PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Zertifikat zuordnen, damit keine Warnung bei der Anmeldung erscheint



iLion
22.03.2018, 09:39
Ich nutze für die Anmeldung am WLAN den RADIUS Server, jetzt aktuell mit der ganz neuen Version 3, vorher lief die Version 2 auch über Monate sauber. Es gibt aber immer ein Problem. Bei der Anmeldung von iOS oder macOS Geräten erscheint immer eine Zertifikateswarnung. Ein Let's Encrypt Zertifikat ist dem RADIUS Server zugeordnet worden, das dann auch angezeigt wird. Ich habe aber den Verdacht, dass das Zertifikat anscheinen aber auf den WLAN Namen ausgestellt sein müsste. Wenn dem so ist, dann kann es aber kein Let's Encrypt sein, da die SSID ja keine Domain ist, sondern in diesem Fall der Name der Firma ohne TLD. Wie kann man das Problem lösen, ohne z.B. in jedes Gerät ein Zertifikat manuell laden zu müssen?

Flanders
04.08.2018, 11:22
Hallo,

das Let's Encrypt Zertifikat wird alle 3 Monate erneuert. Daher ist es eher ungeeignet. Stell auf das Synology oder ein selbst erstelltes für den Radius um. D
Kenne iOS nicht, das Zertifikat muss auf drm Endgerät installiert werden. Auch nur dann wäre es sicher.

Gruß

Flanders

iLion
04.08.2018, 12:33
Es spielt keine Rolle, ob das Zertifikat alle drei, sechs, 12 oder vielleicht 36 Monate erneuert wird. Der Name muss zum WLAN passen.

Flanders
04.08.2018, 14:50
Nö, eigentlich nicht. Das ist m.E. nicht der Sinn dieses Zertifikates. Bei OpenVPN ja auch nicht. Damit wird nur überprüft,ob die gegenstelle korrekt ist. Das zertifikat muss beim 1. Mal auf einem sicheren Weg zium client.

Flanders
04.08.2018, 17:06
Der Sinn die sid ins zertifikat zu packen erschliesst sich mir nicht.

Bei einem web-Server ist es klar. Da wird der Reqest des Servers (Hardware) mit dem FQN verwoben und die Zertifizierungsstrlle (Vertrauenswürdig) prüft das und erstellt das Zertifikat.

Bei wlan geht das nicht, da eine sid jeder vergeben kann und es mehrere ap gibt.
Es reicht ja, wenn ich auf dem client das zertifikat installiere. Danach kann er immer überprüfen, ob des aktuelle wlan auch der gewünschte ist.

Greets

Flanders

NSFH
04.08.2018, 17:25
Ich verstehe das gar nicht. Das Zertifikat wird nur benötigt, damit sich der Radius gegenüber dem Anmeldedienst für die Nutzer legitimiert. Seine DB ist korrekt und darf genutzt werden. Die Anmledung der Clients am Router oder AP hat damit gar nichts zu tun. Dieser vergleicht nur die Anmeldedaten gegen die vom Radius zur Verfügung gestellten Infos.
Für diesen Vorgang ist dann auch ein LE Cert unsinnig, es reicht ein selbst erstelltes von der Syno, was dann auch wenigstens lange gültig bleibt.
Sicher, dass das Problem nicht ganz woanders liegt? Ist das Update von 2 auf 3 wirklich die einzige Veränderung?

Flanders
04.08.2018, 18:28
Genau, in einfachen Worten erklärt, was ich meinte :cool:

Zertifikat identifiziert nur den radius-server ggü. Den clients. Damit der client seine anmeldedatdn nicht irgend einem fremden radius mitteilt!

Es wäre wie gesagt blödsinn, das zertifikat alle 3 Monate zu wechseln, da dann alle clients wieder das neue brauchen...