Beschreibung:
Werden Zertifikate mit dem Signatur-Algorithmus MD5 verwendet, kann es vork=
ommen, dass bei einer 802.1x Authentifizierung die Endger=C3=A4te nicht auf=
die Anfrage des RADIUS-Servers antworten. Dies ist z.B. bei Apple iPhones =
und iPads der Fall.
LANCOM Systems r=C3=A4t aufgrund der=
Sicherheitsl=C3=BCcken von der Verwendung von MD5 ab und empfiehlt stattde=
ssen SHA-256 zu verwenden.
Da das EAP-TLS Zertifikat durch die Ger=C3=A4te-CA generiert wurde, m=C3=BC=
ssen alle Zertfikate gel=C3=B6scht und anschlie=C3=9Fend neu erstellt werde=
n.
Dieses Dokument beschreibt, wie Sie Zertifikate auf einem LANCOM WLAN Contr=
oller zur=C3=BCcksetzen k=C3=B6nnen. Dadurch werden neue Zertifikate mit de=
m Signatur-Algorithmus SHA-256 erstellt.
Voraussetzungen:
Vorgehensweise:
Schritt 1: Pr=C3=BCfung des verwende=
ten Signatur-Algorithmus
1.1 =C3=96ffnen Sie eine SSH-Sitzung auf dem LANCOM WLAN Controller=
und melden Sie sich mit administrativen Rechten an.
1.2 Geben Sie den Befehl show ea p ein (a=
b LCOS 10.70 hei=C3=9Ft dieser Befehl show eaptls). Ist be=
i Signature Algorithm der Algorithmus md =
5WithRSAEncryption hinterlegt, wurde das EAP-TLS-Z=
ertifikat noch mit dem Signatur-Algorithmus MD5 e=
rstellt. Damit sind Sie von dem Problem betroffen.
Schritt 2: Zertifikatsbaum zur=
=C3=BCcksetzen/ausschalten
2.1 Wechseln Sie mit dem Befehl cd /Setup/Certificates in =
das Verzeichnis Certificates.
2.2 Geben Sie den Befehl default -r ein.
2.3 Geben Sie den Befehl cd\ ein um in das Root-Ve=
rzeichnis zur=C3=BCck zu gelangen.
Schritt 3: SCEP- und EAP-TLS-Dateien=
aus dem Dateisystem l=C3=B6schen
3.1 Wechseln Sie mit dem Befehl cd /Status/File-System/Contents in das Verzeichnis Contents.
3.2 Geben Sie den Befehl ls ein, um sich den Inhal=
t des Dateisystems anzeigen zu lassen.
3.3 L=C3=B6schen Sie jeweils mit dem Befehl del &l=
t;Dateiname> alle Dateien, welche den =
Begriff "scep" und "eaptls" im Dateinamen haben (=
z.B. del scep_crl).
3.4 L=C3=B6schen Sie zus=C3=A4tzlich die Datei co=
ntroller_pkcs12_int mit dem Befehl del controller_pkcs12_i=
nt.
Schritt 4: Ger=C3=A4t neu starten
4.1 Geben Sie den Befehl do /Other/Cold-Boot ein, um den <=
strong>WLAN-Controller neu zu starten.
Schritt 5: Pr=C3=BCfen, ob ein Basis=
-Challenge-Passwort eingetragen ist
5.1 =C3=96ffnen Sie die Konfiguration des LANCOM WLAN-Controllers in LANcon=
fig und stellen Sie sicher, das im Men=C3=BC Zertifikate =E2=86=92 =
Zertifikatsbehandlung =E2=86=92 B asis-Challenge-Passwort =
ein Passwort eingetragen ist.
Sollte kein Passwort eingetragen sei=
n, schlie=C3=9Fen Sie LANconfig und =C3=B6ffnen Sie die Konfigurat=
ion dann erneut in LANconfig. Nach dem erneuten =C3=96ffnen wird ein automa=
tisch generiertes Basis-Callenge-Passwort eingetragen.
Schritt 6: Aktivieren der Zertifizie=
rungsstelle
6.1 Stellen Sie sicher, dass im Men=C3=BC Zertifikate =E2=86=92 Zer=
tifizierungsstelle (CA) die CA aktiviert=
ist.
Schritt 7: Kontrolle des neu erstell=
ten EAP-TLS Zertifikates
7.1 Geben Sie auf der Konsole den Befehl show eap ein (ab =
LCOS 10.70 hei=C3=9Ft dieser Befehl show eaptls). Ist dort=
sha256WithRSAEncryption angegeben, wurde das EAP-=
TLS-Zertfikat mit dem Signatur-Algorithmus SHA-256 erstellt.
|