Meier84 10 Geschrieben 11. Juli 2011 Melden Teilen Geschrieben 11. Juli 2011 Hallo Forum, ich bin im Bereich 802.1X nicht gerade unbewandert, hatte allerdings noch nie die höheren Authentifizierungsverfahren PEAP und EAP-TLS in Benutzung. Für einen Kunden soll ich nun EAP-TLS im WLAN einrichten. Dort sollen sich verschiedene Laptops (Win XP) beim Server (Win 2003) auf Basis von Zertifikaten anmelden. Die 802.1X-Kommunikation steht, damit gibt es keine Probleme. Bei mir hängt es aber ganz gewaltig bei den Zertifikaten... Was ist bisher verstanden habe: -Sowohl Client, als auch Server bekommen ihr Client- bzw. Serverzertifikat -Beide Zertifikate werden in der Zertifizierungsstelle auf dem Server erstellt Was ich noch nicht verstehe: -Wie und über welchen Weg erstelle ich am Besten die Zertifikate? -Wie kann ich die Clientzertifikate dem jeweiligen Clientcomputer im AD zuweisen? Kann mir eventuell jemand bei dem Thema weiterhelfen? Am Besten wäre eine ganz kurze Einleitung mit den wichtigsten Punkten in 3 oder 4 Sätzen. Im Internet findet man zwar viel, aber überall stehen widersprüchliche Sachen :rolleyes: Vielen Dank im Vorraus Zitieren Link zu diesem Kommentar
jarazul 10 Geschrieben 11. Juli 2011 Melden Teilen Geschrieben 11. Juli 2011 Moin, ist im Prinzip eine übersichtliche Angelegenheit. 1. Erstellen über das CA Snap-In 2. Verteilen über GPO Hier findest du eine Step by Step Anleitung, die für dich unwichtigen Punkte kannst du ignorieren. http://alextch.members.winisp.net/802.1x/Defending%20your%20internal%20network%20with%20802.1x%20and%20Microsoft%20PKI.htm cheers. Daniel Zitieren Link zu diesem Kommentar
Meier84 10 Geschrieben 13. Juli 2011 Autor Melden Teilen Geschrieben 13. Juli 2011 Hi, vielen Dank für die Anleitung. Ich komme allerdings an einer Stelle absolut nicht weiter Wenn ich auf Zertifikatsvorlagen gehe, dann sehe ich lediglich diese wenigen hier: Ich kann allerdings unter >Rechtsklick >Verwalten weitere Zertifikatsvorlagen finden und auch wie in der Anleitung diese anpassen: Das Problem ist nun aber, dass die von mir erstellten Vorlagen nicht ausstellbar sind, d.h. sie erscheinen nicht wie in der Doku dargestellt in der Liste: Doku---> mein Versuch---> Und deshalb erscheinen sie auch unter "Zertifikate (Lokaler Computer)" nicht: Doku---> mein Versuch---> Bitte um Hilfe! Zitieren Link zu diesem Kommentar
Meier84 10 Geschrieben 13. Juli 2011 Autor Melden Teilen Geschrieben 13. Juli 2011 Ok, dieses spezielle Problem konnte ich nun lösen :cool: mit ADSIedit , falls es mal jemand benötigt... Zitieren Link zu diesem Kommentar
jarazul 10 Geschrieben 13. Juli 2011 Melden Teilen Geschrieben 13. Juli 2011 ADSIEdit? Was hast du denn damit gemacht? Certificate Templates > Manage Das Zertifikat duplizieren, an dem duplizierten die Einstellungen wie Sicherheit (Autoenrollment für Computer) vornehmen Schließen Certificate Templates > New Template to issue > Das duplizierte Zertifikat auswählen cheers, Daniel Zitieren Link zu diesem Kommentar
Meier84 10 Geschrieben 13. Juli 2011 Autor Melden Teilen Geschrieben 13. Juli 2011 Ich schreib hier gleich nochmal in Kurzfassung, was mein aktueller Stand ist. Das mit dem ADSIEdit habe ich gebraucht, weil ich nicht die Enterprise-Version vom 2003er besitze. Im Moment funktioniert die Authentifizierung noch immer nicht. Aber vielen Dank schonmal für die Hilfe jarazul! Zitieren Link zu diesem Kommentar
