7
Zertifikate und RADIUS
Moin Leute,
ich benötige ein wenig Input, Ideen und vielleicht Best Practice.
Aktuell ist unsere Infrastruktur fast komplett ohne Zertifikate ausgekommen. Die Ausnahme bilden die Firewall-Zertifikate für VPN und ein Let´s Encrypt für eine Web-Domain. Das war´s denn aber auch.
Mein Ziel ist es für alle internen (Intranet) Web-Dienste, die man via Browser erreichen kann SSL-basierte Verschlüsselung einzuführen. Hinzu kommt auch noch WLAN mit WPA2-Enterprise. Dazu möchte ich gern einen RADIUS-Server auf die Beine stellen und dann darüber die Zertifikate ausrollen. Dieser Part ist nun nicht so schwierig aber bei den Zertifikaten muss man sich dann entscheiden:
Eine eigene CA (online/offline) hat seine Vor- und Nachteile und ich hatte damit bisher keine Berührungen, so dass alles irgendwie "nach Anleitung" installiert werden müsste, was doch einiges an Gefahren mit sich bringt. Selbst signierte Zertifikate finde ich nicht wirklich ideal, daher möchte ich diesen Weg ungern gehen, es sei denn die Vorteile überwiegen deutlich die Nachteile. Kommerzielle Zertifikate gibt es in verschiedenen Ausführungen und Preisen. DV, OV, EV und *-Zertifikate.
Welches wäre hier sinnvoll? Kann ich Intranet Web-Applikationen und WPA2-Enterprise mit nur einem Zertifikat absichern oder doch eher zwei und dann eines als * und für WPA2-E dann ein DV oder OV?
ich benötige ein wenig Input, Ideen und vielleicht Best Practice.
Aktuell ist unsere Infrastruktur fast komplett ohne Zertifikate ausgekommen. Die Ausnahme bilden die Firewall-Zertifikate für VPN und ein Let´s Encrypt für eine Web-Domain. Das war´s denn aber auch.
Mein Ziel ist es für alle internen (Intranet) Web-Dienste, die man via Browser erreichen kann SSL-basierte Verschlüsselung einzuführen. Hinzu kommt auch noch WLAN mit WPA2-Enterprise. Dazu möchte ich gern einen RADIUS-Server auf die Beine stellen und dann darüber die Zertifikate ausrollen. Dieser Part ist nun nicht so schwierig aber bei den Zertifikaten muss man sich dann entscheiden:
- Eigene CA installieren und Zertifikate selber ausstellen
- selbst signierte Zertifikate
- Kommerzielle Zertifikate
Eine eigene CA (online/offline) hat seine Vor- und Nachteile und ich hatte damit bisher keine Berührungen, so dass alles irgendwie "nach Anleitung" installiert werden müsste, was doch einiges an Gefahren mit sich bringt. Selbst signierte Zertifikate finde ich nicht wirklich ideal, daher möchte ich diesen Weg ungern gehen, es sei denn die Vorteile überwiegen deutlich die Nachteile. Kommerzielle Zertifikate gibt es in verschiedenen Ausführungen und Preisen. DV, OV, EV und *-Zertifikate.
Welches wäre hier sinnvoll? Kann ich Intranet Web-Applikationen und WPA2-Enterprise mit nur einem Zertifikat absichern oder doch eher zwei und dann eines als * und für WPA2-E dann ein DV oder OV?
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 3676921783
Url: https://administrator.de/contentid/3676921783
Ausgedruckt am: 21.11.2024 um 13:11 Uhr
7 Kommentare
Neuester Kommentar
Wir bauen unsere PKI auch zur Zeit etwas um.
Unser Root ist Azure Vault und dann haben wir zukünftig zwei Ebene im Haus und nicht mehr drei oder vier. Wir kommen um eine Enterprise PKI nicht herum, wehen der Größe der PKI und der Masse an Zertifikaten die wir täglich benötigen.
