denkis
Goto Top

Zertifikate erzeugen - gerätebasiert

Hallo Communitiy,

aufgrund einer unfreiwilligen Auszeit konnte ich das untenstehende Thema nicht weiter verfolgen.

Microsoft NPS zum RADIUS konfigurieren


Mittlerweile läuft das WLAN, jedoch nach wie vor über WPA-Key. RADIUS läuft auch testweise, macht aber ohne Zertifikate keinen Sinn.
Für die WLAN-Teilnehmer soll AD-Authentifizierung eingeführt werden, wofür ich jedoch gerätebasierende Zertifikate benötige. Diese Zertifikate zu erzeugen und zu verteilen bereitet mir einiges Kopfzerbrechen, da es nicht wirklich brauchbare Beiträge dazu gibt, noch dazu wenn es um Windowsumgebungen geht (DC=SBS2011).
Vielleicht könnt Ihr helfen.

Vielen Dank
denkis

Content-ID: 270397

Url: https://administrator.de/forum/zertifikate-erzeugen-geraetebasiert-270397.html

Ausgedruckt am: 22.12.2024 um 14:12 Uhr

catachan
catachan 27.04.2015 um 12:10:19 Uhr
Goto Top
Hi

installier auf deinem SBS (sofern supported) die Zertififikatsdienste. Danach machst du eine GPO für die entsprechenden Rechner damit sie sich autamtisch ein Zertifikat von der CA holen (diese muss AD integriert sein)


Computer Certificate Auto-Enrollment

Computer Configuration > Windows Settings > Security Settings > Public Key Policies > Certificate Services Client - Auto-Enrollment

User Certificate Auto-Enrollment

User Configuration > Windows Settings > Security Settings > Public Key Policies > Certificate Services Client - Auto-Enrollment

Soweit ich mich erinnere gibt es in der CA auch eine Einstellung die verhindert, dass die USer das Zertifikat selber exportieren und auf anderen Geräten einspielen können. Weiß gerade nicht auswendig wo. Sollte sich aber ergoogeln lassen
Deepsys
Lösung Deepsys 27.04.2015, aktualisiert am 03.06.2015 um 20:34:34 Uhr
Goto Top
Hallo,

Zitat von @denkis:
Für die WLAN-Teilnehmer soll AD-Authentifizierung eingeführt werden, wofür ich jedoch gerätebasierende Zertifikate benötige.
Nicht unbedingt. Es reicht auch ein AD-Konto des Gerätes aus.
Du legst im NPS eine Richtlinie an, die alle Geräte einer bestimmten Gruppe reinlässt.
In diese Gruppe kommen dann die Geräte die in das WLAN sollen.

Das mit den Zertifikaten habe ich auch versucht, bin aber auch gescheitert; auch das automatisch Rollout wollte irgendwie nicht.

Ich vermute auch einen Fehler in deinem älteren Post: Nicht nur der WLAN-Controller muss als RADIUS Client rein, auch alle anderen Controller und zwar mit dem Kennwort vom Controller!
Sonst erlaubt der RADIUS-Server die Anfrage nicht, weil die IP vom AccessPoint nicht erlaubt ist.

Ach ja, die Ergebnisanzeige und die Logs unter C:\Windows\System32\LogFiles sind den Freund face-smile
VG,
Deepsys
denkis
denkis 12.05.2015 um 08:49:11 Uhr
Goto Top
Hallo Deepsys, Hallo catachan

entschuldigt die späte Rückmeldung. Ich bin leider erst gestern dazu gekommen weiter zu testen.
Mit der Zertifikatvariante werde ich nicht froh und mein Chef wird langsam ungeduldig face-wink.
Deshalb habe ich auch Deine Variante probiert Deepsys. Leider kam ich auch damit nicht weiter, weil der WLAN - Controller aus mir unerfindlichen Gründen den APs andere IP Adressen gibt. Jene Adressen die ich manuell zugewiesen habe sind nicht mehr da. Außerdem habe ich gestern in einer erweiterten Dokumentation unserer Switche (HP2530) entdeckt, dass es auch bei ihnen RADIUS Einstellungen gibt. Weiß jemand, ob die zum Durchschleifen von RADIUS Informationen relevant sind?

VG
denkis
Deepsys
Deepsys 12.05.2015 um 09:11:24 Uhr
Goto Top
Zitat von @denkis:

Deshalb habe ich auch Deine Variante probiert Deepsys. Leider kam ich auch damit nicht weiter, weil der WLAN - Controller aus mir
unerfindlichen Gründen den APs andere IP Adressen gibt. Jene Adressen die ich manuell zugewiesen habe sind nicht mehr da.
Ähm, der WLAN-Controller "gibt" eigentlich doch gar keine IP-Adressen an die APs, das macht der DHCP-Server.
Und vom dem DHCP-Server bekommt der AP dann gesagt wer sein Controller ist (CAPWAP); jedenfalls kenne ich das so von bintec.


Außerdem habe ich gestern in einer erweiterten Dokumentation unserer Switche (HP2530) entdeckt, dass es auch bei ihnen
RADIUS Einstellungen gibt. Weiß jemand, ob die zum Durchschleifen von RADIUS Informationen relevant sind?
Also, das ist normalerweise dafür da, das die Geräte mit Kabel sich authentifizieren. Mit WLAN wird das aber nicht gehen, dann dafür müssten die Geräte ja schon mit dem AP verbunden sein, tauchen ja sonst nicht am Switch auf.

Fang mal mit dem APs und deren IP an, dann sollte das klappen.
Wie geschrieben, jeder AP muss mit seiner IP als RADIUS Client reingeschrieben werden.
denkis
denkis 03.06.2015 um 20:39:53 Uhr
Goto Top
Hallo,

ich habe jetzt entsprechend Eurer Vorlagen nochmals alles probiert. Die Lösung von Deepsys schien mir zuletzt jedoch am wenigsten kompliziert, bei einem akzeptablen Maß an Sicherheit.
Nachdem ich die Access Points dem Radius hinzugefügt hatte funktionierte alles problemlos.

Danke an Euch.

Viele Grüße
Denkis