Hallo Zusammen,
meine Frage / mein Problem bezieht sich auf die 802.1x Authentifizierung.
Wenn sich der WLAN Client das erste Mal einloggt um Username / Kennwort einzutippen muss er ein "ungültiges" Zertifikat akzeptieren.
Daher würde mich interessieren was für ein Zertifikat ich in den WLC (das ist der RADIUS) laden muss um diese Meldung zu vermeiden.
Ist das ein "normales" Serverzertifikat von einer öff. CA von der der Client das passende Gegenstück per default vorhält ?
Danke im voraus für jede Unterstützung
Grüße
bridgeman
Zertifikat für 802.1x Authentifizierung
Moderator: Lancom-Systems Moderatoren
Re: Zertifikat für 802.1x Authentifizierung
Moin,
das sind die EAP/TLS-Dateien (entgegen des Namens gelten die auch für PEAP und TTLS) im Dialog zum Hochladen von Dateien. Man kann entweder alle Dateien (Serverzertifikat selber, dazugehöriger privater Schlüssel, CA-Zertifikat) einzeln hochladen, üblicherweise lädt man aber alles auf einem Rutsch in Form eines PKCS#12-Containers hoch, das ist auch die einzig sinnvolle Form, wenn die Kette der CA-Zertifikate mehrstufig ist.
Wichtig: wenn man ein eigenes Zertifikat für EAP/TLS benutzen will, muß man dem SCEP-Client auf dem WLC verbieten, selber eines auszurollen, sonst überschreibt er es immer wieder.
Gruß Alfred
das sind die EAP/TLS-Dateien (entgegen des Namens gelten die auch für PEAP und TTLS) im Dialog zum Hochladen von Dateien. Man kann entweder alle Dateien (Serverzertifikat selber, dazugehöriger privater Schlüssel, CA-Zertifikat) einzeln hochladen, üblicherweise lädt man aber alles auf einem Rutsch in Form eines PKCS#12-Containers hoch, das ist auch die einzig sinnvolle Form, wenn die Kette der CA-Zertifikate mehrstufig ist.
Wichtig: wenn man ein eigenes Zertifikat für EAP/TLS benutzen will, muß man dem SCEP-Client auf dem WLC verbieten, selber eines auszurollen, sonst überschreibt er es immer wieder.
Gruß Alfred
“There is no death, there is just a change of our cosmic address."
-- Edgar Froese, 1944 - 2015
-- Edgar Froese, 1944 - 2015
Re: Zertifikat für 802.1x Authentifizierung
Hallo Alfred,
vielen Dank für die Reaktion.
Ich hoffe das wir von den gleichen Dingen reden
Vielleicht habe ich mich auch zu allgemein in meiner Frage ausgedrückt.
Daher versuche ich es hier nochmal etwas ausführlicher:
Wenn sich ein 802.1x client am WLAN authentifiziert dann muss er derzeit nicht nur Benutzernamen und Kennwort eintippen sondern auch
bestätigen das er ein nicht vertrauenswürdiges Zertifikat akzeptieren wird.
Meine Vermutung ist, das der WLC bzw RADIUS dem Client ein Zertifikat präsentiert für das der Client kein passendes Gegenstück hat.
Daher war mein Gedanke der, dem RADIUS ein Zertifikat zu verpassen das er statt dessen verwendet (also kein vom LCOS erzeugtes Zertifikat) und das durch die sowieso auf allen Clients vorhandenen öffentlichen Zertifikaten akzeptiert wird.
Theoretisch könnte man sich auch selbst Zertifikate erstellen, für RADIUS und Clients, aber das würde einen erheblichen Aufwand auf Clientseite erzeugen.
Verwende ich aber ein - sagen wir mal - Serverzertifikat auf der RADIUS Seite das z. B. von Verisign signiert wurde dann müßte der Client dazu doch OK sagen. Soweit meine Theorie
Nun finde ich aber keine Stelle im LanConfig wo ich eine CSR Datei generieren kann die wiederum bei - bleiben wir mal dabei - Verisign nach Einwurf diverser Münzen abgesegnet wird.
