Beschreibung: Dieses Dokument beschreibt, wie Sie eine zertifikatsbasierte WLAN-Verbindung mit 802.1x Authentifizierung in einem LANCOM WLC-Szenario konfigurieren. Voraussetzungen: Szenario: 1. Eine Firma managed die WLAN Infrastruktutur mit einem LANCOM WLAN Controller. - Der WLAN Controller ist bereits in das lokale Netzwerk integriert und verfügt über eine funktionsfähige Internetverbindung.
- Die LANCOM Access Points sind ebenfalls mit dem WLAN Controller verbunden und werden von diesem gemanaged.
2. Das bestehende Szenario soll dahingehend erweitert werden, dass ein weiteres WLAN-Netzwerk konfiguriert wird, an welchem sich die Clients per 802.1x authentifizieren müssen. 3. In diesem Konfigurationsbeispiel wird der interne RADIUS-Server des WLAN Controllers als Authentifizierungsserver verwendet. Das heisst, der WLAN Controller ist zugleich Authenticator und Authentifizierungsserver.  Vorgehensweise: 1. Erstellen der Zertifikate für die 802.1x Authentifizierung 1.1 Gehen Sie zur Erstellung der Zertifikate vor, wie es in diesem Knowledge Base-Artikel beschrieben ist. 1.2 Zum Ende dieses Konfigurationsschrittes erhalten Sie zwei Zertifikatsdateien im *.p12-Dateiformat - eine für den WLAN Controller (TLS Server) und eine für den WLAN Client (TLS Client).
2. Zertifikats-Datei in den LANCOM WLAN Controller laden 2.1 Um die Zertifikats-Datei des WLAN Controllers in das Gerät zu laden müssen Sie vorgehen, wie es in diesem Knowledge Base-Artikel beschrieben ist.
3. Erstellen des 802.1x WLAN-Netzwerkes auf dem LANCOM WLAN Controller 3.1 Öffnen Sie die Konfiguration des WLAN Controllers in LANconfig und wechseln Sie in das Menü WLAN-Controller → Profile → Logische WLAN-Netzwerke (SSIDs). 3.2 Erzeugen Sie einen neuen Listeneintrag mit Hinzufügen. 3.3 Vergeben Sie im Feld Name eine Namensbezeichnung für den Listeneintrag. 3.4 Im Feld Netzwerk-Name müssen Sie eine Namensbezeichnung für die ausgestrahlte SSID eingeben. In diesem Beispiel soll die SSID WLAN-802.1x ausgestrahlt werden. 3.5 Stellen Sie als Verschlüsselung die Option 802.11i (WPA)-802.1x ein. 3.6 Alle anderen Parameter dieses Konfigurationsdialogs belassen wir in diesem Beispiel bei den Standardeinstellungen. 3.7 Schließen Sie den Konfigurationsdialog mit OK und wechseln Sie in das Menü WLAN-Controller → Profile → WLAN-Profile. 3.8 Erzeugen Sie einen neuen Listeneintrag mit Hinzufügen. 3.9 Vergeben Sie im Feld Profilname eine Namensbezeichnung für das neue WLAN-Profil. 3.10 Im Feld Log. WLAN-Netzwerk-Liste müssen Sie das logische WLAN-Netzwerk auswählen, welches Sie im Schritt 3.2 erstellt haben. 3.11 Im Feld Physik. WLAN-Parameter müssen Sie das vorhandene Profil für die physikalischen WLAN Parameter einstellen. 3.12 Wechseln Sie in das Menü WLAN-Controller → AP-Konfiguration → Access-Point-Tabelle. 3.13 Für die Access Points, welche die SSID mit der 802.1x-Authentifizierung ausstrahlen sollen, muss eine Änderung im jeweiligen Listeneintrag vorgenommen werden. 3.14 Stellen Sie im Parameter WLAN-Profil das im Schritt 3.8 erstellte WLAN Profil für die 802.1x Authentifizierung eingestellt werden. 3.15 Wiederholen Sie die Schritte ggfs. für weitere Access Points. 3.16 Schließen Sie die Dialoge mit OK und schreiben Sie die Konfiguration in den WLAN Controller zurück.
