dermaddin
Goto Top

Zertifikate und RADIUS

Moin Leute,

ich benötige ein wenig Input, Ideen und vielleicht Best Practice.

Aktuell ist unsere Infrastruktur fast komplett ohne Zertifikate ausgekommen. Die Ausnahme bilden die Firewall-Zertifikate für VPN und ein Let´s Encrypt für eine Web-Domain. Das war´s denn aber auch.

Mein Ziel ist es für alle internen (Intranet) Web-Dienste, die man via Browser erreichen kann SSL-basierte Verschlüsselung einzuführen. Hinzu kommt auch noch WLAN mit WPA2-Enterprise. Dazu möchte ich gern einen RADIUS-Server auf die Beine stellen und dann darüber die Zertifikate ausrollen. Dieser Part ist nun nicht so schwierig aber bei den Zertifikaten muss man sich dann entscheiden:

  • Eigene CA installieren und Zertifikate selber ausstellen
  • selbst signierte Zertifikate
  • Kommerzielle Zertifikate

Eine eigene CA (online/offline) hat seine Vor- und Nachteile und ich hatte damit bisher keine Berührungen, so dass alles irgendwie "nach Anleitung" installiert werden müsste, was doch einiges an Gefahren mit sich bringt. Selbst signierte Zertifikate finde ich nicht wirklich ideal, daher möchte ich diesen Weg ungern gehen, es sei denn die Vorteile überwiegen deutlich die Nachteile. Kommerzielle Zertifikate gibt es in verschiedenen Ausführungen und Preisen. DV, OV, EV und *-Zertifikate.

Welches wäre hier sinnvoll? Kann ich Intranet Web-Applikationen und WPA2-Enterprise mit nur einem Zertifikat absichern oder doch eher zwei und dann eines als * und für WPA2-E dann ein DV oder OV?

Content-Key: 3676921783

Url: https://administrator.de/contentid/3676921783

Ausgedruckt am: 04.10.2022 um 02:10 Uhr

Mitglied: unbelanglos
unbelanglos 17.08.2022 aktualisiert um 09:02:33 Uhr
Goto Top
Wir bauen unsere PKI auch zur Zeit etwas um.

Unser Root ist Azure Vault und dann haben wir zukünftig zwei Ebene im Haus und nicht mehr drei oder vier. Wir kommen um eine Enterprise PKI nicht herum, wehen der Größe der PKI und der Masse an Zertifikaten die wir täglich benötigen.

Das hier ist auch ganz praktikabel: https://www.der-windows-papst.de/2021/07/20/openssl-pki-erstellen/

Zertifikate über Radius ausrollen?
Mitglied: Dani
Dani 17.08.2022 um 10:12:07 Uhr
Goto Top
Moin,
Kommerzielle Zertifikate
Wird auf Dauer ein teuerer Spaß. Wie teuer hängt natürlich von der Anzahl der Diensten und um bei "Zertifikate und Radius" von den der Anzahl der Clients ab.

Eigene CA installieren und Zertifikate selber ausstellen
Eigentlich ist der Wege der Richtige. Allerdings gilt es hier gut zu planen. Nicht nur technisch sondern auch organisatorisch. Denn wenn die CAs einmal eingerichtet ist, ist ein Umbau im laufenden Betrieb meist nicht mehr so einfach. Überlege dir auch wie du wir Wissen in dem Bereich aufbauen möchtest, denn mit Anleitungen aus dem Internet ist es nicht getan.


Gruß,
Dani
Mitglied: 3479126418
3479126418 17.08.2022 aktualisiert um 11:55:39 Uhr
Goto Top
Alternativ lässt man sich automatisiert per Let's Encrypt ein Wildcard Cert ausstellen und verteilt das per Skript auf den Geräten die intern Dienste anbieten, dann spart man sich das vertrauenswürdig machen der CA und das Ausstellen von mehreren Zertifikaten.
Dazu möchte ich gern einen RADIUS-Server auf die Beine stellen und dann darüber die Zertifikate ausrollen.
Unsinn, ein Radius verteilt keine Zertifikate, der authentifiziert User/Geräte!
Mitglied: DerMaddin
DerMaddin 17.08.2022 um 15:46:14 Uhr
Goto Top
Habe nun eine lokale Root CA + NPS Dienst installiert. War nicht ganz so trivial. Schon halben Tag benötigt. Auch RADIUS mit der Firewall verbunden und WPA2 Enterprise läuft.

Bin nun aber wegen HTTPS etwas verwirrt, zumindest meckert Mozilla Firefox, dass die Verbindung nicht sicher ist. Edge und Chrome ohne Probleme. Firefox listet die CA auf, wo ist also der Fehler?
Mitglied: 3479126418
Lösung 3479126418 17.08.2022 aktualisiert um 15:52:26 Uhr
Goto Top
Zitat von @DerMaddin:
Bin nun aber wegen HTTPS etwas verwirrt, zumindest meckert Mozilla Firefox, dass die Verbindung nicht sicher ist. Edge und Chrome ohne Probleme. Firefox listet die CA auf, wo ist also der Fehler?
Wohin? Zu wenig Info was du überhaupt machst ... Firefox hat seinen eigenen CA Speicher, man kann ihm aber auch beibringen den von Windows zu nutzen, => about:config => ''security.enterprise_roots.enabled' => true
https://support.umbrella.com/hc/en-us/articles/115000669728-Configuring- ...
Mitglied: surreal1
Lösung surreal1 17.08.2022 um 21:59:29 Uhr
Goto Top
Wenn du nicht den NPS von MS meinst, kannst du auch ohne CA selbstsignierte Zerts für WPA2 verteilen. Solltest du jedoch NPS nutzen wollen, ist die Best Pratice von MS eine CA zu nutzen, da es mit certs von dritten Probleme geben kann und nicht für den Enterprise Betrieb gedacht ist.
Mitglied: DerMaddin
DerMaddin 18.08.2022 um 07:34:07 Uhr
Goto Top
@3479126418 ja genau, da war es wohl, nun klappt alles auch intern

@surreal1 NPS vom MS ist schon gemeint