Enterprise WPA mit Zertifikaten

Forum zum LANCOM WLC-4100, WLC-4025+, WLC-4025 und WLC-4006 WLAN-Controller

Moderator: Lancom-Systems Moderatoren

Antworten
Weasel
Beiträge: 3
Registriert: 18 Feb 2022, 10:26

Enterprise WPA mit Zertifikaten

Beitrag von Weasel »

Servus in die Runde,

einige Mitarbeiter haben Google Pixel Smartphones. Diese kommen wegen der "neuen" Sicherheitsrichtlinie von Google nicht mehr in unser Enterprise WLAN, weil man die Authentifizierung per Zertifikat nicht mehr ignorieren kann.

Aktuell verbinden sich die Smartphones normal per Eingabe von Username+Password.
Funktioniert es überhaupt, dass man bei den Pixel Smartphones dann einfach nur ein Zertifikat mitgibt? Und ist es dann das Zertifikat von WLAN Controller, den Access Points oder sogar vom Radius Server? Ich blicke da nicht wirklich durch...

Man kann bei der normalen Verbindung per Radius-Abfrage maximal den Punkt "CA-Zertifikat" auf "Bei der ersten Verwendung als vertrauenswürdig einstellen" setzen, wodurch man sich zwar verbinden kann, jedoch nur dieses eine Mal. Sobald man sich neu verbinden möchte, zählt dieses Zertifikat nicht mehr.

Wir nutzen den WLC-4006+
Für Rückfragen (die sicherlich noch kommen) bin ich stets verfügbar.

Danke im Voraus und Grüße
Weasel
Benutzeravatar
rotwang
Beiträge: 140
Registriert: 04 Jun 2021, 22:01

Re: Enterprise WPA mit Zertifikaten

Beitrag von rotwang »

Aktuell verbinden sich die Smartphones normal per Eingabe von Username+Password.
Funktioniert es überhaupt, dass man bei den Pixel Smartphones dann einfach nur ein Zertifikat mitgibt? Und ist es dann das Zertifikat von WLAN Controller, den Access Points oder sogar vom Radius Server? Ich blicke da nicht wirklich durch...
WPA-Enterprise macht eine gegenseitige Authentifizierung. Nicht nur der Client weist sich gegenüber dem Netz aus, auch umgekehrt der AP bzw. der RADIUS-Server dahinter gegenüber dem Client. Damit der Client sich nicht bei einem Rogue AP anmeldet. So wie Du das beschreibst, machst vermutlich PEAP, d.h. der Client authentisiert sich mit Benutzernamen und Passwort, und der RADIUS-Server mit einem Zertifikat. Das ist so ähnlich wie das Zertifikat eines Web-Servers.

Die Clients prüfen das Server-Zertifikat so wie bei HTTPS auch, indem sie schauen, ob sie das Zertifikat der CA haben, die das Server-Zertifikat signiert hat. Das hat Du auf Deinen Clients bisher nicht installiert, deshalb gibt es die Warnung, die man übergehen kann, aber eben nicht mehr dauerhaft. Wenn Du keine eigene CA hochgezogen hast und die eingebaute CA vom WLC benutzt, dann holst Du dir vom WLC das Zertifikat dieser eingebauten CA und installierst das auf Deinen Clients.
Weasel
Beiträge: 3
Registriert: 18 Feb 2022, 10:26

Re: Enterprise WPA mit Zertifikaten

Beitrag von Weasel »

Servus,
ich konnte das Problem jetzt so lösen, dass ich unser Domänenzertifikat aus meinem W10 Rechner exportiert habe.
Dieses konnte ich dann bei meinem Pixel als WLAN-CA installieren und mich zusammen mit meinen Credentials anmelden.

Vielen Dank für die Denkhilfe und Grüße
Weasel
Antworten

Zurück zu „Alles zum LANCOM WLC-4100, WLC-4025+, WLC-4025 und WLC-4006 WLAN-Controller“