dan2511 10 Geschrieben 10. August 2012 Melden Teilen Geschrieben 10. August 2012 Hallo, ich habe hier ein Problem mit folgende Konstellation... Ich habe einen Radius Server auf einem Windows2008 Server installiert. Dieser soll 802.1x für mein WLAN übernehmen. Die WLAN Umgebung ist besteht aus einem HP msm710 Controller und dazugehörigen AP's. Ich habe den Radius auf dem Controller eingetragen und das weiterleiten der Anfragen an den 2008 Server scheint auch zu funktionieren (ich sehe im Log auf dem Controller Proxying RADIUS Access Request und danach Received RADIUS Access Reject). Das sieht für mich so aus, als würde die Anfrage an den 2008 Radius Server weitergeleitet werden, und dieser die Anfrage an den Controller mit einer Authentifizuerungsaufforderung an den Controller zurücksenden. Die dritte Meldung ist dann ein Sending RADIUS Access Reject. Auf dem NPS habe ich den Wizzard für 802.1x für WLAN durchlaufen lassen. Die Richtilinie ist aktiviert und als Bedingung habe ich eine Gruppe hinzugefügt, welche meinen AD-Benutzer enthält. Das Testnotebook ist nicht mitglied der Domäne. EAP Typen auf dem Radius sind PEAP und EAP-MSCHAP v2. Was mir nicht ganz klar ist - ich benötige ein Zertifikat - woher, was für eins und wo muss ich dieses installieren? Ich sitze schon einige Tage an dem Ding und bin für jeglichen Tip dankbar! Zitieren Link zu diesem Kommentar
OliverHu 19 Geschrieben 10. August 2012 Melden Teilen Geschrieben 10. August 2012 Hi, optimal wäre eine eigene Zertifizierungsstelle, welche die Zertifikate ausstellt. Schau mal was ich gefunden habe, eventuell hilft dir das: http://www.it-training-grote.de/download/WLAN-EAP-Cert.pdf Zitieren Link zu diesem Kommentar
dan2511 10 Geschrieben 10. August 2012 Autor Melden Teilen Geschrieben 10. August 2012 habe ich - eine standard pki auf dem dc. mir ist nur nicht klar welche zertifikate ich wo benötige :confused: Zitieren Link zu diesem Kommentar
dan2511 10 Geschrieben 10. August 2012 Autor Melden Teilen Geschrieben 10. August 2012 ok danke erstmal - da mein Rechner nicht in der Domäne ist, wird das mit dem automatischen ausrollen wohl nicht funktionieren... bedeutet ich muss mein Zertifikat selbst anfordern. Ich benötige hier aber ein Computerzertifikat... das kann ich nur mit einer enterprise PKI erstellen, oder täusche ich mich da? Zitieren Link zu diesem Kommentar
OliverHu 19 Geschrieben 10. August 2012 Melden Teilen Geschrieben 10. August 2012 Nein, du kannst auch Zertifikate für Computer mit einer eigenständigen CA ausstellen (Clientauthentifizierung). Ich würde dir empfehlen (je nachdem wie groß deine Umgebung ist), eine Zweistufige Zertifizierungsstelle aufzubauen: eigenständige Stamm-CA und eine untergeordnete Unternehmens-CA. Sind die anderen Clients in der Domäne, oder sind alle keiner Domäne beigetreten? Zitieren Link zu diesem Kommentar
dan2511 10 Geschrieben 10. August 2012 Autor Melden Teilen Geschrieben 10. August 2012 und wie stelle ich das Zertifikat aus? wenn ich auf die IP://certsrv seite gehe, dann kann ich nur benutzerzertifikate anfordern... das mit der zweistufigen pki wird angegangen, sobald das authentifizieren überhaupt mal funktioniert... Zitieren Link zu diesem Kommentar
OliverHu 19 Geschrieben 10. August 2012 Melden Teilen Geschrieben 10. August 2012 Schau mal unter: Ein Zertifikat anfordern -> "erweiterte Zertifikatsanforderung ein" -> Eine Anforderung an diese Zertifizierungsstelle erstellen und einreichen -> Ab hier benötigst du ein SSL Zertifikat für die Anforderung -> Typ des erforderten Zertifikats: Clientauthentifizierungszertifikat... Zitieren Link zu diesem Kommentar
dan2511 10 Geschrieben 10. August 2012 Autor Melden Teilen Geschrieben 10. August 2012 antwort für weiter oben - es ist (fast) keiner in der Domäne! Sorry, ich kann Dir nicht folgen... ich will ein Clientzertifikat anfordern, bin nicht in der Domäne und habe nur eine Standard PKI... Wo muss ich klicken :-) wo bekomme ich das SSL Zertifikat her? Zitieren Link zu diesem Kommentar
OliverHu 19 Geschrieben 10. August 2012 Melden Teilen Geschrieben 10. August 2012 Als erstes benötigst du ein Zertifikat für die eigenständige CA. Hier reicht auch erstmal zu Testzwecken ein selbstsigniertes Zertifikat aus. Dies erstellst du über den IIS-Manager -> klickst auf den Servernamen -> Serverzertifikate -> Selbstsigniertes Zertifikat erstellen... -> Gibst einen Namen ein (Bspw. Root-CA CertSrv) -> OK. Dann trägst du dieses auf deiner Webseite, wo CertSrv läuft, unter "Bindungen" ein (hinzufügen -> HTTPS -> Root-CA CertSrv auswählen -> OK -> Schließen) Dann klickst du auf die Webanwendung CertSrv deiner Website -> SSL-Einstellungen -> Haken bei SSL erforderlich rein (Dies muss man nicht unbedingt, aber da du später nur HTTPS machen kannst, um ein Zertifikat anzufordern, ist das ok) Nun solltest du über http://HTTPS://Servername.domainname.irgendwas/CertSrv die Startseite erreichen. Hier gehst du nun wie oben beschrieben vor. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.