spacyfreak
Goto Top

IAS Zertifikatsfehlermeldung Could not retrieve the Remote Access Servers certificate due to the following error The credentials supplied to the package were not recognized.

Error: Could not retrieve the Remote Access Server's certificate due to the following error: The credentials supplied to the package were not recognized.

Autsch!
Diese garstige Fehlermeldung hat schon paar mal meine Wege gekreuzt und sie gehört zumindest für mich zu den gemeinsten, hinterhältigsten Fehlermeldungen in diesem Teil der Galaxis!

Das Einrichten von WLAN 802.1X mit IAS und Access Points geht eigentlich - wenn man Radius, EAP und 802.1X halbwegs kapiert hat - recht zügig von statten.
Richtig fette und nervige Probleme kommen erfahrungsgemäss gerne von einer Ecke aus der man es garnicht erwarten würde - das IAS Serverzertifikat muss irgendwie hergezaubert werden.


Wie eine PKI funktioniert und was ein Zertitikat oder gar eine Root CA ist wissen wir spätestens seitdem uns unser IT-Trainer die Sage von "Alice" und "Bob" erzählt hat.
Wie man jedoch ein für einen IAS Server funktionierendes Zertifikiat erstellt - DAS hat er uns leider verschwiegen!

Das soll jetzt jedoch garnicht das Thema sein, sondern wie man obige Fehlermeldung wegkriegt!

Verisign kann man ja vorwerfen was man will - machen Unsummen Gewinn nur weil ihre Root CA Zertifikate in den meisten Browsern drin sind.
Auf meine Anfragen bei den grossen Browser-Herstellern der Welt ob sie auch bereit wären MEIN Root-CA Zertifikat mit der Installation des Browsers auszurollen wurde ich darauf hingewiesen dass gleich die netten Männer in den weissen Kitteln kommen um mich abzuholen - klingt irgendwie nett, verheisst jedoch nichts Gutes! face-wink

Manche halten das gar für eine Unverschämtheit, für ein schlichtes Zertifikat solch abartige Summen zu verlangen.
Verisign halte ich jedoch zu Gute dass sie folgenden Knowledgebaseartikel geschrieben haben, der obiges Problem tatsächlich löst:.

Der Hinweis ist mir ein Tutorial wert, weil ich per Google alles mögliche gefunden habe - nur keine Lösung für dieses Problem, das schon Generationen von Administratoren in den vorzeitigen Wahnsinn trieb!

https://knowledge.verisign.com/support/ssl-certificates-support/index?pa ...

Error: "Could not retrieve the Remote Access Server's certificate due to the following error: The credentials supplied to the package were not recognized."

Content-Key: 96516

Url: https://administrator.de/contentid/96516

Printed on: February 25, 2024 at 11:02 o'clock

Member: Warze69
Warze69 Sep 11, 2008 at 16:02:58 (UTC)
Goto Top
siehe http://www.microsoft.com/downloads/details.aspx?FamilyID=1971d43c-d2d9- ...

siehe http://www.microsoft.com/germany/technet/datenbank/articles/600846.mspx

Eine Unternehmens-CA zu installieren und Zertifikate für IAS auszustellen, ist wirklich keine Hexerei. Das Zertifikat kann ganz leicht via Gruppenrichtlinien an die Clients verteilt werden.
Member: spacyfreak
spacyfreak Sep 12, 2008 at 05:19:42 (UTC)
Goto Top
In der Theorie ist alles ganz leicht. face-wink
Member: Warze69
Warze69 Sep 12, 2008 at 05:41:53 (UTC)
Goto Top
Ich habe das bereits selbst getestet. Anhand der Beschreibung war es wirklich nicht schwer. Man kann sich aber nicht überall auskennen, sonst wäre man Gott. Sogar der macht Fehler.
Member: spacyfreak
spacyfreak Sep 12, 2008 at 19:54:15 (UTC)
Goto Top
Das hat jetzt zwar alles nix mit dem Thema zu tun - klar ist es easy wenn man halbwegs Ahnung und eine Anleitung hat, eine CA auf nem Server2003 zu installieren.
Als ich die CA jedoch auf einem Standalone Server installiert konnte ich zwar feine Zertifikate erstellen - auf dem IAS lief esmit dem Zertifikat ums verrecken nicht obwohl alles stimmte. Serverzertifikat, OID, alles richtig. Nur lief die PEAP Authentisierung einfach nicht.
Als ich die CA jedoch als Enterprise CA aufzog und auf nem DC installierte spuckte sie genauso ein Zertifiakt aus - doch damit hats funktioniert mit dem IAS.

Doch das ist eine andere Baustelle.... face-wink
Obige Fehlermeldung kam mit einem hochoffiziellen Verisign WLAN Server Zertifikat, und vorher auch schon bei zwei anderen Projekten mit Microsoft CA Zertifikaten.
Member: Warze69
Warze69 Sep 12, 2008 at 20:22:58 (UTC)
Goto Top
Hast Du eine Unternehmens CA oder eine Eigenständige CA installiert?

Für Authentifizierung via Zertifikate über WLAN, brauchts Du eine Unternehmens CA. Das Zertifikat der Unternehmens CA, muss über GPO's verteilt werden. Die Clients benötigen natürlich auch ein Zertifikat.

Ich habe nur nicht kapiert, was Verisign damit zu tun hat. (soll nicht böse gemeint sein)
Member: spacyfreak
spacyfreak Sep 12, 2008 at 20:26:03 (UTC)
Goto Top
Zitat von @Warze69:
Hast Du eine Unternehmens CA oder eine Eigenständige CA
installiert?

Für Authentifizierung via Zertifikate über WLAN, brauchts
Du eine Unternehmens CA. Das Zertifikat der Unternehmens CA, muss
über GPO's verteilt werden.

Ist mir längst klar - hat aber jezz nichts mit der benannten Fehlermeldung zu tun.
Es ist auch nachts dunkler als am Tag, doch das ist halt leider auch ein anderes Thema, und nichtmal ein besonders interessantes.
Member: Warze69
Warze69 Sep 13, 2008 at 10:13:40 (UTC)
Goto Top
Habt ihr für das WLAN Zertifikate von Verisign eingesetzt?

Sorry ich kapiere etwas langsam.
Member: spacyfreak
spacyfreak Sep 13, 2008 at 11:42:30 (UTC)
Goto Top
jawoll es gibt ein spezielles angebot von verisign, für WLAN IAS Server.
Das enrollment geht recht einfach über das Microsaft Xenroll Protokoll, per Webaufruf Verisign Seite, das Zertifikat wird gleich importiert und in der REgel ist alles gut - ausser man bekommt oben benannte Fehlermeldung. Die Fehlermeldung hatte ich jedoch auch mit eigenen Zertifikaten schon gesehen, hat also nix mit Verisign zu tun.

Das Ausrollen mit GPOs eines eigenen Root CA Zertifikats ist freilich eine schöne Sache - im konkreten Fall war dies jedoch aus versch. Gruenden nicht realisierbar.
Member: Warze69
Warze69 Sep 13, 2008 at 16:30:28 (UTC)
Goto Top
Das Angebot kannt ich noch gar nicht. In welcher Größenordnung (Euro) bewegt man sich da?
Member: spacyfreak
spacyfreak Sep 13, 2008 at 16:58:58 (UTC)
Goto Top
598$ fuer ein zwei Jahre gueltiges Zertifikat.
Ja, das ist viel Geld - doch in manchen Situationen immernoch guenstiger als ein Rollout eines eigenen Zertifikats.