Verteilung von Zertifikaten unter Server 2008 R2 CA

[AFM_Adm 11]

Hallo beisammen,

unsere Smartphones sollen sich über Radius (NPS) mit WPA2 Enterprise und EAP-Methode EAP TLS authentifizieren.

Die Erstellung, Verteilung und Erneuerung der Zertifikate mit einer Server 2008 R2 CA und Windows-Clients per GPO ist ja kein Problem. Aber wie realisiert ihr dies für Android und iOS?

 

Ansonten würde mir nur die Möglichkeit einfallen als EAP-Methode PEAP zu verwenden, also ohne Clientzertifikat und dass sich der User mit Ihren AD Credentials authentifizieren.

 

Vielleicht habt ihr ein paar Ideen und Vorschläge? :)

bearbeitet 7. März 2013 von AFM_Adm

[olc 18]

Hi,

 

in der Regel wirst Du dafür eine Mobile Device Management (MDM) Lösung benötigen. Produkte dafür gibt es für Android und iOS, auch Microsoft Intune sollte diese Möglichkeit bieten.

 

Häufig arbeitet eine solche MDM Software mit der NDES Rolle (Network Device Enrollment) zusammen, die Du nicht auf einer Deiner CAs installieren solltest, sondern auf einem eigenen System dafür.

 

Viele Grüße

olc

[tpk 10]

Bin gerade dabei eine MDM Lösung für uns zu Testen bzw. mehrere in die Auswahl genommen und diese jetzt wirklich Intensiv, nennt sich SOTI, behauptet von sich zumindest der führende Hersteller zu sein ;) aber Certifikat / AD / Exchange / FileSync usw... geht alles damit

 

Kommt aber halt auch immer darauf an für wieviele Geräte du das machen willst/musst, in der Regel müssen die Devices eh von der IT "vorbehandelt" werden, ob da dann noch das Root Cert draufkommt geht meistens in einem ;)

[AFM_Adm 11]

Kommt aber halt auch immer darauf an für wieviele Geräte du das machen willst/musst, in der Regel müssen die Devices eh von der IT "vorbehandelt" werden, ob da dann noch das Root Cert draufkommt geht meistens in einem ;)

 

Ich möchte das Thema nochmal aufgreifen.

Root Cert alleine reicht bei EAP-TLS ja nicht, da Client Certs benötigt werden.

 

Welche EAP Typen verwendet ihre denn, PEAP oder EAP-TLS?

[AFM_Adm 11]

Hallo miteinander,

 

welche EAP Typen verwendet ihre denn für die Authentifizierung von mobilen Endgeräten (Smartphones und Tablets) im WLAN, PEAP oder EAP-TLS?

[AFM_Adm 11]

Niemand hier, der sich mit dem Thema Wlan, Authentifizierung, Radius, etc. auseinander setzen musste?

[micha42 29]

Ich hab hier lediglich 10 iPhones zu konfigurieren. Da mache ich mit dem iPhone-Konfiguraionsprogramm. Das geht ganz gut.

m

[AFM_Adm 11]

Ich hab hier lediglich 10 iPhones zu konfigurieren. Da mache ich mit dem iPhone-Konfiguraionsprogramm. Das geht ganz gut.

m

 

Auch WPA2 Enterprise? Wenn ja, PEAP oder EAP-TLS? Wie hast du das Client-Cert beantragt?

[micha42 29]

Ich habe die Zertifikate hier für eine Cisco. Die habe ich als Datei vorliegen und verteile sie mit dem genannten Tool als Profil.

Damit kann man auch alles mögiche sonst auf die telefone aufspielen, ohne sich einen Wolf zu tippen auf den kleinen Bildschirmen: zB WLAN-Schlüssel

Das geht natürlich nur bei wenigen Telefonen.

Guck Dir das Tool mal an ist ganz nett.

m

bearbeitet 8. Mai 2013 von micha42

[AFM_Adm 11]

Das Root Cert kann ich wohl über solche Tools auf mobile Endgeräte wie z.B. Smartphones verteilen, aber bei EAP-TLS werden ja Client Certs benötigt.

Wie beantragt ihr diese Client-Certs über ein Smartphone?

[AFM_Adm 11]

Ich würde das Thema gerne nochmal hoch holen.

Wie löst ihr das Problem mit den Certs auf Smartphones?

bearbeitet 22. April 2014 von AFM_Adm

[AFM_Adm 11]

Niemand einen Tipp?

 

Wie könnte ich denn mit Radius und PEAP, sich die User also mit Ihren AD Credentials authentifizieren, den Zugriff über "private Endgeräte" verhindern?

[AFM_Adm 11]

Niemand eine Idee? :rolleyes: