Beschreibung: Ein Gerät, welches als RADIUS-Server fungiert, muss über ein EAP/TLS Zertifikat verfügen. Fehlt dieses, wird die Authentifizierung abgelehnt. Ein EAP/TLS Zertifikat kann per Smart Certificate auf einem geeigneten Router erstellt und dann in den Router mit aktivem RADIUS-Server importiert oder von einem anderen Router per SCEP-Client bezogen werden. In diesem Artikel ist beschrieben wie geprüft werden kann, ob das EAP/TLS Zertifikat fehlt und wie der Bezug per Smart Certificate oder per SCEP-Client realisiert werden kann. Voraussetzungen: - LCOS ab version 9.10 (download aktuelle Version)
- LANtools ab version 9.10 (download aktuelle Version)
- Beliebiger Webbrowser für den Zugriff auf WEBconfig
- SSH-Client wie z.B. PuTTY
- Bereits eingerichtete RADIUS-Authentifizierung
- Authentifizierung der RADIUS-Clients per Benutzername und Passwort (PEAP)
- Central Site Gateway, WLAN-Controller oder Router mit VPN 25 Option (zur Erstellung eines EAP/TLS Zertifikates per Smart Certificate)
Vorgehensweise: 1. Prüfung auf vorhandenes EAP/TLS Zertifikat: 1.1 Verbinden Sie sich per SSH mit Root-Rechten mit dem Router und geben den Befehl show eap ein (ab LCOS 10.70 heißt dieser Befehl show eaptls). Wird die Meldung no valid EAP/TLS root CA certificate present bzw. no valid EAP/TLS device certificate present ausgegeben, ist kein EAP/TLS Zertifikat vorhanden.
2. Erstellen eines EAP/TLS Zertifikates per Smart Certificate und Upload des Zertifikates: 2.1 Erstellen Sie ein TLS-Server Zertifikat wie in diesem Knowledge Base Artikel beschrieben. 2.2 Verbinden Sie sich mit einem Browser mit dem Router und wechseln in das Menü Dateimanagement → Zertifikat oder Datei hochladen . 2.3 Geben Sie folgende Parameter an: - Dateityp: Wählen Sie im Dropdownmenü EAP/TLS - Container als PKCS#12-Datei (*.pfx, *.p12) aus.
- Dateiname: Geben Sie den Speicherort des in Schritt 2.1 erstellten EAP/TLS Zertifikat es an.
- Passphrase: Geben Sie die in Schritt 2.1 vergebene Passphrase an.
2.4 Die Authentifizierung am RADIUS-Server ist nun möglich.
3. Bezug des EAP/TLS Zertifikates per SCEP-Client: 3.1 Konfigurations-Schritte auf dem Router mit aktiver Zertifizierungsstelle (CA): 3.1.1 Öffnen Sie die Konfiguration des Routers von welchem das EAP/TLS Zertifikat bezogen werden soll und wechseln in das Menü Zertifikate → Zertifizierungsstelle (CA) . 3.1.2 Stellen Sie sicher. dass der Haken bei Zertifizierungsstelle (CA) aktiviert gesetzt ist und speichern sich den CA-Distinguished-Name zur späteren Verwendung ab. 3.1.3 Schreiben Sie die Konfiguration zurück, damit das Basis-Challenge-Passwort generiert wird. 3.1.4 Öffnen Sie die Konfiguration in LANconfig und wechseln in das Menü Zertifikate → Zertifikatsbehandlung und speichern sich das Basis-Challenge-Passwort zur späteren Verwendung ab. 3.1.5 Öffnen Sie die Konfiguration des Routers in LANconfig, wechseln in das Menü Zertifikate → SCEP-Client und setzen den Haken bei SCEP-Client-Funktionalität aktiviert.
3.2 Konfigurationsschritte auf dem Router mit aktivem RADIUS-Server: 3.2.1 Öffnen Sie die Konfiguration des Routers in LANconfig, wechseln in das Menü Zertifikate → SCEP-Client und setzen den Haken bei SCEP-Client-Funktionalität aktiviert. 3.2.2 Wechseln Sie in das Menü Zertifikate → SCEP-Client → CA-Tabelle. 3.2.3 Erstellen Sie einen neuen Eintrag und hinterlegen folgende Informationen: - Name: Vergeben Sie einen aussagekräftigen Namen.
- URL: Geben Sie die URL im Format https://<IP-Adresse der CA>/cgi-bin/pkiclient.exe an.
Da in diesem Fall der Router nicht die CA darstellt, muss die IP-Adresse des Routers mit aktiver CA verwendet werden. z.B. https://192.168.0.1/cgi-bin/pkiclient.exe - Distinguished-Name: Hinterlegen Sie den CA-Distinguished-Name (siehe Schritt 3.1.2).
- Aktivieren Sie die Registration Authority: Automatische Authentifizierung einschalten (RA-Auto-Approve).
3.2.4 Wechseln Sie in das Menü Zertifikate → SCEP-Client → Zertifikat-Tabelle. 3.2.5 Erstellen Sie einen neuen Eintrag und hinterlegen folgende Parameter: - Name: Vergeben Sie einen aussagekräftigen Namen.
- CA-Distinguished-Name: Hinterlegen Sie den CA-Distinguished-Name (siehe Schritt 3.1.2).
- Subject: Hinterlegen Sie ein Subject (etwa /CN=RADIUS SERVER/O=LANCOM SYSTEMS/C=DE).
- Challenge-Passwort: Hinterlegen Sie das Basis-Challenge-Passwort (siehe Schritt 3.1.4).
- Erw. Schlüssel-Verw.: Hinterlegen Sie critical, serverAuth und clientAuth.
- Schlüssellänge: Wählen Sie im Dropdown-Menü den Wert 2048 aus.
- Verwendungs-Typ: Wählen Sie im Dropdown-Menü EAP/TLS aus.
3.2.6 Die Authentifizierung am RADIUS-Server ist nun möglich. |