xhutzelx 10 Geschrieben 14. Januar 2014 Melden Teilen Geschrieben 14. Januar 2014 (bearbeitet) Hallo zusammen! Wir haben ein WLAN, mit dem sich Benutzer mit ihren Domänen-Anmeldedaten + Benutzerzertifikat anmelden können. Die Authentifizierung findet über NAP (am Radius-Server) statt. Die Benutzer bekommen über eine GPO automatisch ein entsprechendes Zertifikat. Die Adapter-Einstellungen werden ebenfalls über eine GPO gepusht. Soweit so gut. Über Notebooks lässt sich so ganz easy eine Verbindung zum WLAN herstellen, wenn man es auswählt und auf Verbinden geht. Zertifikat funktioniert also. Nun möchte ich auch für die Handy-Benutzer die Möglichkeit anbieten, das WLAN zu benutzen. Hierzu habe ich unter Windows das CA-Zertifikat unserer internen CA im DER-Format und das Benutzerzertifikat im PFX-Format exportiert. Beim Benutzerzertifikat habe ich den privaten Schlüssel mit exportiert und die Optionen "Alle Zertifikate im Zertifizierungspfad einbeziehen" und "Alle erweiterten Eigenschaften exportieren" ausgewählt. Danach habe ich auf einem Samsung Galaxy S4 Mini (Android 4.2.2) das CA- und das Benutzerzertifikat installiert. Wenn ich nun unser WLAN auswähle, dann benutze ich die entsprechenden Einstellungen, die in den Netzwerkrichtlinien des NAP festgelegt worden sind: Microsoft geschütztes EAP (PEAP). EAP-Typ ist Smartcard oder anderes Zertifikat. Phase 2-Authentifizierung unterstützt MS-CHAP als auch MS-CHAP2. Entsprechend habe ich das auf dem Handy ausgewählt. Ich wähle entsprechend auch das CA- und Benutzerzertifikat aus. Anmeldename auf dem Samsung im Format "Domäne\Benutzer" + Kennwort. Anonyme Daten sind leer. Aber leider baut das Handy keine Verbindung auf. Im Radius-Server Protokoll erscheint Event "6273" -> Benutzerzugriff verweigert. Ursache: Die Zertifikatskette wurde von einer nicht vertrauenswürdigen Zertifizierungsstelle ausgestellt. Ich habe auf dem NAP eine zweite Richtlinie erstellt und die Option mit den Zertifikaten weggelassen, um sicherzustellen, dass es wirklich an den Zertifikaten liegt. Das funktioniert sofort. So würde ich schlussfolgern, dass etwas mit der Vorgehensweise bzgl. der Zertifikate nicht stimmt. Hat jemand eine Idee? Woran könnte es liegen? Export? Mir ist da noch in den Sinn gekommen, vielleicht eine andere Zertifikatsvorlage speziell für Handys zu erstellen. Vielleicht liegt es ja daran. Allerdings frage ich mich, wie ich die Vorlage konfigurieren muss. :-/ bearbeitet 14. Januar 2014 von xhutzelx Zitieren Link zu diesem Kommentar
Dunkelmann 96 Geschrieben 15. Januar 2014 Melden Teilen Geschrieben 15. Januar 2014 Moin, versuch mal das Root Zertifikat im Base64 Format an das Android zu übertragen. Manche Systeme haben mit DER Probleme. Wenn Du Benutzerzertifikate nutzt und es auf einem Gerät funktioniert, sollte mit der Vorlage und dem Zertifikat alles ok sein. Eventuell hilft es, auf dem NPS den MS Netzwerkmonitor zu installieren und zu prüfen in welcher EAP-Phase es hängt oder ob es andere Auffälligkeiten gibt. Das NPS Log ist zum debug nicht wirklich zu gebrauchen. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.