4. Aktivieren des RADIUS-Servers und der EAP-Authentifizierung auf dem LANCOM WLAN Controller 4.1 Öffnen Sie die Konfiguration des WLAN Controllers in LANconfig und wechseln Sie in das Menü RADIUS → Server. 4.2 Tragen Sie im Feld Authentifizierungs-Port den Wert 1.812 ein. 4.3 Klicken Sie auf die Schaltfläche EAP. 4.4 Stellen Sie als Standard-Methode für die EAP-Authentifizierung den Wert TLS ein. 4.5 Schließen Sie die Dialoge mit OK und schreiben Sie die Konfiguration in den WLAN Controller zurück. Die Konfigurationsschritte auf dem LANCOM WLAN Controller sind damit abgeschlossen.
5. Konfigurationsschritte auf einem WLAN Client mit Windows Betriebssystem 5.1 Führen Sie einen doppelten Mausklick auf der Client-Zertifikatsdatei aus. 5.2 Klicken Sie auf Weiter. 5.3 Übernehmen Sie den eingestellten Pfad zur Client-Zertifikatsdatei und klicken Sie auf Weiter. 5.4 Geben Sie das Kennwort ein, mit welchem der private Schlüssel des Zertifikates geschützt ist. Bei unserem Beispiel-Zertifikat lautet das Kennwort lancom. 5.5 Belassen Sie die Einstellung bei Zertifikatspeicher automatisch auswählen und klicken Sie auf Weiter. 5.6 Klicken Sie auf Fertig stellen, um den Zertifikats-Import abzuschließen. 5.7 Bestätigen Sie die folgende Sicherheitswarnung mit Ja. 5.8 Der erfolgreiche Zertifikats-Import wird mit einer Meldung angezeigt. 5.9 Öffnen Sie den Verwaltungsdialog für Drahtlosnetzwerke und klicken Sie auf Hinzufügen. 5.10 Wählen Sie im nächsten Fenster die Option Ein Netzwerkprofil manuell erstellen. 5.11 Im Feld Netzwerkname müssen Sie den Namen WLAN-802.1x eingeben. Die Werte für Sicherheitstyp und Verschlüsselungstyp müssen auf WPA2-Enterprise und AES eingestellt werden. Klicken Sie dann auf Weiter. 5.12 Im nächsten Fenster müssen Sie auf Verbindungseinstellungen ändern klicken. 5.13 Wechseln Sie im Eigenschaften-Dialog auf die Registerkarte Sicherheit. 5.14 Wählen Sie als Methode für die Netzwerkauthentifizierung Microsoft: Smartcard- oder anderes Zertifikat aus. 5.15 Klicken Sie anschließend auf die Schaltfläche Eigenschaften. 5.16 Aktivieren Sie die Option Serverzertifikat überprüfen und wählen Sie als vertrauenswürdige Stammzertifizierungsstelle CA-LANCOM aus. 5.17 Klicken Sie auf OK um die Einstellungen zu übernehmen. Mit einem weiteren Klick auf OK im Eigenschaften-Fenster wird die Einrichtung der WLAN-Verbindung zum Netzwerk WLAN-802.1x abgeschlossen. Die Konfigurationsschritte sind damit abgeschlossen.
6. Konfigurationsschritte auf einem WLAN Client mit Android Betriebssystem 6.1 Laden Sie das TLS-Client-Zertifikat in den Speicher des Android-Endgerätes. 6.2 Wechseln Sie in das Menü Einstellungen → Optionen → Sicherheit und wählen Sie im Bereich Berechtigungsspeicher die Option Von USB-Speicher installieren. 6.3 Wählen Sie die hochgeladene Zertifikats-Datei aus und geben Sie das Passwort der Zertifikats-Datei ein. 6.4 Vergeben Sie im folgenden Dialog einen beliebigen Zertifikatsnamen. Als Verwendungstyp wird WLAN eingestellt. Tippen Sie auf OK, um den Vorgang abzuschließen. 6.5 Tippen Sie auf das 802.1x WLAN-Netzwerk in der WLAN-Liste des Android-Clients. Wählen Sie im Konfigurationsdialog folgende Parameter aus: - EAP-Methode: TLS
- CA-Zertifikat: Hier muss TLS-Client-Zertifikat eingestellt werden.
- Benutzerzertifikat: Hier muss TLS-Client-Zertifikat eingestellt werden.
- Identität: Hier muss der Common Name (CN) des TLS-Client-Zertifikats eingetragen werden.
6.6 Klicken Sie auf Speichern und verbinden Sie sich anschließend mit dem WLAN-Netzwerk. | 
