NPS für 802.1x

[dan2511 10]

Hallo,

 

ich habe hier ein Problem mit folgende Konstellation...

 

Ich habe einen Radius Server auf einem Windows2008 Server installiert.

Dieser soll 802.1x für mein WLAN übernehmen. Die WLAN Umgebung

ist besteht aus einem HP msm710 Controller und dazugehörigen AP's.

Ich habe den Radius auf dem Controller eingetragen und das weiterleiten

der Anfragen an den 2008 Server scheint auch zu funktionieren

(ich sehe im Log auf dem Controller Proxying RADIUS Access Request und danach Received RADIUS Access Reject).

Das sieht für mich so aus, als würde die Anfrage an den 2008 Radius Server weitergeleitet werden, und

dieser die Anfrage an den Controller mit einer Authentifizuerungsaufforderung an den Controller zurücksenden.

Die dritte Meldung ist dann ein Sending RADIUS Access Reject.

Auf dem NPS habe ich den Wizzard für 802.1x für WLAN durchlaufen lassen.

Die Richtilinie ist aktiviert und als Bedingung habe ich eine Gruppe hinzugefügt, welche meinen AD-Benutzer enthält.

Das Testnotebook ist nicht mitglied der Domäne.

EAP Typen auf dem Radius sind PEAP und EAP-MSCHAP v2.

Was mir nicht ganz klar ist - ich benötige ein Zertifikat - woher, was für eins und wo muss ich dieses installieren?

 

Ich sitze schon einige Tage an dem Ding und bin für jeglichen Tip dankbar!

[OliverHu 19]

Hi,

 

optimal wäre eine eigene Zertifizierungsstelle, welche die Zertifikate ausstellt.

Schau mal was ich gefunden habe, eventuell hilft dir das: http://www.it-training-grote.de/download/WLAN-EAP-Cert.pdf

[dan2511 10]

habe ich - eine standard pki auf dem dc.

 

mir ist nur nicht klar welche zertifikate ich wo benötige :confused:

[dan2511 10]

ok danke erstmal - da mein Rechner nicht in der Domäne ist, wird das mit dem automatischen ausrollen wohl nicht funktionieren... bedeutet ich muss mein Zertifikat selbst anfordern. Ich benötige hier aber ein Computerzertifikat... das kann ich nur mit einer enterprise PKI erstellen, oder täusche ich mich da?

[OliverHu 19]

Nein, du kannst auch Zertifikate für Computer mit einer eigenständigen CA ausstellen (Clientauthentifizierung).

Ich würde dir empfehlen (je nachdem wie groß deine Umgebung ist), eine Zweistufige Zertifizierungsstelle aufzubauen: eigenständige Stamm-CA und eine untergeordnete Unternehmens-CA.

 

Sind die anderen Clients in der Domäne, oder sind alle keiner Domäne beigetreten?

[dan2511 10]

und wie stelle ich das Zertifikat aus? wenn ich auf die IP://certsrv seite gehe, dann kann ich nur benutzerzertifikate anfordern...

 

das mit der zweistufigen pki wird angegangen, sobald das authentifizieren überhaupt mal funktioniert...

[OliverHu 19]

Schau mal unter: Ein Zertifikat anfordern -> "erweiterte Zertifikatsanforderung ein" -> Eine Anforderung an diese Zertifizierungsstelle erstellen und einreichen -> Ab hier benötigst du ein SSL Zertifikat für die Anforderung -> Typ des erforderten Zertifikats: Clientauthentifizierungszertifikat...

[dan2511 10]

antwort für weiter oben - es ist (fast) keiner in der Domäne!

Sorry, ich kann Dir nicht folgen... ich will ein Clientzertifikat anfordern, bin nicht in der Domäne und habe nur eine Standard PKI... Wo muss ich klicken :-)

wo bekomme ich das SSL Zertifikat her?

[OliverHu 19]

Als erstes benötigst du ein Zertifikat für die eigenständige CA. Hier reicht auch erstmal zu Testzwecken ein selbstsigniertes Zertifikat aus. Dies erstellst du über den IIS-Manager -> klickst auf den Servernamen -> Serverzertifikate -> Selbstsigniertes Zertifikat erstellen... -> Gibst einen Namen ein (Bspw. Root-CA CertSrv) -> OK.

 

Dann trägst du dieses auf deiner Webseite, wo CertSrv läuft, unter "Bindungen" ein (hinzufügen -> HTTPS -> Root-CA CertSrv auswählen -> OK -> Schließen)

 

Dann klickst du auf die Webanwendung CertSrv deiner Website -> SSL-Einstellungen -> Haken bei SSL erforderlich rein

(Dies muss man nicht unbedingt, aber da du später nur HTTPS machen kannst, um ein Zertifikat anzufordern, ist das ok)

 

Nun solltest du über http://HTTPS://Servername.domainname.irgendwas/CertSrv die Startseite erreichen. Hier gehst du nun wie oben beschrieben vor.