Meier84

Hallo, ich habe einen Windows 2003 Server Standard Edition R2. Nun möchte ich über "http://xxx.xxx.xxx.xxx/certsrv/" Zertifikate verteilen. Auf der Suche bin ich auf ein Update für den Server gestoßen, der die Nutzung für Windows Vista ermöglicht: How to use Certificate Services Web enrollment pages together with Windows Vista or Windows Server 2008 Dieses Update habe ich installiert und nun ist der Zugang auch per Firefox möglich. Nicht jedoch per Internet Explorer. Dort bekomme ich immer den Fehler angezeigt "Die Webseite kann nicht angezeigt werden.". Ich habe auch alle möglich Sicherheitseinstellungen mit Active X aktiviert. Hat vllt noch jemand eine Idee, wo das Problem liegen könnte?

Hallo, ja genau, dass meinte ich ja. Ich möchte wirklich für jedes Gerät ein eigenes Zertifikat, so dass ich in der Verwaltung auch kontrollieren kann, wann sich wer angemeldet hat. Und genau das soll nicht passieren. Es sollen Geräte authentifiziert werden und keiner Benutze. Das Gerät soll sich also ohne handeln eines Benutzer mit Aufnahme der Verbindung authentifizieren. So habe ich es bisher, nur dass das Ganze nur bei Domänenmitgliedern funktioniert. Was ist aber mit Geräten, die ich nicht in die Domäne kriege (Smartphones zb)? Und da kommt das Webinterface ins Spiel. Nur kriege ich es eben nicht hin, funktionsfähige Computerzertifikate übers Webinterface zu beziehen:(

Hallo, ich habe folgende Situation. Ich habe zur Zeit unter Windows 2003 802.1X mit EAP-TLS im WLAN laufen, wo sich die Computer vorher ihr Computerzertifikat (Standardvorlage) durch Automatische Registrierung mit Hilfe einer Gruppenrichtlinie des Active Directory´s kabelgebunden ziehen müssen. Mit Windows-Geräten ist es auch kein Problem, denn die kann man ja mal schnell in die Domäne nehmen, um das Zertifikat zu bekommen. Nun zum Problem: Ich kriege es nicht hin Computerzertifikate über die Weboberfläche des Zertifikatsservers für einen Computer zu erstellen, nicht mal mit Windows-Geräten. Ich kann zwar eine Vorlage auf Basis des Computerzertifikats erstellen, aber wenn ich dieses dann anfordere sieht es folgendermaßen aus: http://s1.directupload.net/file/d/2641/7pl8dgqw_png.htm Trage ich dann unter "Identifikationsinformationen für Offlinevorlage" Informationen ein und installiere das "Computerzertifikat" bekomme ich dieses Zertifikat unter "Aktueller Benutzer" installiert und nicht wie gewollt unter "Lokaler Computer". Außerdem verhält sich dieses Zertifikat dann auch wie ein Benutzerzertifikat und ich kann es einfach nicht zur 802.1X-Authentifizierung verwenden ohne vorher einen !Benutzer! zu erstellen mit dem identischen Name den ich unter "Identifikationsinformationen für Offlinevorlage" eingegeben habe und für diesen die Zugang zu gestatten. Wie kann ich also manuell ein Computerzertifikat für ein Gerät erstellen? Und wie mache ich das z.B. mit Smartphones? Ich weiss, dass man die Zertifikate importieren und exportieren kann, aber diese Zertifikate sind ja immer nur auf einen Benutzer/Computer ausgestellt. Wenn ich dann ein Zertifikat auf mehrere Smartphones exportieren melden sich ja zig Smartphones mit dem gleichen Namen an??? Und ja ich weiss, es gibt auch die Möglichkeit das mit OpenSource umzusetzen, aber das ist in dieser Umgebung nicht möglich.

Hallo Forum, ich habe es nach einiger Bastelei hinbekommen EAP-TLS unter Windows Server 2003 mit Computer- und Serverzertifikaten zum laufen zu kriegen. Ich stehe nun vor folgendem Problem, bei dem mir vllt die 802.1X-Profis weiterhelfen können. Ist es möglich unter Windows IAS und Active Directory eine EAP-TLS-Authentifizierung zu realisieren, ohne, dass die anzumeldenden Clientgeräte in der Domäne angemeldet werden müssen? Was mache ich z.B. bei Linuxgeräten o.ä.? 802.1X ist doch eigentlich ein Standard? Konkret läuft es zur Zeit so ab, dass ich erst die Geräte mit einem Nutzer am Netzwerk (an der Windows-Domäne) anmelde und dann die Zertifikate (Nutzer bzw. Computer) per Autoenrollment verpasst bekomme. Mit diesen Zertifikaten kann ich mich dann über 802.1X (EAP-TLS) gegenüber dem Netzwerk authentifizieren und melde mich danach mit einem Nutzer bei der Domäne an. Kann ich also auch gar keine Zertifikate erstellen und dann z.B. per USB-Stick auf ein Clientgerät kopieren? Wäre eventuell FreeRADIUS in Kombination mit OpenSSL eine Alternative? Vielen Dank im vorraus und angenehmen Sonntag ;)

