Skip to end of metadata
Go to start of metadata


Beschreibung:
Werden Zertifikate mit dem Signatur-Algorithmus MD5 verwendet, kann es vorkommen, dass bei einer 802.1x Authentifizierung die Endgeräte nicht auf die Anfrage des RADIUS-Servers antworten. Dies ist z.B. bei Apple iPhones und iPads der Fall.

LANCOM Systems rät aufgrund der Sicherheitslücken von der Verwendung von MD5 ab und empfiehlt stattdessen SHA-256 zu verwenden.

Da das EAP-TLS Zertifikat durch die Geräte-CA generiert wurde, müssen alle Zertfikate gelöscht und anschließend neu erstellt werden.

Dieses Dokument beschreibt, wie Sie Zertifikate auf einem LANCOM WLAN Controller zurücksetzen können. Dadurch werden neue Zertifikate mit dem Signatur-Algorithmus SHA-256 erstellt.

Wichtig:
Da die CA des WLAN-Controllers gelöscht und neu intialisiert wird, müssen die Access Points die Zertifikate vom WLAN-Controller neu beziehen. Dazu sollten die Access Points auf den Werkszustand zurückgesetzt werden (siehe auch Dokumentlinksymbol).



Voraussetzungen:



Vorgehensweise:

Schritt 1: Prüfung des verwendeten Signatur-Algorithmus

1.1 Öffnen Sie eine SSH-Sitzung auf dem LANCOM WLAN Controller und melden Sie sich mit administrativen Rechten an.

1.2 Geben Sie den Befehl show eap ein. Ist bei Signature Algorithm der Algorithmus md5WithRSAEncryption hinterlegt, wurde das EAP-TLS-Zertifikat noch mit dem Signatur-Algorithmus MD5 erstellt. Damit sind Sie von dem Problem betroffen.



Info:
Alternativ kann die Analyse auch über einen RADIUS-Server Trace auf dem WLAN-Controller erfolgen. Ist dort im Challenge Request der String md5WithRSAEncryption enthalten, sind Sie von dem Problem betroffen.



Schritt 2: Zertifikatsbaum zurücksetzen/ausschalten

2.1 Wechseln Sie mit dem Befehl cd /Setup/Certificates in das Verzeichnis Certificates.

2.2 Geben Sie den Befehl default -r ein.



2.3 Geben Sie den Befehl cd\ ein um in das Root-Verzeichnis zurück zu gelangen.



Schritt 3: SCEP- und EAP-TLS-Dateien aus dem Dateisystem löschen

3.1 Wechseln Sie mit dem Befehl cd /Status/File-System/Contents in das Verzeichnis Contents.

3.2 Geben Sie den Befehl ls ein, um sich den Inhalt des Dateisystems anzeigen zu lassen.

3.3 Löschen Sie jeweils mit dem Befehl del <Dateiname> alle Dateien, welche den Begriff "scep" und "eaptls" im Dateinamen haben (z.B. del scep_crl).

3.4 Löschen Sie zusätzlich die Datei controller_pkcs12_int mit dem Befehl del controller_pkcs12_int.





Schritt 4: Gerät neu starten

4.1 Geben Sie den Befehl do /Other/Cold-Boot ein, um den WLAN-Controller neu zu starten.



Schritt 5: Prüfen, ob ein Basis-Challenge-Passwort eingetragen ist

5.1 Öffnen Sie die Konfiguration des LANCOM WLAN-Controllers in LANconfig und stellen Sie sicher, das im Menü Zertifikate -> Zertifikatsbehandlung ->Basis-Challenge-Passwort ein Passwort eingetragen ist.

Sollte kein Passwort eingetragen sein, schließen Sie LANconfig und öffnen Sie die Konfiguration dann erneut in LANconfig. Nach dem erneuten Öffnen wird ein automatisch generiertes Basis-Callenge-Passwort eingetragen.





Schritt 6: Aktivieren der Zertifizierungsstelle

6.1 Stellen Sie sicher, dass im Menü Zertifikate -> Zertifizierungsstelle (CA) die CA aktiviert ist.




Schritt 7: Kontrolle des neu erstellten EAP-TLS Zertifikates

7.1 Geben Sie auf der Konsole den Befehl show eap ein. Ist dort sha256WithRSAEncryption angegeben, wurde das EAP-TLS-Zertfikat mit dem Signatur-Algorithmus SHA-256 erstellt.