8
Wie kann ich einem Windows NPS-Server (RADIUS) ein Zertifikat hinterlegen?
Hallo,
Meine Situation:
wir betreiben zwei Windows-Server 2012 basierende Domänencontroller u.a. mit der NPS-Rolle zur RADIUS-Authentifizierung von WLAN-Clients.
Die Server laufen in unserem inneren Netzwerk mit einer lokalen Domain und einer selbstsignierten Root-CA dafür.
Mein Problem:
Die konnektierenden WLAN-Clients zeigen bei der Anmeldung mittels Benutzername/Kennwort einen Zertifikatsfehler an (logisch). Ich möchte
Meine Frage:
Kann ich dem NPS-Server ein im Internet gekauftes Zertifikat hinzufügen, sodass dieses anstelle des Serverzertifikates der Maschine bei der RADIUS-Verbindung genutzt wird?
Meine Situation:
wir betreiben zwei Windows-Server 2012 basierende Domänencontroller u.a. mit der NPS-Rolle zur RADIUS-Authentifizierung von WLAN-Clients.
Die Server laufen in unserem inneren Netzwerk mit einer lokalen Domain und einer selbstsignierten Root-CA dafür.
Mein Problem:
Die konnektierenden WLAN-Clients zeigen bei der Anmeldung mittels Benutzername/Kennwort einen Zertifikatsfehler an (logisch). Ich möchte
Meine Frage:
Kann ich dem NPS-Server ein im Internet gekauftes Zertifikat hinzufügen, sodass dieses anstelle des Serverzertifikates der Maschine bei der RADIUS-Verbindung genutzt wird?
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 291518
Url: https://administrator.de/contentid/291518
Printed on: April 18, 2024 at 06:04 o'clock
8 Comments
Latest comment
Sorry, damit bin ich genauso schlau wie vorher.
Hallo,
man erstellt eine CA und dann dort auch wieder Zertifikate für die WLAN Klienten und diese muss man
dann entweder manuell oder automatisch mittels AD/DC Anmeldung auf die Klienten verteilen.
Gruß
Dobby
man erstellt eine CA und dann dort auch wieder Zertifikate für die WLAN Klienten und diese muss man
dann entweder manuell oder automatisch mittels AD/DC Anmeldung auf die Klienten verteilen.
Sorry, damit bin ich genauso schlau wie vorher.
Ist doch aber alles gut beschrieben worden, oder?Gruß
Dobby
Moin,
ist doch ganz einfach.
Findest du unter dem Punkt Creating an NPS Policy
auf folgender Seite: https://documentation.meraki.com/MR/Encryption_and_Authentication/Config ...
Gruß grexit
ist doch ganz einfach.
- Erst dein Zertifikat wie oben beschrieben inkl. privatem Key auf dem Server ins System importieren
- Dann im NPS eine Policy erstellen und dort der PEAP Methode das Zertifikat zuweisen
Findest du unter dem Punkt Creating an NPS Policy
auf folgender Seite: https://documentation.meraki.com/MR/Encryption_and_Authentication/Config ...
8. Click Configure to review the Edit Protected EAP Properties. The server certificate should be in the Certificate issued drop down.
Genau das was die entscheidende Info! Vielen Dank "grexit".
Noch eine letzte Frage wenn es gestattet ist: Könnte man dieses Zertifikat so erstellen das man den private-Key mit exportieren kann um es somit auf mehreren NPS-Servern zu hinterlegen ohne für jeden ein eigenes zu bauen/kaufen?
Noch eine letzte Frage wenn es gestattet ist: Könnte man dieses Zertifikat so erstellen das man den private-Key mit exportieren kann um es somit auf mehreren NPS-Servern zu hinterlegen ohne für jeden ein eigenes zu bauen/kaufen?
Zitat von @billythekid:
Noch eine letzte Frage wenn es gestattet ist: Könnte man dieses Zertifikat so erstellen das man den private-Key mit exportieren kann um es somit auf mehreren NPS-Servern zu hinterlegen ohne für jeden ein eigenes zu bauen/kaufen?
Deinen private Key hast du beim Anfordern des Zertifikates erstellt oder du konntest dein Zertifikat in einem *.pfx oder *.p12 Container herunterladen, worin dieser bereits enthalten ist. Also kannst du dein Cert in so vielen Geräten wie du willst hinterlegen, nur muss der verwendete FQDN des Servers mit dem Common-Name oder einem SAN im Zertifikat übereinstimmen, ist ja logisch !Noch eine letzte Frage wenn es gestattet ist: Könnte man dieses Zertifikat so erstellen das man den private-Key mit exportieren kann um es somit auf mehreren NPS-Servern zu hinterlegen ohne für jeden ein eigenes zu bauen/kaufen?
P.s. Beim Import eines Zertifikates in Windows hast du immer die Möglichkeit den privaten Teil des Certs als Exportierbar zu markieren. Wenn man das macht kann man den privaten Teil auch von dieser Maschine herausziehen. Das sollte man aber aus Sicherheitsgründen nur auf sehr vertrauenswürdigen Maschinen machen und ihn selbstverständlich mit einem zusätzlichen Passwort schützen.
Das Problem besteht weiterhin. Ich habe nun ein offizielles Let's Encrypt Zertifikat erstellt und auf dem NPS-Server importiert und im WLAN-NPS-Profil ausgewählt. Dieses wird dem Client auch präsentiert, nur behauptet der weiterhin es wäre nicht vertrauenswürdig?
Hallo, dürfen wir das Thema nochmal aufwärmen. Ich schätze das der NPS über die IP-Adresse und nicht unter sein Name aufgerufen wird und so passt das Zertifikat nicht. Wenn der Server unter sein Namen aufgerufen wird (z.B. nps.deindomain.de), er ist dort auch erreichbar (DNS A Record) und der Name im Zertifikat hinterlegt ist, sollte eigentlich alles passen. Habt ihr schon das Problem beheben können?
