L-1302acn mit 802.1x-EAP-TLS - keine CRLs?

[horihel]

Hallo Liebes Forum,

ich teste hier gerade mit einem frischen 1302acn und einem Test-Setup für Netzauthentifizierung mittels WPA-Enterprise. Habe auch schon passende CA und Zertifikate, die Anmeldung klappt mittels EAP-TLS. Als RADIUS nutze ich derzeit den in LCOS integrierten.

Allerding hab ich Schwierigkeiten mit der CRL - ich möchte auch die Möglichkeit haben, Zertifikate zu widerrufen. Laut RefManual müsste ich im LanConfig unter "Zertifikate" den Einstellungspunkt "CRL" finden - den gibt's da aber nicht - meine Vermutung ist, dass es diesen Menüpunkt nur bei Geräten mit VPN-Funktion gibt. Unter "Zertifikate" kann ich nur SCEP konfigurieren.

Die manuelle Upload-Funktion bietet mir keine Möglichkeit, CRLs manuell ins Gerät zu laden. (für EAP/TLS nur CA, Cert&Key oder alles über PKCS12). Übersehe ich was, oder hab ich schlicht keine Möglichkeit, CRLs in einen L-1302acn zu laden? In diesem Fall müsste ich wohl einen externen RADIUS aufsetzen - gerade das wollte ich mir eigentlich sparen

Oder gibt es u.U. einen Workaround, z.B. bestimmte CNs zu sperren? Das ist zwar nicht im Sinne des Erfinders, würde mir aber reichen.

[alf29]

Moin,

bersehe ich was, oder hab ich schlicht keine Möglichkeit, CRLs in einen L-1302acn zu laden?

Korrekt, die hast Du nicht - das EAP-TLS im LCOS unterstützt aktuell keine CRLs. Ich sehe auch nicht, daß das in nächster Zeit kommt, dazu fragen zu wenige Leute danach. Die Leute, die EAP-TLS mit CRLs machen wollen, haben wohl meist ohnehin Anforderungen, die sich nur mit einem externen 'großen' RADIUS-Server realisieren lassen, und über den Sinn und Unsinn von CRLs wird ja auch an anderer Stelle gestritten...

Das einzige, was ich anbieten kann, ist zusätzlich die Option Setup/RADIUS/Server/EAP/EAP-TLS/Check-Username zu setzen. Wenn die gesetzt ist, muß der Client nicht nur ein passendes Zertifikat vorweisen, sondern der Benutzername (== Subject aus dem Zertifikat) muß auch noch in der RADIUS-Benutzertabelle hinterlegt sein. Wenn es nur darum geht, Ex-Mitarbeiter den Zugang zu verwehren, reicht das vielleicht auch aus.

Gruß Alfred

[horihel]

Hallo Alfred,

vielen Dank. Mir geht's eher darum, gestohlene/versehentlich "verlorene" Certs/Keys deaktivieren zu können. Deswegen hätte auch eine Deaktivierung nur per CN gereicht.
Ohne CRL brauche ich eigentlich auch nur ein einzelnes Client-Zertifikat - zumindest vom Standpunkt der Autorisierung, da ich im Falle eines Problems mit einem einzelnen Zertifikat dann sowieso die ganze CA austauschen muss.

Ist natürlich nicht auszuschließen, dass ich ein Detail übersehe - meine PKI-Erfahrung ist eher grundlegend

Auf jeden Fall vielen Dank für die schnelle Antwort - das hat mir Suchzeit und -nerven gespart, die ich jetzt in die Hölle "FreeRADIUS" investieren kann

Viele Grüße
Heiko

[horihel]

BTW: Die von Dir erwähnte Option scheint es in 9.00.0212 / 07.08.2014 nicht zu geben.

Das Web-Interface zeigt die Option garnicht an - LANconfig zeigt sie zwar an, sie lässt sich aber nicht aktivieren - wenn man sie aktiviert ist sie beim nächsten Auslesen der Config wieder deaktiviert.

[alf29]

Moin,

Das Web-Interface zeigt die Option garnicht an

Auch nicht im LCOS-Menübaum unter dem genannten Pfad?

Gruß Alfred

[horihel]

Ah doch - LCOS-Menübaum ja, Konfiguration nein, LANconfig ja aber geht nicht

[maiki]

Hi Heiko,

deine Firmware ist nicht ganz aktuell. Eventuell ist der Fehler in der 9.02.0221 behoben.

Grüße

Maik

[alf29]

Moin,

so wie's aussieht nicht - da ist wohl die Info in Richtung LANconfig verloren gegangen, daß der Menüpunkt in der 9.00 'gewandert' ist...wir arbeiten dran...

Gruß Alfred