leg 10 Geschrieben 25. Mai 2009 Melden Teilen Geschrieben 25. Mai 2009 Hallo zusammen, wir haben hier eine WLAN Umgebung, die vollständig auf Microsoft basiert, also - User-Zertifikat per Auto Enrollment - WLAN Settings per GPO verteilt (WPA, nur unser WLAN, Zertifika Auth) - IAS mit entsprechenden EAP Settings zur Serverauthentifizierung per Zertifikat - Cisco AccessPoints, RADIUS mit IP und PSK angegeben Wie aus dem Bilderbuch. Nun sind uns auf zwei der IAS Server die Zertifikate abgelaufen. Halb so schlimm, holt man sich halt ein neues... denkste. Über https://caserver/certsrv ein Zertifikat mit Template "Webserver" (zwecks ServerAuth) ein neues Zertifikat einbinden funktioniert gar nicht, es wird nichts im Zertifikatsmanager angezeigt (certmgr.msc auf Computer, Zertifikate unter Personal). Das ganze funktioniert nur über ein ablegen des Zertifikats und manuellen Import. Ob das so korrekt ist, weiß ich nicht. Jedenfalls kann ich das Zertifikat dann im EAP Profil auswählen, im Eventlog werden Anmeldeversuche aber so quittiert: Because the certificate that was configured for clients dialing in with EAP-TLS was not found, a default certificate is being sent to user intern\rak. Please go to the user's Remote Access Policy and configure the Extensible Authentication Protocol (EAP). Access request for user User@DOMAIN was discarded. Fully-Qualified-User-Name = DOMAIN\User NAS-IP-Address = 10.11.12.100 NAS-Identifier = ap-01 Called-Station-Identifier = 001a.e300.d999 Calling-Station-Identifier = 0021.5c55.3999 Client-Friendly-Name = e-ap-01 Client-IP-Address = 10.11.12.13 NAS-Port-Type = Wireless - IEEE 802.11 NAS-Port = 1586 Proxy-Policy-Name = Use Windows authentication for all users Authentication-Provider = Windows Authentication-Server = <undetermined> Reason-Code = 1 Reason = An internal error occurred. Check the system event log for additional information. Could not retrieve the Remote Access Server's certificate due to the following error: The credentials supplied to the package were not recognized Problem ist also im Endeffekt, das das Zertifikat nicht auszureichen scheint, als würde eine Option bei der Erstellung fehlen. Gibt es irgendwelche Besonderheiten, die man für so ein Zertifikat beachten muss? Vielen Dank für Anregungen und Vorschläge... Wir wundern uns leider nur noch. Danke Stephan Zitieren Link zu diesem Kommentar
leg 10 Geschrieben 28. Mai 2009 Autor Melden Teilen Geschrieben 28. Mai 2009 *push* Hat niemand eine Idee? Ist irgendwas offen oder undeutlich? Bin für jede Hilfe dankbar... Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 28. Mai 2009 Melden Teilen Geschrieben 28. Mai 2009 Hi leg, aus der Beschreibung wird man (ich) tatsächlich nicht so recht schlau. Wenn ich es recht verstehe, hast Du nach einigem hin und her ein Zertifikat für den Server erhalten. Wenn Du die beiden Zertifikate (abgelaufenes Zertifikat und neues Zertifikat) vergleichst (etwa über die GUI oder über "certutil -v -dump cert.cer", gibt es neben den zu erwartenden Unterschieden (Seriennummer, Datum etc.) auch einen anderen Zertifikatzweck / unterschiedliches Template? Die Fehlermeldung sieht mir im Moment danach aus, als ob immer noch das alte Zertifikat verwendet werden würde. Viele Grüße olc Zitieren Link zu diesem Kommentar
leg 10 Geschrieben 29. Mai 2009 Autor Melden Teilen Geschrieben 29. Mai 2009 Hallo olc, danke für die Antwort. Das alte Zertifikat haben wir bereits gelöscht, ich habe aber bereits mit funktionierenden Zertifikaten auf anderen unserer IAS verglichen (an jedem von 10 Standorten haben wir einen). Subject ist identisch, Enhanced Key Usage ist "Server Authentication". Ich konnte da keinen Unterschied feststellen. Der Witz ist, dass ich in den EAP Settings zwar ein Zertifikat auswählen kann, im Event Log aber steht es würde keins gefunden. Sowas komisches... Danke stephan Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.