Zertifikate

[daveman 10]

Hallo

 

ich habe ein recht dringendes Problem da ich die Lösung immer noch nicht gefunden habe.

 

und zwar versuche ich Peap mschap. die erste authentifizierung also das Handshaking (MS Chap) funktioniert nur wenn der server dann das Root Zertifikat auf den Clients abfragt geht die anmeldung schief und ich kann mich nicht anmelden.

 

Also habe ich ein Zertifikatsproblem.

 

Wie kann ich dieses Problem testen einkreisen.

 

Wäre sehr dankbar über jeden Beitrag da es ziemlich wichtig ist.

[daveman 10]

Also mir hat jemand gesagt das Serverzertifikat muss sich an einere ganz bestimmten stelle befinden am Server. Wie kann ich das überprüfen.

zur Info der server ist dc,ca,ias

[grizzly999 11]

Das Serverzertifikat muss sich im lokalen Zertifikatsspeicher des Computers befinden. Eine selber erstellte MMC mit dem SnapIn "Zertifikate" -> Computer -> Lokaler Computer zeigt dir alle Zerts für den Computer an.

 

 

grizzly999

[daveman 10]

hallo grizzly999 dort ist es.

 

ich habe auf den Clients das Root CA zertifikat installiert also das was man unter certsrv unter "Download eines Zertifizierungsstellenzertifikat ..." downloaden kann. Dieses habe ich auf meinen Clients gemacht.(es befindet sich nun in den Vertrauenswürdigen Stammzertifizierungsstellen unter Benutzer des Snap-ins).

 

aber trotz auswählen dieses Zertifikats bei der Client einrichtung unter den Authentifizierungsoptionen der Drahtlosverbindung funktioniert es nicht.

 

was würdest du testen oder tun?

[grizzly999 11]

funktioniert nur wenn der server dann das Root Zertifikat auf den Clients abfragt

Also den verstehe ich nicht ganz. IMHO fragt der Server kein Root Zertifikat auf den Clients ab, eher ist es umgekehrt.

 

Normalerweise sollte es irgendwelche Fehlermeldungen in irgendeinem Log geben, entweder auf dem Client oder eher noch auf dem RADIUS Server. Dort im Anwendungs-Log, oder wenn Fehlanmeldungen eingeschaltet auch im Security Log.

 

Am wichtigsten ist es, das Logging im RADIUS zu aktivieren (in eine Datei im IAS-Format) und mit iasparse.exe auszuwerten.

 

grizzly999

[daveman 10]

das habe ich getan und ich bekomme folgende Meldungen mit iasparse.

 

NAS-IP-Address : 10.10.1.5

User-Name : DOM\D.Miccoli

Record-Date : 10/23/2007

Record-Time : 16:41:39

Service-Name : IAS

Computer-Name : IAS1

Client-Friendly-Name: Campusmaster

Class : 311 1 10.10.1.1 10/19/2007 15:34:02 1623

Authentication-Type : 11

Fully-Qualifed-User-Name: dom.local/Wlan Users/Davide Micc

oli

NP-Policy-Name : peap

SAM-Account-Name : dom\D.Mi

Proxy-Policy-Name : Windows-Authentifizierung f├╝r alle Benutzer verwenden

Provider-Type : Windows

Client-IP-Address : 10.10.1.5

Client-Vendor : CISCO

Packet-Type : Access-Reject

Reason-Code : Die angegebene Nachricht ist unvollstõndig. Die Signatur

wurde nicht verifiziert.

[grizzly999 11]

Hat der Client (Computer) ein Computerzertifikat?

finden sich auf dem ISA Server solche eventlog-Eintrage? : 802.1x client authentication fails when you connect to a Windows Server 2003-based computer that is running IAS

Funktioniert es mit einem andeern AP als Cisco?

 

 

grizzly999

[daveman 10]

das hatte ich versucht klappt aber leider nicht.

 

Einen anderen ap wie den cisco habe ich nicht allerdings hatte ich vorher in einer testumgebung mit einem Lancom eingerichtet da hatte ich das gleiche problem (bei gleichem server).

 

 

Muss an den einstellungen liegen denke ich.