Das hier ist auch ganz praktikabel: https://www.der-windows-papst.de/2021/07/20/openssl-pki-erstellen/
Zertifikate über Radius ausrollen?
Unser Root ist Azure Vault und dann haben wir zukünftig zwei Ebene im Haus und nicht mehr drei oder vier. Wir kommen um eine Enterprise PKI nicht herum, wehen der Größe der PKI und der Masse an Zertifikaten die wir täglich benötigen.
Das hier ist auch ganz praktikabel: https://www.der-windows-papst.de/2021/07/20/openssl-pki-erstellen/
Zertifikate über Radius ausrollen?
Moin,
Gruß,
Dani
Kommerzielle Zertifikate
Wird auf Dauer ein teuerer Spaß. Wie teuer hängt natürlich von der Anzahl der Diensten und um bei "Zertifikate und Radius" von den der Anzahl der Clients ab.Eigene CA installieren und Zertifikate selber ausstellen
Eigentlich ist der Wege der Richtige. Allerdings gilt es hier gut zu planen. Nicht nur technisch sondern auch organisatorisch. Denn wenn die CAs einmal eingerichtet ist, ist ein Umbau im laufenden Betrieb meist nicht mehr so einfach. Überlege dir auch wie du wir Wissen in dem Bereich aufbauen möchtest, denn mit Anleitungen aus dem Internet ist es nicht getan.Gruß,
Dani
2
Alternativ lässt man sich automatisiert per Let's Encrypt ein Wildcard Cert ausstellen und verteilt das per Skript auf den Geräten die intern Dienste anbieten, dann spart man sich das vertrauenswürdig machen der CA und das Ausstellen von mehreren Zertifikaten.
Dazu möchte ich gern einen RADIUS-Server auf die Beine stellen und dann darüber die Zertifikate ausrollen.
Unsinn, ein Radius verteilt keine Zertifikate, der authentifiziert User/Geräte!1
Habe nun eine lokale Root CA + NPS Dienst installiert. War nicht ganz so trivial. Schon halben Tag benötigt. Auch RADIUS mit der Firewall verbunden und WPA2 Enterprise läuft.
Bin nun aber wegen HTTPS etwas verwirrt, zumindest meckert Mozilla Firefox, dass die Verbindung nicht sicher ist. Edge und Chrome ohne Probleme. Firefox listet die CA auf, wo ist also der Fehler?
Bin nun aber wegen HTTPS etwas verwirrt, zumindest meckert Mozilla Firefox, dass die Verbindung nicht sicher ist. Edge und Chrome ohne Probleme. Firefox listet die CA auf, wo ist also der Fehler?
Zitat von @DerMaddin:
Bin nun aber wegen HTTPS etwas verwirrt, zumindest meckert Mozilla Firefox, dass die Verbindung nicht sicher ist. Edge und Chrome ohne Probleme. Firefox listet die CA auf, wo ist also der Fehler?
Wohin? Zu wenig Info was du überhaupt machst ... Firefox hat seinen eigenen CA Speicher, man kann ihm aber auch beibringen den von Windows zu nutzen, => about:config => ''security.enterprise_roots.enabled' => trueBin nun aber wegen HTTPS etwas verwirrt, zumindest meckert Mozilla Firefox, dass die Verbindung nicht sicher ist. Edge und Chrome ohne Probleme. Firefox listet die CA auf, wo ist also der Fehler?
https://support.umbrella.com/hc/en-us/articles/115000669728-Configuring- ...
Wenn du nicht den NPS von MS meinst, kannst du auch ohne CA selbstsignierte Zerts für WPA2 verteilen. Solltest du jedoch NPS nutzen wollen, ist die Best Pratice von MS eine CA zu nutzen, da es mit certs von dritten Probleme geben kann und nicht für den Enterprise Betrieb gedacht ist.
@3479126418 ja genau, da war es wohl, nun klappt alles auch intern
@surreal1 NPS vom MS ist schon gemeint
@surreal1 NPS vom MS ist schon gemeint