Meier84 10 Geschrieben 13. Juli 2011 Autor Melden Teilen Geschrieben 13. Juli 2011 Ich beginne mal von Anfang an... Den Switch habe ich mit allen wichtigen 802.1X-Befehlen konfiguriert. EAP-MD5 funktioniert problemlos. Dann habe ich im Active Directory einen Computer erstellt mit dem Namen "Lerche". Dabei handelt es sich um meinen Laptop, der als Test-Supplicant eingesetzt werden soll. Diesem habe ich den Zugang gestattet und ihn in die Gruppe Domänencomputer gesteckt: Im Windows IAS habe ich den Switch mit IP-Adresse und Shared Secret eingetragen und eine entprechende Richtlinie erstellt: Das war soweit alles was ich im AD und im IAS gemacht habe (wie gesagt EAP-MD5 funktioniert ja auch!) Nun geht es los mit der Zertifizierungsstelle: Erstmal habe ich ein Zertifizierungsstellenzertifikat erstellt: Dann habe ich im Ordner Zertifikatsvorlagen wie in der Doku gezeigt die beiden Zertifikate erstellt und angepasst (ich musste ADSIedit nutzen weil ich keine Enterprise-Version von 2003 habe). Das RAS- and IAS-Server-Zertifikat habe ich unter Zertifikate (Lokaler Computer) angefordert. Wie es dann weiter geht ist mir noch nicht ganz klar... Ich habe dann das Workstation-Zertifikat auf meinen Laptop per USB übertragen und noch dazu ein Zertifizierungsstellenzertifikat der Zertifizierungsstelle. Das habe ich dann auf meinen XP-Laptop installiert. Meine Frage ist nun dazu, wie kann ich den Computer, den ich im Active Directory erstellt habe mit dem entsprechenden Zertifikat verknüpfen? Auf jeden Fall habe ich dann eine Testauthentifizierung gemacht und ich werde sofort nach Herstellen der Verbindung zum Switch abgewiesen. Es werden auch absolut keine RADIUS-Pakete zwischen Switch und RADIUS-Server ausgetauscht. Wechsel ich testweise zu PEAP oder MD5, dann werden RADIUS-Pakete ausgetauscht, aber bei EAP-TLS krieg ich nur das hier ausgegeben und sehe ein paar ausgestauschte dot1x-Pakete: Bitte um Hilfe @ jarazul: Kann dir keine PN schicken. Hast du eventuell ICQ oder ne Email-Adresse. Wenn es dir keine Umstände macht, lässt sich das Problem so vllt einfacher lösen. Das wäre sicherlich flexibler als übers Forum Zitieren Link zu diesem Kommentar
jarazul 10 Geschrieben 14. Juli 2011 Melden Teilen Geschrieben 14. Juli 2011 Hi, Hier im Forum ist besser, dann können andere das ebenfalls nachvollziehen. Ist der Client Mitglied der Domäne? Wieso nutzt du nicht die Enterprise-Version, viele Features sind nur da verfügbar z.b OCSP oder eigene Zertifikatsvorlagen. Wenn du auf dem Client das Zertifikat was für ihn ausgestellt wurde importierst, ist das die Verknüpfung. Wieso lässt du das den Client nicht selbst machen? Per MMC und dann anfordern. Das Root-CA Cert kannst du über GPO verteilen. Zitieren Link zu diesem Kommentar
Meier84 10 Geschrieben 14. Juli 2011 Autor Melden Teilen Geschrieben 14. Juli 2011 Also der aktuelle Stand ist, dass es nun im LAN als auch im WLAN mit Benutzerzertifikaten funktioniert. Das Ziel ist allerdings, die Laptops nicht anhand der Benutzerkonten, sondern als Geräte, sprich per Computerzertifikat zu authentifizieren. Ich habe nun also ein Computerkonto im AD erstellt und mir ein Computerzertifikat ausstellen lassen. Allerdings authentifiziert sich der Laptop immernoch mit dem Benutzerzertifikat. Da ich Windows XP mit Service-Pack 3 habe, kann ich auf dem Laptop nicht mehr auswählen ob ich Benutzer- oder Geräteauthentifizierung haben möchte. Oder sollte ich einfach versuchen, dass Benutzerzertifikat zu deinstallieren? Vielen Dank Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.