WLC-4006+ Zertifikate für Computerkonto

Forum zum LANCOM WLC-4100, WLC-4025+, WLC-4025 und WLC-4006 WLAN-Controller

Moderator: Lancom-Systems Moderatoren

Antworten
xpehbam
Beiträge: 4
Registriert: 13 Feb 2019, 09:17

WLC-4006+ Zertifikate für Computerkonto

Beitrag von xpehbam »

Hallo zusammen,

meine Frage bezieht sich auf dieses Szenario.
https://www2.lancom.de/kb.nsf/474f6c68b ... enDocument
Zertifikatsbasierte WLAN-Verbindung mit 802.1x (EAP-TLS) Authentifizierung in einem LANCOM WLC-Szenario

In dem Thema "Zertifikate" bin ich noch nicht lange dabei. Die Installation lt. Anleitung wurde erfolgreich durchgeführt. Die Client-Zertifikatsdatei wurde auf dem Windows 7 Client so wie in der Anleitung beschrieben importiert. Der Client verbindet sich problemlos.

Nun die Frage bzw. das Problem. Sobald ich einen anderen User lokal an der Windows Maschine anmelde, wird die Wlan Verbindung nicht mehr aufgebaut. Benötige ich einen "anderen" Client Zertifikat? oder kann ich das Zertifikat nicht nur für den Benutzer importieren sondern für Computerkonto ?

Gruß
Benutzeravatar
Bernie137
Beiträge: 1692
Registriert: 17 Apr 2013, 21:50
Wohnort: zw. Chemnitz und Annaberg-Buchholz

Re: WLC-4006+ Zertifikate für Computerkonto

Beitrag von Bernie137 »

Hallo,
oder kann ich das Zertifikat nicht nur für den Benutzer importieren sondern für Computerkonto ?
Nicht nur kann, dass ist Voraussetzung wenn auch andere User den Computer nutzen sollen.

Das Ganze funktioniert auch automatisiert: https://sid-500.com/2017/04/01/active-d ... verteilen/

Gruß Bernie
Man lernt nie aus.
xpehbam
Beiträge: 4
Registriert: 13 Feb 2019, 09:17

Re: WLC-4006+ Zertifikate für Computerkonto

Beitrag von xpehbam »

@Bernie
Vielen Dank für deine schnelle Antwort!

d.h. wenn ich das richtig verstehe gibt es kein Zertifikat für ein Computerkonto, welches ich mal eben mit klicken "automatisch" importiere.
Sondern ich muss das "Benutzer" Zertifikat z.B. mittels lokalen GPOs an alle User bei der Anmeldung verteilen oder über Active Directory ausrollen was unmöglich ist ohne Wlan Anmeldung.

Gruß
Benutzeravatar
Bernie137
Beiträge: 1692
Registriert: 17 Apr 2013, 21:50
Wohnort: zw. Chemnitz und Annaberg-Buchholz

Re: WLC-4006+ Zertifikate für Computerkonto

Beitrag von Bernie137 »

Hallo xphbam,
d.h. wenn ich das richtig verstehe gibt es kein Zertifikat für ein Computerkonto
Aber natürlich gibt es für Computerkonten Zertifikate! Genau das wollte ich Dir damit sagen. Diese werden automatisch verteilt und die WLAN Verbindung besteht schon vor dem Login beim Start des Rechners.

Gruß Bernie
Man lernt nie aus.
GrandDixence
Beiträge: 857
Registriert: 19 Aug 2014, 22:41

Re: WLC-4006+ Zertifikate für Computerkonto

Beitrag von GrandDixence »

Für ein WLAN mit EAP-TLS (WPA2-/WPA3-Enterprise) muss auf dem WLAN-Client ein Maschinenzertifikat installiert sein. Eine ausführliche Anleitung zur händischen Installation eines Maschinenzertifikats unter Windows 10 findet man unter:
fragen-zum-thema-vpn-f14/windows-phone- ... tml#p86774

Dieses Maschinenzertifikat kann für EAP-TLS wie auch für IKEv2 verwendet werden. Das Maschinenzertifikat wird für den Rechner ausgestellt. Das Benutzerzertifikat für den Benutzer. Das Maschinenzertifikat muss auf Windows-Rechnern mit Administratorrechten im Computer-Zertifikatsspeicher (Computerkonto) installiert werden, damit alle Benutzer das WLAN mit EAP-TLS-Anmeldung nutzen können. Bei der Installation im Benutzer-Zertifikatsspeicher kann nur dieser Benutzer auf das Maschinenzertifikat zugreifen und somit das WLAN mit EAP-TLS-Anmeldung nutzen!

