Beschreibung:
Ein Gerät, welches als RADIUS-Server fungiert, muss über ein EAP/TLS Zertifikat verfügen. Fehlt dieses, wird die Authentifizierung abgelehnt.
Ein EAP/TLS Zertifikat kann per Smart Certificate auf einem geeigneten Router erstellt und dann in den Router mit aktivem RADIUS-Server importiert oder von einem anderen Router per SCEP-Client bezogen werden.
In diesem Artikel ist beschrieben wie geprüft werden kann, ob das EAP/TLS Zertifikat fehlt und wie der Bezug per Smart Certificate oder per SCEP-Client realisiert werden kann.
Bei Routern ohne WLAN-Modul kann im SCEP-Client der Verwendungs-Typ EAP/TLS aktuell per LANconfig und WEBconfig nicht ausgewählt werden. Die Einrichtung des Zertifikatsbezugs per SCEP-Client ist daher aktuell nur per Konsole möglich. LANCOM Systems empfiehlt in einem solchen Fall das Zertifikat separat zu erstellen und hochzuladen, etwa per Smart Certificate (siehe Schritt 2).
Stellen Sie sicher, dass auf dem Router, der das Zertifikat per Smart Certificate generiert oder von dem diese per SCEP-Client bezogen werden den Signatur-Algorithmus SHA-256 verwendet. Es kann ansonsten vorkommen, dass Endgeräte sich nicht am RADIUS-Server authentifizieren. Beachten Sie dazu auch diesen Knowledge Base Artikel.



Voraussetzungen:
  • LCOS ab version 9.10 (download aktuelle Version)
  • LANtools ab version 9.10 (download aktuelle Version)
  • Beliebiger Webbrowser für den Zugriff auf WEBconfig
  • SSH-Client wie z.B. PuTTY
  • Bereits eingerichtete RADIUS-Authentifizierung
  • Authentifizierung der RADIUS-Clients per Benutzername und Passwort (PEAP)
  • Central Site Gateway, WLAN-Controller oder Router mit VPN 25 Option (zur Erstellung eines EAP/TLS Zertifikates per Smart Certificate)



Vorgehensweise:
1. Prüfung auf vorhandenes EAP/TLS Zertifikat:
1.1 Verbinden Sie sich per SSH mit Root-Rechten mit dem Router und geben den Befehl show eap ein (ab LCOS 10.70 heißt dieser Befehl show eaptls).
Wird die Meldung no valid EAP/TLS root CA certificate present bzw. no valid EAP/TLS device certificate present ausgegeben, ist kein EAP/TLS Zertifikat vorhanden.
Alternativ können Sie auch einen EAP-Trace erstellen. Werden darin die Meldungen missing root certificate, hope you know what you're doing... und missing device certificate, give up ausgegeben, ist kein EAP/TLS-Zertifikat vorhanden.



2. Erstellen eines EAP/TLS Zertifikates per Smart Certificate und Upload des Zertifikates:

2.1 Erstellen Sie ein TLS-Server Zertifikat wie in diesem Knowledge Base Artikel beschrieben.

Das TLS-Client Zertifikat wird nicht benötigt, da die Authentifizierung nicht per Zertifikat erfolgt, sondern per Benutzername und Passwort ( PEAP ).

2.2 Verbinden Sie sich mit einem Browser mit dem Router und wechseln in das Menü Dateimanagement → Zertifikat oder Datei hochladen .

2.3 Geben Sie folgende Parameter an:
  • Dateityp: Wählen Sie im Dropdownmenü EAP/TLS - Container als PKCS#12-Datei (*.pfx, *.p12) aus.
  • Dateiname: Geben Sie den Speicherort des in Schritt 2.1 erstellten EAP/TLS Zertifikat es an.
  • Passphrase: Geben Sie die in Schritt 2.1 vergebene Passphrase an.
2.4 Die Authentifizierung am RADIUS-Server ist nun möglich.


