Werden Zertifikate mit dem Signatur-Algorithmus MD5 verwendet, kann es vorkommen, dass bei einer 802.1x Authentifizierung die Endgeräte nicht auf die Anfrage des RADIUS-Servers antworten. Dies ist z.B. bei Apple iPhones und iPads der Fall.
Da das EAP-TLS Zertifikat durch die Geräte-CA generiert wurde, müssen alle Zertfikate gelöscht und anschließend neu erstellt werden.
Dieses Dokument beschreibt, wie Sie Zertifikate auf einem LANCOM WLAN Controller zurücksetzen können. Dadurch werden neue Zertifikate mit dem Signatur-Algorithmus SHA-256 erstellt.
Wichtig:Da die CA des WLAN-Controllers gelöscht und neu intialisiert wird, müssen die Access Points die Zertifikate vom WLAN-Controller neu beziehen. Dazu sollten die Access Points auf den Werkszustand zurückgesetzt werden (siehe auch ).Voraussetzungen:Vorgehensweise:Schritt 1: Prüfung des verwendeten Signatur-Algorithmus1.1 Öffnen Sie eine
SSH-Sitzung auf dem LANCOM WLAN Controller und melden Sie sich mit
administrativen Rechten an.
1.2 Geben Sie den Befehl
show eap ein. Ist bei
Signature Algorithm der Algorithmus
md5WithRSAEncryption hinterlegt, wurde das
EAP-TLS-Zertifikat noch mit dem Signatur-Algorithmus
MD5 erstellt. Damit sind Sie von dem Problem betroffen.
Info:Alternativ kann die Analyse auch über einen
RADIUS-Server Trace auf dem WLAN-Controller erfolgen. Ist dort im
Challenge Request der String
md5WithRSAEncryption enthalten, sind Sie von dem Problem betroffen.
Schritt 2: Zertifikatsbaum zurücksetzen/ausschalten2.1 Wechseln Sie mit dem Befehl
cd /Setup/Certificates in das Verzeichnis
Certificates.
2.2 Geben Sie den Befehl
default -r ein.
2.3 Geben Sie den Befehl
cd\ ein um in das
Root-Verzeichnis zurück zu gelangen.
Schritt 3: SCEP- und EAP-TLS-Dateien aus dem Dateisystem löschen3.1 Wechseln Sie mit dem Befehl
cd /Status/File-System/Contents in das Verzeichnis
Contents.
3.2 Geben Sie den Befehl
ls ein, um sich den
Inhalt des Dateisystems anzeigen zu lassen.
3.3 Löschen Sie
jeweils mit dem Befehl
del <Dateiname> alle
Dateien,
welche den Begriff "scep" und "eaptls" im Dateinamen haben (z.B.
del scep_crl).
3.4 Löschen Sie zusätzlich die
Datei controller_pkcs12_int mit dem Befehl
del controller_pkcs12_int.
Schritt 4: Gerät neu starten4.1 Geben Sie den Befehl
do /Other/Cold-Boot ein, um den
WLAN-Controller neu zu starten.
Schritt 5: Prüfen, ob ein Basis-Challenge-Passwort eingetragen ist5.1 Öffnen Sie die Konfiguration des LANCOM WLAN-Controllers in LANconfig und stellen Sie sicher, das im Menü
Zertifikate -> Zertifikatsbehandlung ->Basis-Challenge-Passwort ein
Passwort eingetragen ist.
Sollte kein Passwort eingetragen sein, schließen Sie LANconfig und öffnen Sie die Konfiguration dann erneut in LANconfig. Nach dem erneuten Öffnen wird ein automatisch generiertes
Basis-Callenge-Passwort eingetragen.
Schritt 6: Aktivieren der Zertifizierungsstelle6.1 Stellen Sie sicher, dass im Menü
Zertifikate -> Zertifizierungsstelle (CA) die
CA aktiviert ist.Schritt 7: Kontrolle des neu erstellten EAP-TLS Zertifikates7.1 Geben Sie auf der Konsole den Befehl
show eap ein. Ist dort
sha256WithRSAEncryption angegeben, wurde das
EAP-TLS-Zertfikat mit dem Signatur-Algorithmus
SHA-256 erstellt.