Bernie spricht über die vollautomatische Installation/Erneuerung eines Maschinenzertifikats unter Windows im Computer-Zertifikatsspeicher. Für Testzwecke genügt aber die händische Installation des Maschinenzertifikats im Computer-Zertifikatsspeicher.
xpehbam
Beiträge: 4
Registriert: 13 Feb 2019, 09:17

Re: WLC-4006+ Zertifikate für Computerkonto

Beitrag von xpehbam »

@GrandDixence
Vielen Dank für die Info !

d.h. in der Anleitung von Lancom wird ein Benutzerzertifikat generiert oder?
https://www2.lancom.de/kb.nsf/474f6c68b ... enDocument

Kann ich ein Maschinenzertifikat auch mit Lancom Controller erstellen? oder muss ich auf externe Programme wie XCA ausweichen?
Besteht auch die Möglichkeit Ipad dann zu verbinden ?
GrandDixence
Beiträge: 857
Registriert: 19 Aug 2014, 22:41

Re: WLC-4006+ Zertifikate für Computerkonto

Beitrag von GrandDixence »

Ein Maschinenzertifikat enthält als "Common Name"/"Allgemeiner Name" (CN) den Namen der Maschine. In Grossfirmen üblich: n<1234567> => "n" für "node"

Ein Benutzerzertifikat enthält als "Common Name"/"Allgemeiner Name" (CN) den Namen des Benutzer (oder Benutzeraccounts). In Grossfirmen üblich: u<1234567> => "u" für "user".

In der Lancom-KB wurde ein Zertifikat mit CN:=LANCOM erstellt. "LANCOM" deute ich als einen Namen einer Maschine. Also wurde ein Maschinenzertifikat erstellt. Ob ein Maschinenzertifikat mit dem Lancom Controller erstellt werden kann, weiss ich nicht.

Ich verwende aus Sicherheitsgründen (eine gesunde Portion "Paranoid" schadet bei IT-Security-Themen nie...) für die X.509-Zertifikatserstellung und Beglaubigung ausschliesslich Open Source-Software (OpenSSL) auf einem Linux-Rechner mit einem vertrauenswürdigen Zufallszahlengenerator. PC ab USB-Memorystick mit dem ISO-Image einer Linux Live-CD starten und schon hat man einen Linux-Rechner:

https://de.opensuse.org/SDB:Live_USB_Stick

Zum Thema "Zufallszahlengenerator" sei auf Kapitel 9 von BSI TR-02102-1 verwiesen:

https://www.bsi.bund.de/DE/Publikatione ... x_htm.html

Für Linux-Betriebssysteme oder Virtuelle Maschinen (à la VMware, Hyper-V) sind auch die unter:

viewtopic.php?f=41&t=17106&p=97091&hilit=hyper#p97092

https://forums.suse.com/showthread.php? ... PS-enabled

aufgeführten Links zum Thema "Zufallszahlengenerator" lesenswert.

Wenn der IPad EAP-TLS unterstützt, kann auch für ein IPad ein Maschinenzertifikat erstellt werden. Dieses Maschinenzertifikat muss inklusive dem Stammzertifikat (CA) auf dem IPad installiert werden. Und dann für die Nutzung von EAP-TLS entsprechend auf dem IPad konfiguriert werden.
Zuletzt geändert von GrandDixence am 05 Dez 2019, 16:43, insgesamt 2-mal geändert.
xpehbam
Beiträge: 4
Registriert: 13 Feb 2019, 09:17

Re: WLC-4006+ Zertifikate für Computerkonto

Beitrag von xpehbam »

@GrandDixence Vielen Dank!