Oder bin ich hier komplett falsch unterwegs ?
Danke für deine Mühe
Gruß Bert (bridgeman)
vielen Dank für die Reaktion.
Ich hoffe das wir von den gleichen Dingen reden
Vielleicht habe ich mich auch zu allgemein in meiner Frage ausgedrückt.
Daher versuche ich es hier nochmal etwas ausführlicher:
Wenn sich ein 802.1x client am WLAN authentifiziert dann muss er derzeit nicht nur Benutzernamen und Kennwort eintippen sondern auch
bestätigen das er ein nicht vertrauenswürdiges Zertifikat akzeptieren wird.
Meine Vermutung ist, das der WLC bzw RADIUS dem Client ein Zertifikat präsentiert für das der Client kein passendes Gegenstück hat.
Daher war mein Gedanke der, dem RADIUS ein Zertifikat zu verpassen das er statt dessen verwendet (also kein vom LCOS erzeugtes Zertifikat) und das durch die sowieso auf allen Clients vorhandenen öffentlichen Zertifikaten akzeptiert wird.
Theoretisch könnte man sich auch selbst Zertifikate erstellen, für RADIUS und Clients, aber das würde einen erheblichen Aufwand auf Clientseite erzeugen.
Verwende ich aber ein - sagen wir mal - Serverzertifikat auf der RADIUS Seite das z. B. von Verisign signiert wurde dann müßte der Client dazu doch OK sagen. Soweit meine Theorie
Nun finde ich aber keine Stelle im LanConfig wo ich eine CSR Datei generieren kann die wiederum bei - bleiben wir mal dabei - Verisign nach Einwurf diverser Münzen abgesegnet wird.
Oder bin ich hier komplett falsch unterwegs ?
Danke für deine Mühe
Gruß Bert (bridgeman)
Re: Zertifikat für 802.1x Authentifizierung
Moin,
Du kannst das von der LANCOM-CA ausgerollte Zertifikat mit einem eigenen überschreiben, das Du Dir von einer Zertifizierungsstelle wie z.B. Verisign hast ausstellen lassen, über den Weg, den ich beschrieben habe. Beim Erzeugen des CSR hilft Dir aber weder das LANCOM noch LANconfig, den mußt Du Dir selber bauen.
Gruß Alfred
Ja, das denke ich schon...Ich hoffe das wir von den gleichen Dingen reden
Wenn der WLC in Deinem Aufbau auch der RADIUS-Server ist, der die 802.1X-Anfragen letzten Endes beantwortet (und nicht nur an einen anderen RADIUS-Server weiterleitet), dann ist das auch so. Im WLC steckt eine 'Mini-CA' mitsamt Certificate Enrollment, und die rollt auch auf den im WLC integrierten RADIUS-Server ein Zertifikat für die Nutzung im Zusammenhang mit EAP/TLS, TTLS oder PEAP aus. Diese 'LANCOM-CA' kennen die Clients natürlich nicht, deshalb die Meldung (oder auch nicht, je nach Client...).Meine Vermutung ist, das der WLC bzw RADIUS dem Client ein Zertifikat präsentiert für das der Client kein passendes Gegenstück hat.
Du kannst das von der LANCOM-CA ausgerollte Zertifikat mit einem eigenen überschreiben, das Du Dir von einer Zertifizierungsstelle wie z.B. Verisign hast ausstellen lassen, über den Weg, den ich beschrieben habe. Beim Erzeugen des CSR hilft Dir aber weder das LANCOM noch LANconfig, den mußt Du Dir selber bauen.
Gruß Alfred
“There is no death, there is just a change of our cosmic address."
-- Edgar Froese, 1944 - 2015
-- Edgar Froese, 1944 - 2015