Also der aktuelle Stand ist, dass es nun im LAN als auch im WLAN mit Benutzerzertifikaten funktioniert. Das Ziel ist allerdings, die Laptops nicht anhand der Benutzerkonten, sondern als Geräte, sprich per Computerzertifikat zu authentifizieren. Ich habe nun also ein Computerkonto im AD erstellt und mir ein Computerzertifikat ausstellen lassen. Allerdings authentifiziert sich der Laptop immernoch mit dem Benutzerzertifikat. Da ich Windows XP mit Service-Pack 3 habe, kann ich auf dem Laptop nicht mehr auswählen ob ich Benutzer- oder Geräteauthentifizierung haben möchte. Oder sollte ich einfach versuchen, dass Benutzerzertifikat zu deinstallieren? Vielen Dank

Ich beginne mal von Anfang an... Den Switch habe ich mit allen wichtigen 802.1X-Befehlen konfiguriert. EAP-MD5 funktioniert problemlos. Dann habe ich im Active Directory einen Computer erstellt mit dem Namen "Lerche". Dabei handelt es sich um meinen Laptop, der als Test-Supplicant eingesetzt werden soll. Diesem habe ich den Zugang gestattet und ihn in die Gruppe Domänencomputer gesteckt: Im Windows IAS habe ich den Switch mit IP-Adresse und Shared Secret eingetragen und eine entprechende Richtlinie erstellt: Das war soweit alles was ich im AD und im IAS gemacht habe (wie gesagt EAP-MD5 funktioniert ja auch!) Nun geht es los mit der Zertifizierungsstelle: Erstmal habe ich ein Zertifizierungsstellenzertifikat erstellt: Dann habe ich im Ordner Zertifikatsvorlagen wie in der Doku gezeigt die beiden Zertifikate erstellt und angepasst (ich musste ADSIedit nutzen weil ich keine Enterprise-Version von 2003 habe). Das RAS- and IAS-Server-Zertifikat habe ich unter Zertifikate (Lokaler Computer) angefordert. Wie es dann weiter geht ist mir noch nicht ganz klar... Ich habe dann das Workstation-Zertifikat auf meinen Laptop per USB übertragen und noch dazu ein Zertifizierungsstellenzertifikat der Zertifizierungsstelle. Das habe ich dann auf meinen XP-Laptop installiert. Meine Frage ist nun dazu, wie kann ich den Computer, den ich im Active Directory erstellt habe mit dem entsprechenden Zertifikat verknüpfen? Auf jeden Fall habe ich dann eine Testauthentifizierung gemacht und ich werde sofort nach Herstellen der Verbindung zum Switch abgewiesen. Es werden auch absolut keine RADIUS-Pakete zwischen Switch und RADIUS-Server ausgetauscht. Wechsel ich testweise zu PEAP oder MD5, dann werden RADIUS-Pakete ausgetauscht, aber bei EAP-TLS krieg ich nur das hier ausgegeben und sehe ein paar ausgestauschte dot1x-Pakete: Bitte um Hilfe @ jarazul: Kann dir keine PN schicken. Hast du eventuell ICQ oder ne Email-Adresse. Wenn es dir keine Umstände macht, lässt sich das Problem so vllt einfacher lösen. Das wäre sicherlich flexibler als übers Forum

Ich schreib hier gleich nochmal in Kurzfassung, was mein aktueller Stand ist. Das mit dem ADSIEdit habe ich gebraucht, weil ich nicht die Enterprise-Version vom 2003er besitze. Im Moment funktioniert die Authentifizierung noch immer nicht. Aber vielen Dank schonmal für die Hilfe jarazul!

Ok, dieses spezielle Problem konnte ich nun lösen :cool: mit ADSIedit , falls es mal jemand benötigt...

Hi, vielen Dank für die Anleitung. Ich komme allerdings an einer Stelle absolut nicht weiter Wenn ich auf Zertifikatsvorlagen gehe, dann sehe ich lediglich diese wenigen hier: Ich kann allerdings unter >Rechtsklick >Verwalten weitere Zertifikatsvorlagen finden und auch wie in der Anleitung diese anpassen: Das Problem ist nun aber, dass die von mir erstellten Vorlagen nicht ausstellbar sind, d.h. sie erscheinen nicht wie in der Doku dargestellt in der Liste: Doku---> mein Versuch---> Und deshalb erscheinen sie auch unter "Zertifikate (Lokaler Computer)" nicht: Doku---> mein Versuch---> Bitte um Hilfe!

Hallo Forum, ich bin im Bereich 802.1X nicht gerade unbewandert, hatte allerdings noch nie die höheren Authentifizierungsverfahren PEAP und EAP-TLS in Benutzung. Für einen Kunden soll ich nun EAP-TLS im WLAN einrichten. Dort sollen sich verschiedene Laptops (Win XP) beim Server (Win 2003) auf Basis von Zertifikaten anmelden. Die 802.1X-Kommunikation steht, damit gibt es keine Probleme. Bei mir hängt es aber ganz gewaltig bei den Zertifikaten... Was ist bisher verstanden habe: -Sowohl Client, als auch Server bekommen ihr Client- bzw. Serverzertifikat -Beide Zertifikate werden in der Zertifizierungsstelle auf dem Server erstellt Was ich noch nicht verstehe: -Wie und über welchen Weg erstelle ich am Besten die Zertifikate? -Wie kann ich die Clientzertifikate dem jeweiligen Clientcomputer im AD zuweisen? Kann mir eventuell jemand bei dem Thema weiterhelfen? Am Besten wäre eine ganz kurze Einleitung mit den wichtigsten Punkten in 3 oder 4 Sätzen. Im Internet findet man zwar viel, aber überall stehen widersprüchliche Sachen :rolleyes: Vielen Dank im Vorraus