Irgendwie habe ich noch ein Verständnisproblem mit den Zertifikaten bzw. ich erkläre kurz mal was ich vorhabe und ob es überhaupt möglich ist so das Ganze umzusetzen…evtl. habt Ihr eine bessere Idee. :M

IST Zustand

- ca. 100 Windows 7 Clients, lokal 1-2 Benutzer eingerichtet, hauptsächlich über Wlan angebunden, zwei IP Segmente/Kreise sagen wir mal Produktion und Verwaltung, sind über eine UTM angebunden und gehen ins Internet
- Im Netz Verwaltung gibt es 4 Lancom AP’s, 2 Switche und im Netz Produktion gibt es 4 Lancom AP’s, 2 Switche , alle AP’s sind einzeln eingerichtet, zwei unterschiedliche SSID’s mit PSK, beide Netzte sind physikalisch voneinander getrennt, können sich gegenseitig nicht sehen, soweit so gut
- keine Vlan Segmentierung, kein Domäne vorhanden
- Hauptproblem: PSK vom Netz Produktion ist mittlerweile bekannt


Vorhanden: 30 Ipad’s (noch nicht eingebunden) + 30 weitere kommen noch dazu,
einige Windows 7 Clients werden dafür ausrangiert
Lancom WLC-4006+,
PRIMERGY Server, kann als DC benutzt werden

Überlegungen/Ideen:

- physikalische Netze durch logische Netz ersetzen (vlan)
- WLC-4006+ als Wlan Controller und Radius Server nutzen
- Authentifizierung mit 802.1X Zertifikaten EAP-TLS
- alle AP’s über WLC-4006+ anbinden
- SSID Verwaltung VLAN2 -> ein Gerätezertifikat für alle Clients(Windows/Ipad) nutzen
- SSID Produktion VLAN3 -> ein Gerätezertifikat für alle Clients(Windows/Ipad) nut-zen

@ GrandDixence

Wenn ich das richtig verstehe für EAP-TLS brauche ich doch 3 Zertifikate:
- 1 Stammzertifikat (root certificate), welches die Maschinenzertifikate beglaubigt
- 1 Maschinenzertifikat für den LANCOM WLC4006+
- 1 Maschinenzertifikat für Windows Client
Auf dem WLC(Radius) wird ein Maschinenzertifikat installiert
Auf dem Client wird ein Maschinenzertifikat und ein Stammzertifikat installiert

für die X.509-Zertifikatserstellung verwendest du OpenSSL, hast du Erfahrung auch mit XCA ?
ich habe hier ein Artikel gefunden…
https://www2.lancom.de/kb.nsf/1275/E603 ... enDocument
hier fehlt ein Server Zertifikat für WLC Controller oder ?

Gruß, xpehbam
Danke im Voraus!
GrandDixence
Beiträge: 857
Registriert: 19 Aug 2014, 22:41

Re: WLC-4006+ Zertifikate für Computerkonto

Beitrag von GrandDixence »

Alle WLAN-Clients sollen sich das gleiche Maschinenzertifikat teilen? => Oh graus!

Bitte alle Szenarien durchdenken:

- Wie ist das Vorgehen, wenn ein Gerät gestohlen wird? Auf über 100 Geräten das Maschinenzertifikat durch ein neues ersetzen?!
=> Jedes Maschinenzertifikat ist einmalig und wird nur auf einem einzigen Gerät verwendet. Wird ein Gerät gestohlen, wird das entsprechende Maschinenzertifikat von der Liste auf dem Radius-Server entfernt. Damit erhält der Dieb keinen Zugang zum Firmen-WLAN.

- Wie ist das Vorgehen, wenn das Maschinenzertifikat abläuft? Irgendwann ist die Gültigkeitsdauer des Zertifikats um. Was dann?
=> Siehe Beitrag von Bernie137 am 13 Feb 2019, 12:39 .

Und ja, wenn schon EAP-TLS für die Absicherung des Firmen-WLAN eingesetzt wird, dann bitte schön auch gleich 802.1x für die Absicherung der zugänglichen Ethernet-Ports des Firmen-Netzwerk. Neben VLAN, Domäne (und Gruppenrichtlinien), MDM-Lösungen (Mobile-Device-Management) für Mobilgeräte (wie IPad) ist das heute "IT-Security-Standard". Das gleiche Maschinenzertifikat kann sowohl für EAP-TLS, IKEv2 (VPN) wie auch für 802.1x eingesetzt werden.
Antworten

Zurück zu „Alles zum LANCOM WLC-4100, WLC-4025+, WLC-4025 und WLC-4006 WLAN-Controller“