Tobikom 10 Geschrieben 1. Mai 2006 Melden Teilen Geschrieben 1. Mai 2006 Hallo zusammen, ich habe mir eine Testumgebung mit einem Windows 2003 ADS aufgebaut. Ein DC und ein MemberServer als Zertifizierungsstelle. Alles Windows 2003 Standard Server. Es sollen sowol Notebook der Domäne aus auch externe Notebooks ins WLAN kommen. Gibt es eine Möglichkeit nur mit Computerzertifikaten ohne Bentutzerzertifikat die WLAN Verbindung abzusichern? EDIT: Idealfall wäre ich stelle einem beliebigen Notebook ein Computerzertifikat aus und das Gerät hat Zugang zum WLAN. Bin für Tipps oder auch Links dankbar. Grüße Tobias Zitieren Link zu diesem Kommentar
ctimepro 10 Geschrieben 2. Mai 2006 Melden Teilen Geschrieben 2. Mai 2006 Hei, Wie sicher soll den die Sache sein? Wenn du jedem Zugang geben willst und einen Kieselstein (Zertifikat) in den Weg legen willst, dann hat deine Firma wohl bald ein Problem ;-) Ich würde nicht mit Zertifikaten arbeiten sondern mit VPN. Dies kannst du recht einfach installieren und mit einem W2K3 ADS über RADIUS bzw. RAS realisieren. Es gibt auch bessere Lösungen, je nach Sicherheitsbedarf :-) Viel Spass beim Umsetzen. lg Ctime Prophet Zitieren Link zu diesem Kommentar
nouseforaname 10 Geschrieben 2. Mai 2006 Melden Teilen Geschrieben 2. Mai 2006 hi, also ein kieselstein ist ein computerzertifikat zur authentifizerung wohl nicht. EAP-TLS ist eines der sichersten protokolle. Aber nur ein computerzertifikat verringert die sicherheit natürlich ein wenig. Ob das funktioniert habe ich nie ausprobiert, aber ich wüßte nicht was dagegen sprechen soll. EAP-TLS fordert nur auf beiden Seiten "1" (ob computer oder user zertifikat ist offen gelassen) Zertifikat für die gegenseitige Authentifizierung. Also ein Versuch ist es wert => solltest du auf Probleme stoßen, kannst du ja noch zusätzlich die benutzerzertifikate mitnutzen! edit: zu spät gesehen => die CA ist auch eine standard edition des 2003 server? hier empfiehlt ms eine enterprise edition Client certificate requirements With either EAP-TLS or PEAP with EAP-TLS, the server accepts the client's authentication when the certificate meets the following requirements: • The client certificate is issued by an enterprise certification authority (CA), quelle: http://support.microsoft.com/default.aspx?scid=kb;en-us;814394 gruß kai Zitieren Link zu diesem Kommentar
ChristianHemker 10 Geschrieben 2. Mai 2006 Melden Teilen Geschrieben 2. Mai 2006 Wie wäre es denn mit EAP-TLS und 802.1x für die Authentifizierung und L2TP/IPSec für die Datenübertragung, dann ist es was vernünftiges :) Achja: die Benutzerzertifikate bitte nur auf Smartcards speichern, sonst taugt das ja alles nichts! (Je nach Sicherheitsbedürfnis eben...) Zitieren Link zu diesem Kommentar
Tobikom 10 Geschrieben 2. Mai 2006 Autor Melden Teilen Geschrieben 2. Mai 2006 Hallo, die Authentifizierung läuft über den IAS. Irgendwie hab ich es noch nicht geschafft mich mit dem Computerzertifikat zu authentifizieren. Auf dem Client kommt immer die Meldung das kein Zertifitkat vorhanden sein. Hat jemand zufällig nen HowTo mit EAP-TLS und 802.1x zur Hand? Danke schonmal Tobias Zitieren Link zu diesem Kommentar
nouseforaname 10 Geschrieben 2. Mai 2006 Melden Teilen Geschrieben 2. Mai 2006 eine ansammlung von links: der webcast: http://support.microsoft.com/?scid=kb%3Ben-us%3B842439&x=15&y=17 http://support.microsoft.com/?scid=kb%3Ben-us%3B837911&x=12&y=12 das how-to: http://www.microsoft.com/technet/prodtechnol/winxppro/deploy/ed80211.mspx verschiedenes: http://technet2.microsoft.com/WindowsServer/en/Library/e9a30a60-7f8b-435f-b210-d47c3b7ecb961033.mspx http://www.microsoft.com/germany/technet/datenbank/articles/900173.mspx#ECG http://www.microsoft.com/technet/itsolutions/network/ias/default.mspx gruß kai Zitieren Link zu diesem Kommentar
Tobikom 10 Geschrieben 2. Mai 2006 Autor Melden Teilen Geschrieben 2. Mai 2006 Hallo, ich hab immer noch das Problem das der Client melder "Es wurde keine Zertifikat gefunden, um sich anzumelden." Ich habe für den Client im per MMC im Zertifikate Snap-In ein Zertifikat bei meiner CA angefordert. Das Zertifikat ist vorhanden und gültig. Hab ich da was falsch verstanden oder einfach nur was übersehen? Grüße Tobias Zitieren Link zu diesem Kommentar
pillendreher 10 Geschrieben 2. Mai 2006 Melden Teilen Geschrieben 2. Mai 2006 Hi, Was hast du dir denn für ein Zertifikat ausstellen lassen? Ein IPSec Zertifikat? oder ein Userzertifikat? Gruß Pille Zitieren Link zu diesem Kommentar
Tobikom 10 Geschrieben 4. Mai 2006 Autor Melden Teilen Geschrieben 4. Mai 2006 Hallo, das ausgestellte Zertifikat ist ein Computerzertifikat (Clientauthentifizierung). Es sollte damit funktionieren wenn ich das richtig lese. Klappt nur nicht. Grüße Tobias Zitieren Link zu diesem Kommentar
grizzly999 11 Geschrieben 4. Mai 2006 Melden Teilen Geschrieben 4. Mai 2006 Hallo, ich hab immer noch das Problem das der Client melder "Es wurde keine Zertifikat gefunden, um sich anzumelden." Ich habe für den Client im per MMC im Zertifikate Snap-In ein Zertifikat bei meiner CA angefordert. Das Zertifikat ist vorhanden und gültig. Hab ich da was falsch verstanden oder einfach nur was übersehen? Grüße Tobias Hat denn der RADIUS-Server auch ein Computerzertifikat? grizzly999 Zitieren Link zu diesem Kommentar
Tobikom 10 Geschrieben 4. Mai 2006 Autor Melden Teilen Geschrieben 4. Mai 2006 Der Radius Server ist ein IAS auf einem Windows 2003 Server. Der Server ist gleichzeitig DC und hat auch ein Computerzertifikat. Grüße Tobias Zitieren Link zu diesem Kommentar
nouseforaname 10 Geschrieben 4. Mai 2006 Melden Teilen Geschrieben 4. Mai 2006 ist der client domänenmitglied? welche eap "art" setzt du ein? tls? du hast jetzt nur ein computerzertifikat ausgestellt? gruß kai Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.