Zertifikat zuordnen, damit keine Warnung bei der Anmeldung erscheint

iLion

Benutzer
Mitglied seit
07. Okt 2008
Beiträge
355
Punkte für Reaktionen
3
Punkte
18
Ich nutze für die Anmeldung am WLAN den RADIUS Server, jetzt aktuell mit der ganz neuen Version 3, vorher lief die Version 2 auch über Monate sauber. Es gibt aber immer ein Problem. Bei der Anmeldung von iOS oder macOS Geräten erscheint immer eine Zertifikateswarnung. Ein Let's Encrypt Zertifikat ist dem RADIUS Server zugeordnet worden, das dann auch angezeigt wird. Ich habe aber den Verdacht, dass das Zertifikat anscheinen aber auf den WLAN Namen ausgestellt sein müsste. Wenn dem so ist, dann kann es aber kein Let's Encrypt sein, da die SSID ja keine Domain ist, sondern in diesem Fall der Name der Firma ohne TLD. Wie kann man das Problem lösen, ohne z.B. in jedes Gerät ein Zertifikat manuell laden zu müssen?
 

Flanders

Benutzer
Mitglied seit
02. Mai 2012
Beiträge
74
Punkte für Reaktionen
3
Punkte
8
Hallo,

das Let's Encrypt Zertifikat wird alle 3 Monate erneuert. Daher ist es eher ungeeignet. Stell auf das Synology oder ein selbst erstelltes für den Radius um. D
Kenne iOS nicht, das Zertifikat muss auf drm Endgerät installiert werden. Auch nur dann wäre es sicher.

Gruß

Flanders
 

iLion

Benutzer
Mitglied seit
07. Okt 2008
Beiträge
355
Punkte für Reaktionen
3
Punkte
18
Es spielt keine Rolle, ob das Zertifikat alle drei, sechs, 12 oder vielleicht 36 Monate erneuert wird. Der Name muss zum WLAN passen.
 

Flanders

Benutzer
Mitglied seit
02. Mai 2012
Beiträge
74
Punkte für Reaktionen
3
Punkte
8
Nö, eigentlich nicht. Das ist m.E. nicht der Sinn dieses Zertifikates. Bei OpenVPN ja auch nicht. Damit wird nur überprüft,ob die gegenstelle korrekt ist. Das zertifikat muss beim 1. Mal auf einem sicheren Weg zium client.
 

Flanders

Benutzer
Mitglied seit
02. Mai 2012
Beiträge
74
Punkte für Reaktionen
3
Punkte
8
Der Sinn die sid ins zertifikat zu packen erschliesst sich mir nicht.

Bei einem web-Server ist es klar. Da wird der Reqest des Servers (Hardware) mit dem FQN verwoben und die Zertifizierungsstrlle (Vertrauenswürdig) prüft das und erstellt das Zertifikat.

Bei wlan geht das nicht, da eine sid jeder vergeben kann und es mehrere ap gibt.
Es reicht ja, wenn ich auf dem client das zertifikat installiere. Danach kann er immer überprüfen, ob des aktuelle wlan auch der gewünschte ist.

Greets

Flanders
 

NSFH

Benutzer
Mitglied seit
09. Nov 2016
Beiträge
3.490
Punkte für Reaktionen
295
Punkte
149
Ich verstehe das gar nicht. Das Zertifikat wird nur benötigt, damit sich der Radius gegenüber dem Anmeldedienst für die Nutzer legitimiert. Seine DB ist korrekt und darf genutzt werden. Die Anmledung der Clients am Router oder AP hat damit gar nichts zu tun. Dieser vergleicht nur die Anmeldedaten gegen die vom Radius zur Verfügung gestellten Infos.
Für diesen Vorgang ist dann auch ein LE Cert unsinnig, es reicht ein selbst erstelltes von der Syno, was dann auch wenigstens lange gültig bleibt.
Sicher, dass das Problem nicht ganz woanders liegt? Ist das Update von 2 auf 3 wirklich die einzige Veränderung?
 

Flanders

Benutzer
Mitglied seit
02. Mai 2012
Beiträge
74
Punkte für Reaktionen
3
Punkte
8
Genau, in einfachen Worten erklärt, was ich meinte :cool:

Zertifikat identifiziert nur den radius-server ggü. Den clients. Damit der client seine anmeldedatdn nicht irgend einem fremden radius mitteilt!

Es wäre wie gesagt blödsinn, das zertifikat alle 3 Monate zu wechseln, da dann alle clients wieder das neue brauchen...