3. Bezug des EAP/TLS Zertifikates per SCEP-Client:
3.1 Konfigurations-Schritte auf dem Router mit aktiver Zertifizierungsstelle (CA):
Bis auf die Schritte 3.1.2 und 3.1.4 müssen die folgenden Schritte auf einem bereits eingerichteten und funktionsfähigen WLAN-Controller nicht vorgenommen werden, da für die Verwaltung der Access Points die CA und der SCEP-Client erforderlich sind.
Damit Zertifikate generiert werden können, muss dem Gerät die Uhrzeit zugewiesen werden!

3.1.1 Öffnen Sie die Konfiguration des Routers von welchem das EAP/TLS Zertifikat bezogen werden soll und wechseln in das Menü Zertifikate → Zertifizierungsstelle (CA) .

3.1.2 Stellen Sie sicher. dass der Haken bei Zertifizierungsstelle (CA) aktiviert gesetzt ist und speichern sich den CA-Distinguished-Name zur späteren Verwendung ab.
3.1.3 Schreiben Sie die Konfiguration zurück, damit das Basis-Challenge-Passwort generiert wird.
3.1.4 Öffnen Sie die Konfiguration in LANconfig und wechseln in das Menü Zertifikate → Zertifikatsbehandlung und speichern sich das Basis-Challenge-Passwort zur späteren Verwendung ab.
3.1.5 Öffnen Sie die Konfiguration des Routers in LANconfig, wechseln in das Menü Zertifikate → SCEP-Client und setzen den Haken bei SCEP-Client-Funktionalität aktiviert.

3.2 Konfigurationsschritte auf dem Router mit aktivem RADIUS-Server:
3.2.1 Öffnen Sie die Konfiguration des Routers in LANconfig, wechseln in das Menü Zertifikate → SCEP-Client und setzen den Haken bei SCEP-Client-Funktionalität aktiviert.
3.2.2 Wechseln Sie in das Menü Zertifikate → SCEP-Client → CA-Tabelle.
3.2.3 Erstellen Sie einen neuen Eintrag und hinterlegen folgende Informationen:
  • Name: Vergeben Sie einen aussagekräftigen Namen.
  • URL: Geben Sie die URL im Format https://<IP-Adresse der CA>/cgi-bin/pkiclient.exe an.

Da in diesem Fall der Router nicht die CA darstellt, muss die IP-Adresse des Routers mit aktiver CA verwendet werden.

z.B. https://192.168.0.1/cgi-bin/pkiclient.exe

  • Distinguished-Name: Hinterlegen Sie den CA-Distinguished-Name (siehe Schritt 3.1.2).
  • Aktivieren Sie die Registration Authority: Automatische Authentifizierung einschalten (RA-Auto-Approve).
3.2.4 Wechseln Sie in das Menü Zertifikate → SCEP-Client → Zertifikat-Tabelle.
3.2.5 Erstellen Sie einen neuen Eintrag und hinterlegen folgende Parameter:
  • Name: Vergeben Sie einen aussagekräftigen Namen.
  • CA-Distinguished-Name: Hinterlegen Sie den CA-Distinguished-Name (siehe Schritt 3.1.2).
  • Subject: Hinterlegen Sie ein Subject (etwa /CN=RADIUS SERVER/O=LANCOM SYSTEMS/C=DE).
  • Challenge-Passwort: Hinterlegen Sie das Basis-Challenge-Passwort (siehe Schritt 3.1.4).
  • Erw. Schlüssel-Verw.: Hinterlegen Sie critical, serverAuth und clientAuth.
  • Schlüssellänge: Wählen Sie im Dropdown-Menü den Wert 2048 aus.
  • Verwendungs-Typ: Wählen Sie im Dropdown-Menü EAP/TLS aus.
3.2.6 Die Authentifizierung am RADIUS-Server ist nun möglich.