzt das die RAS-Richtlinie erstellen. Beim Auswählen von PEAP bzw dessen Konfiguration bekomme ich eine Fehlermeldung, dass kein Zertifikat gefunden werden konnte, welches mit PEAP funktioniert.
Wie muss ich denn das benötigte Zertifikat erstellen? Es handelt sich bei der Installation der CA wohl auch nur um eine art abgespeckte Version der CA welche durch ein Script installiert wird. Ich hab also auch noch keine Möglichkeit gefunden überhaupt ein Zertifikat auszustellen!?
Ich hab vor ein paar Jahren mal eine CA aufgesetzt und da konnte man über eine Weboberfläche ein Zertifiakt anfordern bzw später registrieren. Das geht mit dieser CA hier aber nicht!?
Vielen Dank für jede Hilfe schonmal im Voraus
Gruß
Michael
Hallo,
bin heute auf diesen Thread gestoßen. Besteht noch Bedarf für eine Lösung dieser Problematik? Ich hätte da zwei Wege anzubieten.
Gruß
bin heute auf diesen Thread gestoßen. Besteht noch Bedarf für eine Lösung dieser Problematik? Ich hätte da zwei Wege anzubieten.
Gruß
Hey, kann ich hier irgendwie Dateien anhängen? Hab ne schöne Doku zu dem Thema geschrieben.
Also hier wie versprochen die Lösung des Problems.
Ich habe eine Doku geschrieben, wie man mittels openssl Zertifikate generiert, die für eine Authentifizierung mittels PEAP über Microsoft IAS genutzt werden können.
Hier der Link zur Doku:
http://rapidshare.com/files/358808958/Erstellen_von_Zertifikaten_f__r_I ...
Bei der Erstellung der Doku waren die Informationen auf folgender Website äußerst hilfreich:
http://www.cs.bham.ac.uk/~smp/resources/peap/
Natürlich kann man die Authentifizierung mittels Zertifikaten auch mit dem Enterprise Server von Microsoft realisieren. Das ist bedeutend einfacher.
Wie es funktioniert ist hier gut erklärt:
http://www.microsoft.com/germany/technet/sicherheit/themen/Cryptography ...
So, das sollte jedem helfen, der mal mit dem Thema Authentifizierung mittels Zertifikaten unter Windows in Berührung kommt.
Bei Fragen oder Verbesserungsvorschlägen einfach melden.
Ich habe eine Doku geschrieben, wie man mittels openssl Zertifikate generiert, die für eine Authentifizierung mittels PEAP über Microsoft IAS genutzt werden können.
Hier der Link zur Doku:
http://rapidshare.com/files/358808958/Erstellen_von_Zertifikaten_f__r_I ...
Bei der Erstellung der Doku waren die Informationen auf folgender Website äußerst hilfreich:
http://www.cs.bham.ac.uk/~smp/resources/peap/
Natürlich kann man die Authentifizierung mittels Zertifikaten auch mit dem Enterprise Server von Microsoft realisieren. Das ist bedeutend einfacher.
Wie es funktioniert ist hier gut erklärt:
http://www.microsoft.com/germany/technet/sicherheit/themen/Cryptography ...
So, das sollte jedem helfen, der mal mit dem Thema Authentifizierung mittels Zertifikaten unter Windows in Berührung kommt.
Bei Fragen oder Verbesserungsvorschlägen einfach melden.
Hallo
Vielen Dank für Deine ausführliche Doku
Leider habe ich noch ein kleines Problem bei mir funktioniert dieser Befehl nicht:
openssl pkcs12 -name "IAS Certificate" -export -in newkey.pem -out ias_cert.p12 -CSP “Microsoft RSA SChannel Cryptographic Provider” –LMK
-> kommt immer die Meldung das die Syntax nicht stimmt.
Denn ich den geleichen Befehl ohne -CSP “Microsoft RSA SChannel Cryptographic Provider”
eingebe so funktioniert es.
Hat jemand irgend eine Idee?
Danke
Gruss fosi
Vielen Dank für Deine ausführliche Doku
Leider habe ich noch ein kleines Problem bei mir funktioniert dieser Befehl nicht:
openssl pkcs12 -name "IAS Certificate" -export -in newkey.pem -out ias_cert.p12 -CSP “Microsoft RSA SChannel Cryptographic Provider” –LMK
-> kommt immer die Meldung das die Syntax nicht stimmt.
Denn ich den geleichen Befehl ohne -CSP “Microsoft RSA SChannel Cryptographic Provider”
eingebe so funktioniert es.
Hat jemand irgend eine Idee?
Danke
Gruss fosi
Welche OpenSSL Version nutzt du? Ich hatte ähnliche Probleme, wenn ich eine ältere Version als 0.9.8h benutzt habe.
Wie lautet genau der syntaxfehler?
Gruß
Wie lautet genau der syntaxfehler?
Gruß
Versuche mal, den Ordner demoCA zu löschen und erstelle dann nochmal eine neue CA mit "perl ca.pl –newca".
In dem demoCA Ordner werden sowohl ausgestellte Certs als auch die CRL verwaltet. Ich hatte hin und wieder mal Probleme, wenn ich mehrmals Zertifikatanfragen an die CA gestellt habe. Einige Zertifikate konnte ich dann nicht mehr richtig signieren. Das hört sich zwar erstmal nicht unbedingt nach deinem Problem an, aber versuche es bitte mal.
Gehst du ansonsten genau nach meiner Doku vor? Habe es gerade nochmal ausprobiert und es funktioniert bei nach wie vor, wie ich es in der Doku beschrieben habe.
Wenn du das Zusatzattribut nicht an das Cert anhängen kannst, ist es klar, dass dieses nicht in deinen IAS importiert werden kann. Microsoft prüft beim Import die Attribute des Zertifikats und wenn dort als CSP nicht Microsoft RSA SChannel Cryptographic Provider eingetragen ist, wird das Cert vom OS nicht akzeptiert. Du brauchst also dieses Zusatzattribut.
Hast du es schonmal mit der openssl Version 0.9.8h probiert. Die habe ich bei mir laufen. Mit der 0.9.8i geht es auch.
Gruß
In dem demoCA Ordner werden sowohl ausgestellte Certs als auch die CRL verwaltet. Ich hatte hin und wieder mal Probleme, wenn ich mehrmals Zertifikatanfragen an die CA gestellt habe. Einige Zertifikate konnte ich dann nicht mehr richtig signieren. Das hört sich zwar erstmal nicht unbedingt nach deinem Problem an, aber versuche es bitte mal.
Gehst du ansonsten genau nach meiner Doku vor? Habe es gerade nochmal ausprobiert und es funktioniert bei nach wie vor, wie ich es in der Doku beschrieben habe.
Wenn du das Zusatzattribut nicht an das Cert anhängen kannst, ist es klar, dass dieses nicht in deinen IAS importiert werden kann. Microsoft prüft beim Import die Attribute des Zertifikats und wenn dort als CSP nicht Microsoft RSA SChannel Cryptographic Provider eingetragen ist, wird das Cert vom OS nicht akzeptiert. Du brauchst also dieses Zusatzattribut.
Hast du es schonmal mit der openssl Version 0.9.8h probiert. Die habe ich bei mir laufen. Mit der 0.9.8i geht es auch.
Gruß